RDS Sitzungssammlung 2019 Zertifikate

Mitglied: MasterPhil

MasterPhil (Level 1) - Jetzt verbinden

14.01.2021 um 09:12 Uhr, 238 Aufrufe, 1 Kommentar

Hallo Zusammen,

wir bauen derzeit parallel eine neue IT-Infrastruktur auf, unter anderem mit einer RDS-Sitzungssammlung mit 2 RDSH auf Basis von Server 2019. Die Sammlung besteht schematisch aus folgenden Servern:

1 Broker
1 Lizenzserver
1 RD Web /RD Gateway Server
2 RDSH

Die Sammlung ist soweit konfiguriert und es funktioniert der Zugriff auf die Farm - allerdings mit den Default-Zertifikaten. Wenn ich mich in RDWeb anmelde und die vorkonfigurierte RDP-Datei zum Zugriff auf die Sammlung verwende, funktioniert der Zugriff, allerdings logischerweise mit Zertifikatsfehler. Die vorkonfigurierte RDP Datei greift auf den FQDN des Brokers zu.

Das AD ist nach dem Schema ad.firma.de benannt, die Server haben also z. B. die Namen Broker.ad.firma.de.

Muss ich nun ein Zertifikat (z. B. Wildcard) mit *.ad.firma.de verwenden, damit intern keine Zertifikatfehler mehr kommen (Das Zertifikat den beiden RDSHs zuweisen sowie dem Broker) und für den RD Web / RD Gateway Zugriff von außen nochmal ein zweites mit der externen Domain z. B. rdgw.kunde.de? Oder verwendet man von extern dann den FQDN rdgw.ad.kunde.de, damit ich keine 2 Zertifikate benötige, sondern nur mit dem Wildcard arbeiten kann? Im Web hab ich immer viel mit .local Domains gefunden und internen Microsoft PKIs, ich möchte aber mit offiziellen Zertifikaten arbeiten.

Als zweite Frage, was ich auch nicht recherchieren konnte ist, wie der Zugriff auf die Farm bei 2019 im Best Practice geplant ist. Die DNS Round Robin Einträge sollen wohl nicht mehr verwendet werden, stattdessen die vorkonfigurierte RDP Datei aus dem RD Web.
Mitglied: Dani
16.01.2021 um 13:21 Uhr
Moin,
Muss ich nun ein Zertifikat (z. B. Wildcard) mit *.ad.firma.de verwenden, damit intern keine Zertifikatfehler mehr kommen (Das Zertifikat den beiden RDSHs zuweisen sowie dem Broker) und für den RD Web / RD Gateway Zugriff von außen nochmal ein zweites mit der externen Domain z. B. rdgw.kunde.de?
das hängt davon ab, welche Philosophie du bezüglich DNS verfolgst (Split-DNS oder getrennte Namensräume). Beides hat Vor- und Nachteile in einem Netzwerk. Das hängt auch ein bisschen von IT Design ab. Gerade auf Hinblick, ob das RDGW/RDWEB ausschließlich extern oder auch intern nutzen möchtest. Zwei Namesräume bringen auch eine gewisse Komplextiät mit sich, die es beim Einrichten und Fehlersuche deutlich schwerer machen.

Oder verwendet man von extern dann den FQDN rdgw.ad.kunde.de, damit ich keine 2 Zertifikate benötige, sondern nur mit dem Wildcard arbeiten kann? Im Web hab ich immer viel mit .local Domains gefunden und internen Microsoft PKIs, ich möchte aber mit offiziellen Zertifikaten arbeiten.
Ein Wildcard Zertfikat deckt immer nur ein Namensraum ab.

Ein solches Zertifikat mit dem Namensraum kunde.de deckt rds.kunde.de ab aber nicht rds.ad.kunde.de.
Ein solches Zertifikat mit dem Namensraum ad.kunde.de deckt rds.ad.kunde.de ab aber nicht rds.test.ad.kunde.de.

Als zweite Frage, was ich auch nicht recherchieren konnte ist, wie der Zugriff auf die Farm bei 2019 im Best Practice geplant ist. Die DNS Round Robin Einträge sollen wohl nicht mehr verwendet werden, stattdessen die vorkonfigurierte RDP Datei aus dem RD Web.
Round Robin über DNS sollte nach wie vor funktionieren. Best Practice hängt auch ein Stück weit von den Anforderungen an Sicherheit und Clients (Domain Joined oder Workgroup).

Wir erlauben den Zugriff im LAN ausschließlich über RDGW/RDWEB. Der entsprechend Feed ist auf den Clients eingebunden, so dass die Programme bzw. Verknüpfungen im Startmenü des MA auftauchen. Das Schöne dabei ist, dass wenn die Nutzer mit Notebooks zu Hause arbeiten ohne zutun die Anwendungen aufrufen können. :-) face-smile


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 21 StundenInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Windows Systemdateien
Windows 10 Kernisolierung: Inkompatible Treiber entfernen
FrankVor 1 TagAnleitungWindows Systemdateien1 Kommentar

Hallo, Eigentlich wollte ich nur den Empfehlungen der Windows Sicherheit nachgehen und unter Einstellungen -> Windows Sicherheit -> Kernisolierung, die Speicher-Integrität einschalten. Die Kernisolierung ...

Vmware
ESXI 6.5 Fehlgeschlagen - Zugriff auf eine Datei nicht möglich, weil sie gesperrt ist
gelöst zeroblue2005Vor 1 TagFrageVmware5 Kommentare

Hallo Zusammen, da meint man es gut und dann geht es in die Hose Aber erst mal zum IST-Zustand: - ESXI 6.5 U1 (Standalone) ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...

Webbrowser
Frage zu "Remote-Debugging"
neuundbesserVor 1 TagFrageWebbrowser4 Kommentare

Moin, ich bin seit ein Paar Monaten in einem Projekt indem ich einfache Themen in JS-Code erledigen muss. Habe mich mittlerweile etwas in das ...