W2K8-R2-Remotedesktopgateway + Web Access Publish…

{ Posted on Mai 10 2010 by Karsten Hentrup }
Categories : Karsten Hentrup, TMG

…Tach Allerseits,

aufgrund eines aktuellen Kundenprojekts habe ich mich mit dem Veröffentlichen von Remotedesktopgateway und Web Access für Remotedesktop beschäftigt. Dabei ist ein kleines Bilderbuch entstanden, welches hier zu finden ist: http://www.aixperts.de/dox/RDG-und-TMG.pdf

Die Konfiguration der Remotedesktop Services ist in den jeweiligen realen/produktiven Umgebungen sicherlich noch feinzutunen. Das Bilderbuch stellt eine mögliche Vorgehensweise dar. Der Fokus auf die Prä-Authentifizierung am TMG hatte absolute Priorität – die meisten Dokus und Workarounds hierzu leiten die Authentifizierungsanfragen direkt an das RDG weiter.

Eine “Kleinigkeit” stört mich aber doch: Wenn ich mit einem externen Client via Browser auf eine RemoteApp im Web Access für Remotedesktop zugreife wird mir ein selfsigned Zertifikat für die RemoteApp vom RDG untergejubelt und das obwohl ich ein passendes Serverzertifikat auf die Site gebunden habe (siehe Anleitung). Ich habe bei meinen Recherchen zumindest keine Option gefunden für die Verwendung von RemoteApps im Web Acces für Remotedesktop ein anderes Zertifikat anzugeben. Falls es Jemanden gibt der einem RDG-Laien wie mir hier unter die Arme greifen kann – jede Hilfe ist willkommen! Hier ein Bild des nicht gewollten Zertifikats:

warumdu

 

Vielen Dank an Kai Wilkes Blogeintrag zur vorgelagerten Authentifizierung bei RDG/TSG.

Vielen Dank an Marcimarc für’s technische Korrekturlesen und die Extrastunde Arbeit (Insider).

😉

Vielen Dank an “meine Frankfurter Jungs” für’s Projekt!

Gruß, Karsten Hentrup aka Jens Mander…

|<-|


17 Responses to “W2K8-R2-Remotedesktopgateway + Web Access Publish…”

  1. Hi,
    zu Deiner Kleinigkeit: Entscheiden ist was für ein Zertifikat am RDP-Listener
    des TS’ler gebunden ist oder ggf. der Farm im NLB. Am Besten das gleiche Zertifikat, wie am TMG hinsichlich des FQDNs (und/oder SAN) am RDP-TCP
    Listener hinterlegen. Dann gibt es auch keine Selsign-Zertifijate mehr.

  2. hallo andreas,
    vielen dank für deine rückmeldung! gestern abend ging mir auch noch durch den kopf, das die remoteapps ja direkt durch den sitzungshost „ausgeliefert“ werden, wenn ich das richtig gesehen habe. damit wäre auch klar, warum das zertifikat auf dem rdg, dem web access und für die signierung der rdp-dateien nicht verwendet wird. dadurch das hier nicht mehr reverse geproxt wird ist wahrscheinlich ein san erste wahl. ich werde das heute noch ausprobieren und dann in meine doku mit einbauen!
    remotedesktop unter w2k8-r2 gefällt mir recht gut. wie würde marcimarc sagen: eine charmante lösung! 😉
    was mir allerdings nicht gefällt: die performance wirkt etwas träge, kann das angehen, das viel zeit für die profilerstellung draufgeht (im hintergrund, beim zugriff auf eine remoteapp z.b.). was ich ebenfalls unschön gelöst finde sind die zig-verschiedenen mmc-konsolen zum thema. lieber eine oder zwei etwas umfangreichere als 10 verschiedene!
    gruss und nochmals vielen dank,
    karsten….

