6
RDS Server + Microsoft Webproxy
Servus zusammen,
ich teste gerade mal den WAP Proxy von Microsoft in meiner Testfarm.
WAP in der DMZ
RDS Webaccess und Gateway Server im Trusted Network
RDS Session Host > Trusted Network
Ich habe den WAP in zwei Szenarien eingerichtet, einmal mit einem ADFS Server für die Authentifizierung und einmal mit PassTrough.
Das Forwarding funktionert in beiden Fälle einwandfrei.
Allerdings ist mir aufgefallen, das wenn ich mich an der Webseite anmelde (Login funktioniert auch) und die mstsc -Datei öffnen oder lade, diese leer ist.
Sie hat einfach 0KB.
Wenn ich auf dem internen Webaccess Server den File lade ( und diesen habe ich für den direkten Zugriff genutzt) dann ist die Datei mit Inhalten gefüllt.
Hiermit kann ich mich dann auch sauber von außen verbinden.
Es handelt sich hier doch nur um eine reines forwarding, wo könnte hier die Ursache liegen?
Hat jemand diese Konfiguration im Einsatz?
Grüße Stefan und ein schönes WE!
ich teste gerade mal den WAP Proxy von Microsoft in meiner Testfarm.
WAP in der DMZ
RDS Webaccess und Gateway Server im Trusted Network
RDS Session Host > Trusted Network
Ich habe den WAP in zwei Szenarien eingerichtet, einmal mit einem ADFS Server für die Authentifizierung und einmal mit PassTrough.
Das Forwarding funktionert in beiden Fälle einwandfrei.
Allerdings ist mir aufgefallen, das wenn ich mich an der Webseite anmelde (Login funktioniert auch) und die mstsc -Datei öffnen oder lade, diese leer ist.
Sie hat einfach 0KB.
Wenn ich auf dem internen Webaccess Server den File lade ( und diesen habe ich für den direkten Zugriff genutzt) dann ist die Datei mit Inhalten gefüllt.
Hiermit kann ich mich dann auch sauber von außen verbinden.
Es handelt sich hier doch nur um eine reines forwarding, wo könnte hier die Ursache liegen?
Hat jemand diese Konfiguration im Einsatz?
Grüße Stefan und ein schönes WE!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 807151618
Url: https://administrator.de/contentid/807151618
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
6 Kommentare
Neuester Kommentar
Das RDS-Gateway ist doch der Webproxy in diesem Fall und steht normalerweise in der DMZ. Wofür brauchst du den "WAP"?
Hey...
bei mir steht der RDS Gateway in einem Trusted Network.
Allerdings ist zwischen den beiden Trusted Networks noch eine FW.
Daher möchte ich den WAP nutzen.
bei mir steht der RDS Gateway in einem Trusted Network.
Allerdings ist zwischen den beiden Trusted Networks noch eine FW.
Daher möchte ich den WAP nutzen.
Moin,
da du nicht geschrieben hast wie die Konfiguration aussieht, erst einmal ein paar Referenzen:
https://social.technet.microsoft.com/wiki/contents/articles/33630.adfs-w ...
https://www.mideye.com/support/administrators/documentation/integration/ ...
https://www.petenetlive.com/KB/Article/0001143
Gruß,
Dani
da du nicht geschrieben hast wie die Konfiguration aussieht, erst einmal ein paar Referenzen:
https://social.technet.microsoft.com/wiki/contents/articles/33630.adfs-w ...
https://www.mideye.com/support/administrators/documentation/integration/ ...
https://www.petenetlive.com/KB/Article/0001143
Allerdings ist mir aufgefallen, das wenn ich mich an der Webseite anmelde (Login funktioniert auch) und die mstsc -Datei öffnen oder lade, diese leer ist. Sie hat einfach 0KB.
Nuzt du /rdweb oder /html5?Gruß,
Dani
Hey Dani,
danke für die links.
Die kenn ich.
Ich nutze nur /RDWeb und den direct access über einen rdp file.
Wenn ich das richtig gelesen haben funktioniert html mit dem WAP auch nicht wirklich.
Im Moment sieht das bei mir so aus in meiner Testfarm:
DMZ > WAP Proxy (W2019) > SSL (PORT 443) auf (TRUSTED) Gateway Server > (TRUSTED) Port 3389 auf Session HOST
Ich habe das erstmal in der Testdomäne ohne ADFS konfiguriert und die Anmeldung direkt (PassTrough übergeben.
In einer Produktionsumgebung bei mir hab ich im Moment leider noch die Konfiguration das der Access direkt über den MS-Gateway läuft der in einem Trusted Network steht, allerdings mit 2 MFA. Das ist nicht schön.
