none
Проблема открытия приложения через Web Access в RDS 2012 RRS feed

  • Общие обсуждения

  • Имется RDS 2012. GW+WEB+CB+SH.

    GW+WEB на одном сервере RDSGW.domen.ru На этом же сервере имеется директория в которую складываются CRL сертификатов. На web сайте сервера имеется каталог CertEnroll ссылающийся на эту папку. В свойствах сертификата имеется лишь один путь для CRL http://RDSGW.domen.ru/CertEnroll/... и если в браузере попробовать открыть этот путь то файл открывается и нормально дает скачаться.

    При открытии приложения с Web Access появляется окно которое "висит" 20 секунд

    После чего появляются по очереди 2 окна сначала на сертификат брокера позже на сертифкат session host'a


    После чего приложение запускается.

    Сертификат центра сертифкации имеется в доверенных центрах сертификации. И Если посмеотреть сертифкат по кнопочке "View certificate" то весь путь сертификата нормальный.

    Помогите решить проблему.


    В конце концов причина причин оказалась в начале начал...

    1 августа 2013 г. 11:29

Все ответы

  • Скриншоты отсутствуют, можете повторно выложить?

    3 августа 2013 г. 15:04
    Отвечающий
  • То же самое и у меня. Пожалуйста, вставьте заново скриншоты, чтобы было возможно Вам помочь!


    Уважаемые участники форума. У меня к Вам просьба: если какой-нибудь из ответов помог Вам решить Вашу проблему, пожалуйста, не забывайте отмечать его. Таким образом, Вы поможете и другим пользователям, у которых возникла схожая проблема! Спасибо!

    5 августа 2013 г. 6:21
    Модератор
  • Скриншоты. Первое - окно висит секунд 20, второе - ругань на сертификаты


    В конце концов причина причин оказалась в начале начал...

    6 августа 2013 г. 10:30
  • От ошибки про сертификат удалось избавиться. Сделали нормальные CRL которые стали доступны.

    Теперь осталась лишь проблема что висит окно еще до логина на сервере. При этом в мониторинге на gateway сессия появляется но трафик не идет. Видимо когда приложение пытается открыться трафик где-то ходит. Куда дальше копать?


    В конце концов причина причин оказалась в начале начал...

    14 августа 2013 г. 11:10
  • Теперь окно (1 скриншот) висит 38 секунд. При первом коннекте. Если открыл одно приложение, остальные открываются мгновенно.

    Но вот этот таймаут в 38 секунд непонятен.


    В конце концов причина причин оказалась в начале начал...

    15 августа 2013 г. 12:18
  • Дальнейшее изучение проблемы позволило выявить некоторые странные особенности.

    При коннекте с компьютера, которые не находится ни в каком домене - проблемы нет.

    При коннекте с компьютера который в том же домене что и ферма - проблемы нет (даже при учте того, что все ходит через GW).

    Проблема имеется при коннекте с компьютера какого-либо домена. Анализ трафика показывает "странное" поведение клиента на мой взгляд. Так клиент пытается ломиться на контролер домена в котором живет RDS с зпросом CLDAP в котором делает запрос CLDAP searchRequest "<ROOT>" baseObject и далее следует "странный" ldap запрос в котором берется имя клиентта и DNS имя домена в которм живет RDS.

    Не понятно зачем строится такой ldap запрос если в сертификатах нет упоминания про LDAP (в CRL и AIA все выкошено).

    Видимо где-т висит по таймауту. Вот только что-то непонятно. Тереетически весь тарфик от клиента должен заворачиваться на GW. и максимум что проверяет лиент это сертификат WEB сайта фермы. Или все не так просто?


    В конце концов причина причин оказалась в начале начал...

    18 августа 2013 г. 14:52
  • Гласс вопиющего в пустыне. Продолжаем изучение.

    Имеется

    DomainA.Com
    #################################################################################
    DC1 192.168.0.11/24
    DC2 192.168.0.12/24
    DC3 192.168.0.13/24
    #################################################################################

    DomainB.Com
    #################################################################################
    DC1 192.168.2.11/24
    DC2 192.168.2.12/24
    ClientB 192.168.2.20/24
    #################################################################################

    Имеется доступы по портам TCP 443,80,3389
    192.168.2.0/24 --> 192.168.1.21
    192.168.2.0/24 --> 192.168.1.22

    В DNS имееются записи
    rds.DomainC.com        192.168.1.21
    rds.DomainC.com        192.168.1.22

    Web Access доступен по адресу rds.DomainC.com

    #################################################################################
    ClientB 192.168.2.20/24
    OS: Windows XP SP3
    CredSSP включен

    При попытке подключения RemoteApp из Web Access через Gateway Server у клиента, который находится в DomainB.com возникает следующая проблема: окно подключения к приложению "висит" 38 секунд.
    Анализ ситуации показывает, что имеются 2 таймаута. Gateway сервер пытается "общаться" с контролерами домена DomainB.com, в котором находятся клиент.
    Filter: (&(&(&(DnsDomain=DomainB.com)(Host=S-RDS-GW-01))(NtVer=0x20000016))(DnsHostName=s-rds-gw-01.DomainA.Com))
    Подобный запрос только к контролерам домена DomainA.com пытается сделать клиент из DomainB.com
    Filter: (&(&(&(DnsDomain=DomainA.com)(Host=clientB))(NtVer=0x20000006))(DnsHostName=clientB.DomainB.Com))

    Если открыть доступ с Gateway сервера до контролеров домена, то идет попытка получения TGS через Kerberos
    MSG Type: TGS-REQ (12)
    padata: PA-TGS-REQ

    На что получает ответ от контролера домена
    MSG Type: KRB-ERROR (30)
    error_code: KRB5KDC_ERR_POLICY (12)

    Также если от Gateway открыт доступ до контроллеров домена DomainB.com "общение" между ними происходит за несколько секунд, после чего приложение открывается.

    Имеется несколько вопросов:
    1) зачем Gateway из DomainA.com сервер обращается к контролеру домена DomainB.com
    2) Зачем ClientB.DomainB.com обращается к контролеру домена DomainA.com
    3) Как изменить такое поведение?

    ClientB.DomainB.com должен общаться с серверами фермы RDS только через gateway по порту 443

    P.S. - Если клиент находится в рабочей группе, то такого поведения нет.
    P.S.S - приложение любое


    В конце концов причина причин оказалась в начале начал...

    21 августа 2013 г. 10:34