Einrichtung RDP-Gateway mit Serverfarm - Zertifikatsprobleme - Server 2012R2
Hi,
ich verzweifel langsam an den Zertifikaten. Es gibt leider nur wenige Anleitungen zu diesem Thema im Netz und keine bringt mich weiter.
Der Kunde hat die Domäne yxc.de. Warum nicht .local entzieht sich mir. Diese Domäne hat er auch tatsächlich, ich lasse also
gateway.yxc.de
von außen reinrouten.
Server (alle 2012R2):
SRV-VM-WTS4.xyc.de Session-Host / WebAccess / RDP Connection Broker / RDP Gateway
SRV-VM-WTS5.xyc.de Session-Host
SRV-VM-WTS6.xyc.de Session-Host
SRV-VM-WTS7.xyc.de Session-Host
Egal wie ich nun vorgehe, welche Art von Zertifikat ich erstelle und wie ich es verteile, von externen PCs aus bekomme ich nur dann eine Verbindung, wenn der Connection Broker die Session zufällig auf sich selbst legt. Versucht er die Session auf einen der anderen 3 Hosts zu verteilen, zeigt er ewig "Remoteverbindung wird initiert" an und bringt dann die Meldung, dass Remotezugriff nicht aktiviert, der Remotecomputer ausgeschaltet oder nicht im Netzwerk verfügbar ist. So passiert das mit PCs, welche nicht der Domäne angehören. Von Domänen-PCs aus dem gleichen LAN oder von mit VPN verbundenen Standorten aus, ist das alles kein Problem. Ich konnte leider noch nicht testen, was passiert wenn ein Domänen-PC von komplett außerhalb zugreifen will, konnte ich mangels Gerät noch nicht testen. Hausintern habe ich einen DNS-Eintrag erstellt, der gateway.yxc.de direkt zur IP des Brokers leitet. Wenn ich nun stattdessen die externe IP des Routers angebe, bekomme ich zwar einmalig eine Zertifikatswarnung, dass der Name nicht übereinstimmt, aber es funktioniert. Ich gehe also davon aus, dass die Domänencomputer funktionieren.
Ich weiß nicht mehr, auf wie viele Arten ich Zertifikate ausgestellt habe, aber alles schlägt fehl. Das vielversprechendste wäre eigtl. das hier, leider gilt das nur für eine Farm, nicht für eine Farm mit Gateway.
http://www.thurnhofer.net/howtos/RDS_Farm_Server_2012_R2.pdf
Ein Wildcardzertifikat für *.yxc.de. Das sollte eigtl. perfekt sein, weil externe und lokale Domäne den gleichen Namen haben. Ich bekomme aber beim Aufbau der Verbindung immer noch eine Zertifikatswarnung für *.yxc.de, dass keine Sperrprüfung durchgeführt werden konnte.
Ja, das jeweilige Zertifikat habe ich per MMC auf allen Servern in den passenden Speicher importiert und über die Konfiguration des Remotedesktop-Sitzungshosts von einem 2008er Server aus auch jeweils ausgewählt. auch an den PCs von welchen aus ich versuche die Verbindung auszubauen, sind die Zertifikate installiert.
Ich weiß langsam nicht mehr, was ich machen soll, da einige Beschreibungen auch widersprüchlich sind. Kennt irgendjemand ein HowTo, von mir aus auch englisch in welchem eine Farm mit Gateway komplett durchgezogen wird?
ich verzweifel langsam an den Zertifikaten. Es gibt leider nur wenige Anleitungen zu diesem Thema im Netz und keine bringt mich weiter.
Der Kunde hat die Domäne yxc.de. Warum nicht .local entzieht sich mir. Diese Domäne hat er auch tatsächlich, ich lasse also
gateway.yxc.de
von außen reinrouten.
Server (alle 2012R2):
SRV-VM-WTS4.xyc.de Session-Host / WebAccess / RDP Connection Broker / RDP Gateway
SRV-VM-WTS5.xyc.de Session-Host
SRV-VM-WTS6.xyc.de Session-Host
SRV-VM-WTS7.xyc.de Session-Host
Egal wie ich nun vorgehe, welche Art von Zertifikat ich erstelle und wie ich es verteile, von externen PCs aus bekomme ich nur dann eine Verbindung, wenn der Connection Broker die Session zufällig auf sich selbst legt. Versucht er die Session auf einen der anderen 3 Hosts zu verteilen, zeigt er ewig "Remoteverbindung wird initiert" an und bringt dann die Meldung, dass Remotezugriff nicht aktiviert, der Remotecomputer ausgeschaltet oder nicht im Netzwerk verfügbar ist. So passiert das mit PCs, welche nicht der Domäne angehören. Von Domänen-PCs aus dem gleichen LAN oder von mit VPN verbundenen Standorten aus, ist das alles kein Problem. Ich konnte leider noch nicht testen, was passiert wenn ein Domänen-PC von komplett außerhalb zugreifen will, konnte ich mangels Gerät noch nicht testen. Hausintern habe ich einen DNS-Eintrag erstellt, der gateway.yxc.de direkt zur IP des Brokers leitet. Wenn ich nun stattdessen die externe IP des Routers angebe, bekomme ich zwar einmalig eine Zertifikatswarnung, dass der Name nicht übereinstimmt, aber es funktioniert. Ich gehe also davon aus, dass die Domänencomputer funktionieren.
Ich weiß nicht mehr, auf wie viele Arten ich Zertifikate ausgestellt habe, aber alles schlägt fehl. Das vielversprechendste wäre eigtl. das hier, leider gilt das nur für eine Farm, nicht für eine Farm mit Gateway.
http://www.thurnhofer.net/howtos/RDS_Farm_Server_2012_R2.pdf
Ein Wildcardzertifikat für *.yxc.de. Das sollte eigtl. perfekt sein, weil externe und lokale Domäne den gleichen Namen haben. Ich bekomme aber beim Aufbau der Verbindung immer noch eine Zertifikatswarnung für *.yxc.de, dass keine Sperrprüfung durchgeführt werden konnte.
Ja, das jeweilige Zertifikat habe ich per MMC auf allen Servern in den passenden Speicher importiert und über die Konfiguration des Remotedesktop-Sitzungshosts von einem 2008er Server aus auch jeweils ausgewählt. auch an den PCs von welchen aus ich versuche die Verbindung auszubauen, sind die Zertifikate installiert.
Ich weiß langsam nicht mehr, was ich machen soll, da einige Beschreibungen auch widersprüchlich sind. Kennt irgendjemand ein HowTo, von mir aus auch englisch in welchem eine Farm mit Gateway komplett durchgezogen wird?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284985
Url: https://administrator.de/forum/einrichtung-rdp-gateway-mit-serverfarm-zertifikatsprobleme-server-2012r2-284985.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr