Remove From My Forums

RD-APP外网链接问题

问题
0

登录进行投票

现状描述：

1.部署RD-APP后，经网关NAT转换端口为5443

2.每次进行链接的时候，速度较慢（完整接入一次大约需要30秒）

3.经抓包发现，程序发起3个会话请求，包含1个5443端口和 1个443端口的mstsc进程，一个443端口的 lsass进程

4.由于端口仅映射了5443，所以连接5443可以成功。其他两个443端口的请求均为 TCP Dup ACK 连接失败。且均无失败提示。

5.经抓包发现TLSv1.2加密成功

6.建立了OCSP，并映射为端口5444，但并未发现有连接请求。

问题：

1.连接失败的两个443端口的请求是什么请求？是否可以调整请求端口使其成功？

2.如按照现状不进行调整，除了接入速度较慢以外是否有其他安全风险？

3.没有发现OCSP的请求，是否说明没有进行证书的吊销验证？

烦请帮忙答疑解惑。谢谢啦~！

2020年8月19日 8:51

回复

|

引用

全部回复

0

登录进行投票
您好：

0.“部署RD-APP后”
您是指您进行了微软的远程桌面标准部署（安装了“RD会话主机”角色，“RD连接代理”角色，“RDweb访问”角色）并且安装了RD网关角色？

1.连接失败的两个443端口的请求是什么请求？是否可以调整请求端口使其成功？
如果您构建了RD网关角色和RDweb角色默认是使用443端口和外网进行通信连接的。这个是可以调整的，但不确定您是否在您的环境中安装了这两个角色（RD网关角色和RDweb角色），所以如果没有安装这两个角色，请忽略下面链接的更改操作。
还有不确定您是否正在使用三方CA发布的证书用于您进行TLS连接，这种情况也会使用443端口和公共CA站点进行证书吊销检查。这种情况您可以咨询三方证书供应商看看能不能支持更改。

Change Remote Desktop Gateway Port and Remote Web App Port
https://kommelsson.wordpress.com/2016/04/20/change-remote-desktop-gateway-port-and-remote-web-app-port/

2.如按照现状不进行调整，除了接入速度较慢以外是否有其他安全风险？
如果是访问公共CA的问题，会导致证书无法自动更新到有效的新证书，导致无法登录。如果不是证书方面问题，应该没有安全风险。

3.没有发现OCSP的请求，是否说明没有进行证书的吊销验证？
因为 CRL 可以每天下载一次，而无需检查每个连接的 OCSP。
如果证书已由受信任实体签名且未过期，则查询 CRL 以查看证书是否已被吊销。如果已吊销，则无需检查 OCSP。但是，如果证书在检查 CRL 后仍然有效，则还将查询 OCSP 以确保证书最近未被吊销（并且更新的 CRL 列出证书尚未可用）
所以没有发现OCSP的请求并不能完全代表没有进行证书的吊销验证。
https://zhuanlan.zhihu.com/p/37827912

Best Regards
Andy YOU

如果您觉得我提供的信息有帮助，麻烦您是否可以帮忙“标记为答案”以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

"Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A!

We invite you to post new questions in the "Windows Server General Forum" forum's new home on Microsoft Q&A!

For more information, please refer to the sticky post.
- 已编辑 Andy YOUMicrosoft contingent staff 2020年8月20日 5:16
2020年8月20日 3:53

回复

|

引用
0

登录进行投票
首先，谢谢您的耐心回复！

0.“部署RD-APP后”
您是指您进行了微软的远程桌面标准部署（安装了“RD会话主机”角色，“RD连接代理”角色，“RDweb访问”角色）并且安装了RD网关角色？

============================================

是的，有标准部署 RD网关、连接代理、RDweb、CA证书颁发机构、RDhost、RD授权服务、AD服务。

============================================

1.连接失败的两个443端口的请求是什么请求？是否可以调整请求端口使其成功？
如果您构建了RD网关角色和RDweb角色默认是使用443端口和外网进行通信连接的。这个是可以调整的，但不确定您是否在您的环境中安装了这两个角色（RD网关角色和RDweb角色），所以如果没有安装这两个角色，请忽略下面链接的更改操作。
还有不确定您是否正在使用三方CA发布的证书用于您进行TLS连接，这种情况也会使用443端口和公共CA站点进行证书吊销检查。这种情况您可以咨询三方证书供应商看看能不能支持更改。

Change Remote Desktop Gateway Port and Remote Web App Port
https://kommelsson.wordpress.com/2016/04/20/change-remote-desktop-gateway-port-and-remote-web-app-port/

============================================

有建立相关角色，但是外网映射有做NAT端口映射。

接入RD-APP时的RD-Gateway端口可以自定义到目标端口（外网5443内网443），

同时我有修改A|A的授权信息访问地址到我的外网访问地址及对应端口（外网5444内网80），

但是，RD-APP接入时系统并未按照修改后的端口进行TCP申请，而是按照原有端口进行的。

我本地是有将证书颁发机构加入信任列表的。

我认为问题应该是出现在证书进行OCSP时，没有获取最新的A|A授权信息访问地址列表。

不知客户端接入RD-APP时的访问流程是怎样的，A|A 又是从何处获取？

============================================

2.如按照现状不进行调整，除了接入速度较慢以外是否有其他安全风险？
如果是访问公共CA的问题，会导致证书无法自动更新到有效的新证书，导致无法登录。如果不是证书方面问题，应该没有安全风险。