Das möchte ich gerne umstellen, dafür gibt es jetzt zwei Wege:
Variante 1:
Entweder in der DMZ einen WAP mit ADFS installieren. Das hab ich bereits getan und der funktioniert auch. Konnte ich aber nicht bis zum Ende testen, weil ich in der Farm dann die Access-Url ändern muss, oder in der Firewall beim externen Zugriff den SNAT auf die IP des WAP lenken musste. In dem Fall haben wir nicht getestete Produktionsumgebung.
Und ich muss halt sicherstellen, das nicht nur die RDP Files funktionieren, sondern auch der Anmeldeseite vom RDWEB.
Daher meine Testumgebung.
Variante 2:
Die beiden Gateway-Server in die DMZ schieben, entsprechende Ports für LDAP, AD usw.. freigeben... das habe ich aber auch noch nicht testen können. Dann hab ich die Firewall zwischen DMZ und den TRUSTED Network.
Grüße
Stefan
danke für die links.
Die kenn ich.
Ich nutze nur /RDWeb und den direct access über einen rdp file.
Wenn ich das richtig gelesen haben funktioniert html mit dem WAP auch nicht wirklich.
Im Moment sieht das bei mir so aus in meiner Testfarm:
DMZ > WAP Proxy (W2019) > SSL (PORT 443) auf (TRUSTED) Gateway Server > (TRUSTED) Port 3389 auf Session HOST
Ich habe das erstmal in der Testdomäne ohne ADFS konfiguriert und die Anmeldung direkt (PassTrough übergeben.
In einer Produktionsumgebung bei mir hab ich im Moment leider noch die Konfiguration das der Access direkt über den MS-Gateway läuft der in einem Trusted Network steht, allerdings mit 2 MFA. Das ist nicht schön.
Das möchte ich gerne umstellen, dafür gibt es jetzt zwei Wege:
Variante 1:
Entweder in der DMZ einen WAP mit ADFS installieren. Das hab ich bereits getan und der funktioniert auch. Konnte ich aber nicht bis zum Ende testen, weil ich in der Farm dann die Access-Url ändern muss, oder in der Firewall beim externen Zugriff den SNAT auf die IP des WAP lenken musste. In dem Fall haben wir nicht getestete Produktionsumgebung.
Und ich muss halt sicherstellen, das nicht nur die RDP Files funktionieren, sondern auch der Anmeldeseite vom RDWEB.
Daher meine Testumgebung.
Variante 2:
Die beiden Gateway-Server in die DMZ schieben, entsprechende Ports für LDAP, AD usw.. freigeben... das habe ich aber auch noch nicht testen können. Dann hab ich die Firewall zwischen DMZ und den TRUSTED Network.
Grüße
Stefan
Moin,
ich habe bei bei uns einmal nachgefragt. Wir nutzen auschließlich RDweb im Kombination mit RemoteApps. Der Zugriff von außen läuft über WAP + ADFS und RD Gateway mit RD Connection Broker. Alle Server laufen unter Windows Server 2019.
Technisch gesehen kann eine RDP Datei mit WAP und ADFS nicht funktionieren. Da die Anmeldung über den AD FS läuft, was die RDP Datei nicht weiß und auch technisch nicht vorgesehen ist.
Gruß,
Dani
ich habe bei bei uns einmal nachgefragt. Wir nutzen auschließlich RDweb im Kombination mit RemoteApps. Der Zugriff von außen läuft über WAP + ADFS und RD Gateway mit RD Connection Broker. Alle Server laufen unter Windows Server 2019.
Technisch gesehen kann eine RDP Datei mit WAP und ADFS nicht funktionieren. Da die Anmeldung über den AD FS läuft, was die RDP Datei nicht weiß und auch technisch nicht vorgesehen ist.
Gruß,
Dani
Hey Dani,
besten Dank für Deine Rückmeldung. Das mit der direkten Anmeldung beim RDP File läuft über PassTrough, da hier noch eine 2MFA zwischen hängt macht mir das keine Bauchschmerzen. Das funktioniert einwanfrei.
Bezüglich des Anmeldung am RDWeb werde ich das ADFS in meiner Testumgebung noch nachziehen, das wird dann vermutlich funktionieren. Werde berichten.
Einen guten Tag für Dich und Danke
Grüße
Stefan
besten Dank für Deine Rückmeldung. Das mit der direkten Anmeldung beim RDP File läuft über PassTrough, da hier noch eine 2MFA zwischen hängt macht mir das keine Bauchschmerzen. Das funktioniert einwanfrei.
Bezüglich des Anmeldung am RDWeb werde ich das ADFS in meiner Testumgebung noch nachziehen, das wird dann vermutlich funktionieren. Werde berichten.
Einen guten Tag für Dich und Danke
Grüße
Stefan