  3. Hi Karsten,

    zur Performance solltest Du mal folgenden Thread lesen:
    http://social.technet.microsoft.com/Forums/de-DE/windows_Serverde/thread/eb090eb5-a8a9-4b6f-95c0-20960720d5c1

    Bau Dir doch selbst eine MMC 🙂

  4. moin andreas,
    thx für den link!
    mit der mmc hast du natürlich recht – da habe ich mich vlt. falsch ausgedrückt: imho wäre ein snapin ausreichend mit passenden „unterknoten“.
    😉
    dann nochmal zur installation selber – ich habe gestern noch ein wenig mit meinem szenario „rumgespielt“ – aber keine besserung erzielt. vlt. nochmal kurz dargestellt:
    greife ich von intern aufs remotedesktopgateway mit https/rpc zu dann funkt alles einwandfrei – als zertifikat wird ein san-zertifikat mit dem internen, sowie externen fqdn verwendet – es kommen keinerlei zertifikatswarnungen. im remotedesktop-manager ist mein per interner ca ausgestelltes zertifikat ausgewählt und wird auch passend angezeigt. die option ssl-bridging auf den eigenschaften des rdg brachte auch keine besserung (jene ist auch falsch ins deutsche übersetzt worden).
    greife ich von intern auf web access für remotedesktop zu und öffne eine remoteapp funkt auch alles einwandfrei. es wird mein san-zertifikat ausgeliefert, welches auch passend im zertifikatsspeicher abgelegt und vom iis verwendet wird. beim aufruf der remoteapp gibt es keine zertifikatsmeldungen.
    von extern wiederum – gepublished über meinen tmg läuft das rdg wie oben beschrieben. web access ist soweit auch o.k. – ich komme ohne probleme und ohne fehlermeldungen auf die website. sobald ich aber eine remote-app starte kommt die meldung, das ein selfsigned-certificate verwendet wird. dieses zertifikat wurde nicht von mir angelegt, sondern vom services selber und findet sich auch im zertifikatsspeicher wieder. weitere möglichkeiten zertifikate auf die jeweiligen services oder apps zu binden habe ich nicht gefunden!
    gruss, karsten…

  5. Hi Karsten,
    um nicht die Übersicht hier zu verlieren, könntest du mich nicht direkt anmailen bzw. einen Thread in der Technet aufmachen ?
    Ergebnis wird dann sicherlich hier gepostet. 😛
    Zwischenfrage, mit was für einem Client BS arbeitest Du ?
    Werde mir mal morgen Deine o.g. PDF zu gemüte führen.

  6. Moin,

    wenn das Problem noch existent ist, dann binde doch mal bitte das „richtige“ Zertifkat auf dem RDP-Listner des Terminalservers

    Konfigurations für Remotedesktop-Sizungshostsever -> RDP-TCP -> Eingeschaften -> Allgemein unten Zertifikat.

    Damit wird dann nicht mehr das selfsigned Zertifkat benutzt.

    Grtuß Timo

  7. moin timo, genau dort wurde das richtige zertifikat ausgewählt und nicht das selfsigned! projekt ist schon lange abgeschlossen und alle können damit erstmal leben. beim nächsten kunden wo ich das einrichte schau ich mir das ganze nochmal genauer an.
    vielen dank für die rückmeldung!
    gruss, karsten hentrup aka jens mander…

  8. Hallöle … vielleicht darf/kann/soll ich hier gar nicht fragen ….
    Hmmm ggf. einfach löschen …
    Habe das RDWEB (W2K8 R2) über den TMG nach Eurer Anleitung veröffentlicht. Funktioniert alles so wie es soll … Danke für den Betrag …..
    Würde das jedoch gerne noch mit der FBA am TMG realisieren.
    Und schön wäre es auch, wenn man dann die Anmeldung am RDWEB umgehen könnte. Geht das? Hat das schon mal einer gemacht?
    Danke … Bernd

  9. moin bernd,
    klar darfst/kannst/sollst du hier fragen.
    nur helfen kann ich leider nicht, ich habe das in der kombination noch nicht ausprobiert und momentan auch in meinen labs kein rdg ausgerollt umd das flott gegenzutesten.
    marc – wie schauts bei dir aus – erfahrungen mit fba/tmg und rdg?
    gruss, karsten…

  10. Noe, werde ich aber mal in meinem anderen Leben testen

  11. Moin,

    verstehe ich dich richtig FBA (Form Based Authentication) geschützt durch TMG ?! Also so wie bei OWA, da wird ja vom TMG die FBA des Exchange durch eine eigene FBA ersetzt, enthält dann den Zusatz „Geschützt durch TMG“.

