none
RD-APP外网链接问题 RRS feed

  • 问题

  • 现状描述:

    1.部署RD-APP后,经网关NAT转换端口为5443

    2.每次进行链接的时候,速度较慢(完整接入一次大约需要30秒)

    3.经抓包发现,程序发起3个会话请求,包含1个5443端口 和 1个443端口的mstsc进程,一个443端口的 lsass进程

    4.由于端口仅映射了5443,所以连接5443可以成功。其他两个443端口的请求均为 TCP Dup ACK 连接失败。且均无失败提示。

    5.经抓包发现TLSv1.2加密成功

    6.建立了OCSP,并映射为端口5444,但并未发现有连接请求。

    问题:

    1.连接失败的两个443端口的请求是什么请求?是否可以调整请求端口使其成功?

    2.如按照现状不进行调整,除了接入速度较慢以外是否有其他安全风险?

    3.没有发现OCSP的请求,是否说明没有进行证书的吊销验证?

    烦请帮忙答疑解惑。谢谢啦~!

    2020年8月19日 8:51

全部回复

  • 您好:
    0.“部署RD-APP后”
    您是指您进行了微软的远程桌面标准部署(安装了“RD会话主机”角色,“RD连接代理”角色,“RDweb访问”角色)并且安装了RD网关角色?

    1.连接失败的两个443端口的请求是什么请求?是否可以调整请求端口使其成功?
    如果您构建了RD网关角色和RDweb角色默认是使用443端口和外网进行通信连接的。这个是可以调整的,但不确定您是否在您的环境中安装了这两个角色(RD网关角色和RDweb角色),所以如果没有安装这两个角色,请忽略下面链接的更改操作。
    还有不确定您是否正在使用三方CA发布的证书用于您进行TLS连接,这种情况也会使用443端口和公共CA站点进行证书吊销检查。这种情况您可以咨询三方证书供应商看看能不能支持更改。
    Change Remote Desktop Gateway Port and Remote Web App Port
    https://kommelsson.wordpress.com/2016/04/20/change-remote-desktop-gateway-port-and-remote-web-app-port/

    2.如按照现状不进行调整,除了接入速度较慢以外是否有其他安全风险?
    如果是访问公共CA的问题,会导致证书无法自动更新到有效的新证书,导致无法登录。如果不是证书方面问题,应该没有安全风险。

    3.没有发现OCSP的请求,是否说明没有进行证书的吊销验证?
    因为 CRL 可以每天下载一次,而无需检查每个连接的 OCSP。
    如果证书已由受信任实体签名且未过期,则查询 CRL 以查看证书是否已被吊销。如果已吊销,则无需检查 OCSP。但是,如果证书在检查 CRL 后仍然有效,则还将查询 OCSP 以确保证书最近未被吊销(并且更新的 CRL 列出证书尚未可用)
    所以没有发现OCSP的请求并不能完全代表没有进行证书的吊销验证。
    https://zhuanlan.zhihu.com/p/37827912

    Best Regards
    Andy YOU

    如果您觉得我提供的信息有帮助,麻烦您是否可以帮忙标记为答案以帮助其他社区成员快速找到有用的回复。谢谢您的合作。

    "Windows Server General Forum" forum will be migrating to a new home on Microsoft Q&A! 

    We invite you to post new questions in the "Windows Server General Forum"  forum's new home on Microsoft Q&A! 

    For more information, please refer to the sticky post. 



    2020年8月20日 3:53
  • 首先,谢谢 您的耐心回复!

    0.“部署RD-APP后”
    您是指您进行了微软的远程桌面标准部署(安装了“RD会话主机”角色,“RD连接代理”角色,“RDweb访问”角色)并且安装了RD网关角色?

    ============================================

    是的,有标准部署 RD网关、连接代理、RDweb、CA证书颁发机构、RDhost、RD授权服务、AD服务。

    ============================================

    1.连接失败的两个443端口的请求是什么请求?是否可以调整请求端口使其成功?
    如果您构建了RD网关角色和RDweb角色默认是使用443端口和外网进行通信连接的。这个是可以调整的,但不确定您是否在您的环境中安装了这两个角色(RD网关角色和RDweb角色),所以如果没有安装这两个角色,请忽略下面链接的更改操作。
    还有不确定您是否正在使用三方CA发布的证书用于您进行TLS连接,这种情况也会使用443端口和公共CA站点进行证书吊销检查。这种情况您可以咨询三方证书供应商看看能不能支持更改。
    Change Remote Desktop Gateway Port and Remote Web App Port
    https://kommelsson.wordpress.com/2016/04/20/change-remote-desktop-gateway-port-and-remote-web-app-port/

    ============================================

    有建立相关角色,但是外网映射有做NAT端口映射。

    接入RD-APP时的RD-Gateway端口可以自定义到目标端口(外网5443内网443),

    同时我有修改A|A的授权信息访问地址到我的外网访问地址及对应端口(外网5444内网80),

    但是,RD-APP接入时系统并未按照修改后的端口进行TCP申请,而是按照原有端口进行的。

    我本地是有将证书颁发机构加入信任列表的。

    我认为问题应该是出现在证书进行OCSP时,没有获取最新的A|A授权信息访问地址列表。

    不知客户端接入RD-APP时的访问流程是怎样的,A|A 又是从何处获取?

