samrein
Goto Top

RDS Server + Microsoft Webproxy

Servus zusammen,

ich teste gerade mal den WAP Proxy von Microsoft in meiner Testfarm.

WAP in der DMZ
RDS Webaccess und Gateway Server im Trusted Network
RDS Session Host > Trusted Network

Ich habe den WAP in zwei Szenarien eingerichtet, einmal mit einem ADFS Server für die Authentifizierung und einmal mit PassTrough.

Das Forwarding funktionert in beiden Fälle einwandfrei.

Allerdings ist mir aufgefallen, das wenn ich mich an der Webseite anmelde (Login funktioniert auch) und die mstsc -Datei öffnen oder lade, diese leer ist.
Sie hat einfach 0KB.

Wenn ich auf dem internen Webaccess Server den File lade ( und diesen habe ich für den direkten Zugriff genutzt) dann ist die Datei mit Inhalten gefüllt.
Hiermit kann ich mich dann auch sauber von außen verbinden.

Es handelt sich hier doch nur um eine reines forwarding, wo könnte hier die Ursache liegen?

Hat jemand diese Konfiguration im Einsatz?

Grüße Stefan und ein schönes WE!

Content-Key: 807151618

Url: https://administrator.de/contentid/807151618

Printed on: June 24, 2024 at 10:06 o'clock

Member: Inf1d3l
Inf1d3l Jun 25, 2021 at 13:22:34 (UTC)
Goto Top
Das RDS-Gateway ist doch der Webproxy in diesem Fall und steht normalerweise in der DMZ. Wofür brauchst du den "WAP"?
Member: samrein
samrein Jun 25, 2021 updated at 13:42:24 (UTC)
Goto Top
Hey...

bei mir steht der RDS Gateway in einem Trusted Network.
Allerdings ist zwischen den beiden Trusted Networks noch eine FW.

Daher möchte ich den WAP nutzen.
Member: Dani
Dani Jun 25, 2021 at 18:58:15 (UTC)
Goto Top
Moin,
da du nicht geschrieben hast wie die Konfiguration aussieht, erst einmal ein paar Referenzen:
https://social.technet.microsoft.com/wiki/contents/articles/33630.adfs-w ...
https://www.mideye.com/support/administrators/documentation/integration/ ...
https://www.petenetlive.com/KB/Article/0001143

Allerdings ist mir aufgefallen, das wenn ich mich an der Webseite anmelde (Login funktioniert auch) und die mstsc -Datei öffnen oder lade, diese leer ist. Sie hat einfach 0KB.
Nuzt du /rdweb oder /html5?


Gruß,
Dani
Member: samrein
samrein Jun 26, 2021 at 09:18:23 (UTC)
Goto Top
Hey Dani,

danke für die links.
Die kenn ich.

Ich nutze nur /RDWeb und den direct access über einen rdp file.

Wenn ich das richtig gelesen haben funktioniert html mit dem WAP auch nicht wirklich.

Im Moment sieht das bei mir so aus in meiner Testfarm:

DMZ > WAP Proxy (W2019) > SSL (PORT 443) auf (TRUSTED) Gateway Server > (TRUSTED) Port 3389 auf Session HOST

Ich habe das erstmal in der Testdomäne ohne ADFS konfiguriert und die Anmeldung direkt (PassTrough übergeben.

In einer Produktionsumgebung bei mir hab ich im Moment leider noch die Konfiguration das der Access direkt über den MS-Gateway läuft der in einem Trusted Network steht, allerdings mit 2 MFA. Das ist nicht schön.

Das möchte ich gerne umstellen, dafür gibt es jetzt zwei Wege:

Variante 1:
Entweder in der DMZ einen WAP mit ADFS installieren. Das hab ich bereits getan und der funktioniert auch. Konnte ich aber nicht bis zum Ende testen, weil ich in der Farm dann die Access-Url ändern muss, oder in der Firewall beim externen Zugriff den SNAT auf die IP des WAP lenken musste. In dem Fall haben wir nicht getestete Produktionsumgebung.
Und ich muss halt sicherstellen, das nicht nur die RDP Files funktionieren, sondern auch der Anmeldeseite vom RDWEB.
Daher meine Testumgebung.

Variante 2:
Die beiden Gateway-Server in die DMZ schieben, entsprechende Ports für LDAP, AD usw.. freigeben... das habe ich aber auch noch nicht testen können. Dann hab ich die Firewall zwischen DMZ und den TRUSTED Network.

Grüße
Stefan
Member: Dani
Dani Jun 28, 2021 at 20:38:31 (UTC)
Goto Top
Moin,
ich habe bei bei uns einmal nachgefragt. Wir nutzen auschließlich RDweb im Kombination mit RemoteApps. Der Zugriff von außen läuft über WAP + ADFS und RD Gateway mit RD Connection Broker. Alle Server laufen unter Windows Server 2019.

Technisch gesehen kann eine RDP Datei mit WAP und ADFS nicht funktionieren. Da die Anmeldung über den AD FS läuft, was die RDP Datei nicht weiß und auch technisch nicht vorgesehen ist.


Gruß,
Dani
Member: samrein
samrein Jun 29, 2021 at 07:36:56 (UTC)
Goto Top
Hey Dani,

besten Dank für Deine Rückmeldung. Das mit der direkten Anmeldung beim RDP File läuft über PassTrough, da hier noch eine 2MFA zwischen hängt macht mir das keine Bauchschmerzen. Das funktioniert einwanfrei.
Bezüglich des Anmeldung am RDWeb werde ich das ADFS in meiner Testumgebung noch nachziehen, das wird dann vermutlich funktionieren. Werde berichten.

Einen guten Tag für Dich und Danke

Grüße
Stefan