    Geht nicht, ist mir auch schon aufgestoßen. Da hat MS etwas geschlafen, da wir ja eingelich die OWA-Vorlage mißbrauchen. Es gibt keine extra WEB-Veröffentlichung für TSGW, leider.

    Des Weiteren würde mich mal intressieren, was Ihr macht wenn dass TMG Workgroupmember in der DMZ ist ?! Dann geht dass nicht mit dem SPN.

    Gruß Timo

  12. moin timo,

    ja hast du richtig verstanden, genau das war gemeint – fba auf tmg!
    fba ist übrigens nicht zwingend owa, sondern kann flexibel eingesetzt werden.

    wenn tmg in einer workgroup läuft und du trotzdem mit eingehenden authentifizierungen arbeiten willst, dann musst du die authentifizierungsanfragen via ldap oder radius weiterleiten. kcd kannste dann natürlich knicken!

    gruss, karsten hentrup aka jens mander…

  13. ansonsten auch mal marcs rdg-artikel auf isaorg anschauen:

    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Publishing-RD-Web-Access-RD-Gateway-Part1.html

  14. Hallo ich nochmal …..
    Habe es hinbekommen das RDWEB über den TMG mit FBA zu Veröffentlichen, jedoch nur mit zwei öffentlichen IP Adressen und zwei Web-Veröffentlichungs-Regeln.

    1x TMG Web-Veröffentlichungs-Regel zum TS-Server Web nur (Verzeichnis) RDWEB
    keine Delegierung aber direkte Authentifizierung
    Alle authentifizierten Benutzer
    WL mit erster IP => https nur zum RDEB => FBA
    (Im WL bei Authentifizierung unter Erweitert => Authentifizierung ist für alle Benutzer erforderlich)

    1x TMG Web-Veröffentlichungs-Regel zum TS-Server Web nur (Verzeichnis) RPC
    keine Delegierung aber direkte Authentifizierung
    Alle Benutzer
    WL mit zweiter IP => https nur zum RPC => keine Authentifizierung
    (Im WL bei Authentifizierung unter Erweitert => Authentifizierung ist für alle Benutzer erforderlich)

    Jedoch muss ich ehrlich gestehen, dass ich im Moment die Sicherheit an dieser Stelle (mit dieser Konfiguration) nicht wirklich beurteilen kann. Fällt Euch so auf die Schnelle dazu was ein?

  15. moin bernd,
    warum hast du nicht beide verzeichnisse (/rdweb und /rpc) über einen listener angebunden? oder funktionierte es dann nicht? letztendlich musst du auf diese variante 2 zertifikate und ips opfern!

  16. Hi Jens …
    Mit nur einem WL habe ich das absolut nicht hinbekommen…… die Folge , egal mit welchen Einstellungen, war ein immer wiederkehrendes Anmeldefenster.
    Ich wollte ja nun unbedingt die erste Authentifizierung am TMG machen und Ziel war es, dass mit FBA zu realisieren.
    Die erste Anmeldung am TMG klappte mit nur einem WL auch, dann kam das RDWEB mit seiner eigenen Anmeldung, war auch noch OK. Nur wenn man dann eine Applikation vom RDWEB startete, kam halt immer noch ein Anmeldefenster, welches die Anmeldung auch immer und immer wieder wiederholte. Soweit ich das (nur aus der Praxis) beurteilen kann, kommt das RDWEB-RPC mit der FBA vom TMG nicht zurecht.
    Aber wäre wirklich toll, wenn das mal jemand testen kann, ist auch nicht eilig, -Fahre jetzt- erst einmal 18 Tage in Urlaub – bis denne …. Bernd 😉

  17. moin bernd,
    können wir gerne testen! der vorteil von marc und mir ist ja das wir käuflich sind. nur eine frage der konditionen.
    😉

Post a Comment

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.

*