    ============================================

    2.如按照现状不进行调整,除了接入速度较慢以外是否有其他安全风险?
    如果是访问公共CA的问题,会导致证书无法自动更新到有效的新证书,导致无法登录。如果不是证书方面问题,应该没有安全风险。

    ============================================

    不是公有CA,是私有的企业CA。

    我有在本地使用Certutil.exe 进行证书的OCSP验证(公网访问验证),是可以验证通过的。

    但是,我不太明白RD-APP访问的时候 证书是验证客户端的CA 还是 验证服务端的CA ?

    服务端是验证Machine模板的CA 还是验证 WEB服务器模板的CA ?(RDS使用的是通配符证书)

    ============================================

    3.没有发现OCSP的请求,是否说明没有进行证书的吊销验证?
    因为 CRL 可以每天下载一次,而无需检查每个连接的 OCSP。
    如果证书已由受信任实体签名且未过期,则查询 CRL 以查看证书是否已被吊销。如果已吊销,则无需检查 OCSP。但是,如果证书在检查 CRL 后仍然有效,则还将查询 OCSP 以确保证书最近未被吊销(并且更新的 CRL 列出证书尚未可用)
    所以没有发现OCSP的请求并不能完全代表没有进行证书的吊销验证。
    https://zhuanlan.zhihu.com/p/37827912

    ============================================

    这个问题其实跟之前的问题是有关联的。

    客户端在访问服务器的时候,没有获取正确的A|A列表。所以无法正常通信。

    虽然没有正确验证,RD-APP服务也并没有报错,服务仍然可用。

    所以,我觉得如果可以弄懂第一个问题中 那2个443端口的请求内容,就可以解决我的问题了。

    或者哪里可以了解到整个RD-APP的访问过程。应该也是可以解决的。

    ============================================

    衷心感谢~!!



    2020年8月20日 6:42
  • 您好:
    1."A|A 又是从何处获取?"
    A|A是指什么?
    2.您的远程桌面角色服务器部署架构是怎样的?您是把RD网关、RD连接代理、RDweb、CA证书颁发机构、RDhost、RD授权服务、AD服服务安装在相同的虚拟机上吗?
    3.不知客户端接入RD-APP时的访问流程是怎样的?
    通常默认流程应该是
    client(win10)-->TCP port443 RDgateway-->TCP port443 RDweb-->TCP port3389 RDCB-->TCP port3389 RDSH

    4.但是,我不太明白RD-APP访问的时候 证书是验证客户端的CA 还是 验证服务端的CA ?
    通常rds 使用的“Server Authentication” or “Remote Desktop Authentication”证书都是用于RD相关服务器的(RDCB,RDWEB,RDgateway,RDSH),我想是RD-APP访问的时候验证RD相关服务器端的CA,检查发布给RD相关服务器的服务器端证书是否在有效期内。
    Using certificates in Remote Desktop Services
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn781533(v=ws.11)
    5.您有在rds相关服务器上关闭ipv6适配器设置,然后重新连接是否能快点呢?如图。


    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年8月21日 8:29
  • 您好:
    您的问题有进展吗?

    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月25日 5:15
  • 此回复仍然无法解释发起RD-APP请求初始阶段为何是3个进程?

    此3个进程都是什么?用途是什么?

    例如,RD-GateWay 接入 RemoteDesktop 是2个进程,一个是mstsc的网关接入,一个是ocsp的验证。

    麻烦指教,谢谢!


    2020年9月2日 1:28
  • 您好:
    “此回复仍然无法解释发起RD-APP请求初始阶段为何是3个进程?”
    经抓包发现,程序发起3个会话请求,包含1个5443端口 和 1个443端口的mstsc进程,一个443端口的 lsass进程?
    您是使用什么抓包软件抓取的的数据包?抓包软件安装在哪些电脑和服务器上的?


    Best Regards
    Andy YOU
    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月3日 1:42
  • 1.抓包软件Wireshark

    2.三个请求如图,分别对应2个进程,下图分别是自请求发起至连接成功的网络连接图(约10秒执行一次命令)

    3.抓包软件 在客户端电脑上
    2020年9月3日 6:02
  • 其实我的目的很简单,此2个请求是无效的。但是因此延长了登录周期大概20秒。

    我的目的其实就是想提升登录效率。

    求助中。。。自己顶一下。。。

    2020年9月12日 0:54
  • 有人能帮忙解答一下问题么?

    30天了。。。自己顶一下。。。

    2020年9月17日 4:33