============================================

不是公有CA，是私有的企业CA。

我有在本地使用Certutil.exe 进行证书的OCSP验证（公网访问验证），是可以验证通过的。

但是，我不太明白RD-APP访问的时候证书是验证客户端的CA 还是验证服务端的CA ？

服务端是验证Machine模板的CA 还是验证 WEB服务器模板的CA ？（RDS使用的是通配符证书）

============================================

3.没有发现OCSP的请求，是否说明没有进行证书的吊销验证？
因为 CRL 可以每天下载一次，而无需检查每个连接的 OCSP。
如果证书已由受信任实体签名且未过期，则查询 CRL 以查看证书是否已被吊销。如果已吊销，则无需检查 OCSP。但是，如果证书在检查 CRL 后仍然有效，则还将查询 OCSP 以确保证书最近未被吊销（并且更新的 CRL 列出证书尚未可用）
所以没有发现OCSP的请求并不能完全代表没有进行证书的吊销验证。
https://zhuanlan.zhihu.com/p/37827912

============================================

这个问题其实跟之前的问题是有关联的。

客户端在访问服务器的时候，没有获取正确的A|A列表。所以无法正常通信。

虽然没有正确验证，RD-APP服务也并没有报错，服务仍然可用。

所以，我觉得如果可以弄懂第一个问题中那2个443端口的请求内容，就可以解决我的问题了。

或者哪里可以了解到整个RD-APP的访问过程。应该也是可以解决的。

============================================

衷心感谢~！！
- 已编辑 xianming00 2020年8月20日 6:43
2020年8月20日 6:42

回复

|

引用
0

登录进行投票
您好：
1."A|A 又是从何处获取？"
A|A是指什么？

2.您的远程桌面角色服务器部署架构是怎样的？您是把RD网关、RD连接代理、RDweb、CA证书颁发机构、RDhost、RD授权服务、AD服服务安装在相同的虚拟机上吗？

3.不知客户端接入RD-APP时的访问流程是怎样的？
通常默认流程应该是
client(win10)-->TCP port443 RDgateway-->TCP port443 RDweb-->TCP port3389 RDCB-->TCP port3389 RDSH

4.但是，我不太明白RD-APP访问的时候证书是验证客户端的CA 还是验证服务端的CA ？
通常rds 使用的“Server Authentication” or “Remote Desktop Authentication”证书都是用于RD相关服务器的（RDCB,RDWEB,RDgateway,RDSH），我想是RD-APP访问的时候验证RD相关服务器端的CA，检查发布给RD相关服务器的服务器端证书是否在有效期内。

Using certificates in Remote Desktop Services
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn781533(v=ws.11)

5.您有在rds相关服务器上关闭ipv6适配器设置，然后重新连接是否能快点呢？如图。

Best Regards
Andy YOU
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Andy YOUMicrosoft contingent staff 2020年8月21日 8:30
2020年8月21日 8:29

回复

|

引用
0

登录进行投票

您好：
您的问题有进展吗？
Best Regards
Andy YOU
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年8月25日 5:15

回复

|

引用
0

登录进行投票
此回复仍然无法解释发起RD-APP请求初始阶段为何是3个进程？

此3个进程都是什么？用途是什么？

例如，RD-GateWay 接入 RemoteDesktop 是2个进程，一个是mstsc的网关接入，一个是ocsp的验证。

麻烦指教，谢谢！
- 已编辑 xianming00 2020年9月2日 1:49
2020年9月2日 1:28

回复

|

引用
0

登录进行投票

您好：
“此回复仍然无法解释发起RD-APP请求初始阶段为何是3个进程？”
经抓包发现，程序发起3个会话请求，包含1个5443端口和 1个443端口的mstsc进程，一个443端口的 lsass进程？
您是使用什么抓包软件抓取的的数据包？抓包软件安装在哪些电脑和服务器上的？

Best Regards
Andy YOU
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年9月3日 1:42

回复

|

引用
0

登录进行投票
1.抓包软件Wireshark

2.三个请求如图，分别对应2个进程，下图分别是自请求发起至连接成功的网络连接图（约10秒执行一次命令）
3.抓包软件在客户端电脑上
- 已编辑 xianming00 2020年9月3日 6:06
2020年9月3日 6:02

回复

|

引用
0

登录进行投票
其实我的目的很简单，此2个请求是无效的。但是因此延长了登录周期大概20秒。

我的目的其实就是想提升登录效率。

求助中。。。自己顶一下。。。
- 已编辑 xianming00 2020年9月12日 0:56
2020年9月12日 0:54

回复

|

引用
0

登录进行投票

有人能帮忙解答一下问题么？

30天了。。。自己顶一下。。。

2020年9月17日 4:33

回复

|

引用