Vor kurzem haben wir unser GoDaddy-Wildcard-Zertifikat mit dem SHA256-Signaturalgorithmus neu herausgegeben (FYI widerrufen das alte Zertifikat immer noch innerhalb von 72 Stunden, selbst wenn Sie es nicht erneut eingeben, also sollten Sie es trotzdem erneut eingeben). Wir verwenden dieses Zertifikat für unsere RemoteApps, RDPs, RDGateway und RDWeb (IIS) von Terminalservern. Wenn ich im neuen "RemoteApp Manager" -> "Einstellungen für digitale Signatur" auf einem bestimmten Terminalserver (AKA-Sitzungshostserver) auf das neue Platzhalterzertifikat umsteige, schlagen Verbindungen von RDWeb für auf diesem Terminalserver veröffentlichte Apps für einige Benutzer fehl. Verbindungen, die eine RDP-Datei verwenden, funktionieren jedoch für alle Benutzer. Und das ist das Merkwürdigste, was ich je gesehen habe. Der falsche Benutzer wird als verweigerter Zugriff am Gateway protokolliert. Wenn ich das Zertifikat wieder in das alte, für diese Einstellung widerrufene Zertifikat umwandle, funktioniert alles. Arbeits-Setup:
Nicht funktionierendes Setup:
Beim Starten von RDWeb mit dem Benutzer "CONTOSO \ bob" wird der folgende Fehler generiert: Remote Desktop kann aus einem der folgenden Gründe keine Verbindung zum Remote-Computer "ts1.contoso.com" herstellen: 1) Ihr Benutzerkonto ist nicht in der Berechtigungsliste des RD-Gateways aufgeführt 2) Sie haben den Remote-Computer möglicherweise im NetBIOS-Format angegeben ...  Wenn ich mir das Ereignisprotokoll "Microsoft-Windows-TerminalServices-Gateway/Operational" anschaue, sehe ich den folgenden Fehler: Der Benutzer "CONTOSO \ alice" auf Clientcomputer "123.123.123.123" hat die Anforderungen für die Ressourcenautorisierungsrichtlinie nicht erfüllt und war daher nicht für die Ressource "ts1.contoso.com" berechtigt ". Der folgende Fehler ist aufgetreten: "23002". Was ist los? Warum bewirkt das Ändern des Signaturzertifikats von RemoteApp, dass das Gateway denkt, dass dies ein anderer Benutzer ist, der eine Verbindung herstellt? Diese Seite wurde gefunden, nachdem das gleiche Problem aufgetreten ist. Für uns bestand die Lösung darin, Port 3389 zu Loopback (aka Hairpin NAT) auf unserer Firewall hinzuzufügen. Einige zusätzliche Details: Das Ersetzen des Zertifikats war komplizierter, als es beim ersten Mal zu installieren, aber ich denke, wir haben es richtig gemacht, und Apps funktionierten gut für ein oder zwei Tage. Die Benutzer haben beim Start Fehler erhalten, und wir haben das Powershell-Skript hier https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80 verwendet, um den FQDN erneut zu veröffentlichen der Server. Ich denke, dieses Skript muss den FQDN in einem Teil der Konfiguration festgelegt haben, der noch nie zuvor angegeben wurde, wodurch das RD-Gateway über seinen FQDN auf sich selbst verweist, um Anforderungen weiterzuleiten. Diese Anfragen sind fehlgeschlagen, da unsere Edge-Firewall nur 80 und 443 sowohl für eingehende als auch für Loopback-Anfragen zugelassen hat. Durch Hinzufügen von Port 3389 zur Loopback-Regel auf der Firewall wurde das Problem sofort behoben. Remotedesktopdienste in Windows Server 2016 Ressourcenautorisierungsrichtlinien erstellen und verwaltenDie Konfiguration der Richtlinie, in der definiert wird, auf welche Remotedesktopserver die Anwender zugreifen können (RD-RAP), finden Sie über den Knoten Ressourcenautorisierungsrichtlinien im Remotedesktopgateway-Manager. Anbieter zum Thema (Pixabay.com) Remotedesktopserver entweder als einzelnes Computerkonto oder besser als Gruppe hinterlegt sind. Sie müssen an dieser Stelle sicher sein, dass Ihre Auswahl konsistent ist. Das heißt, dass für die Gruppen, die Sie in der RD-CAP definieren eine RD-RAP existieren muss, die auf die entsprechende Gruppe in Active Directory verweist, in der sich die Computerkonten der Remotedesktopserver befinden. Damit das Remotedesktopgateway funktioniert, müssen Sie darüber hinaus sicherstellen, dass der Systemdienst Remotedesktopgateway gestartet ist. Ohne diesen Dienst ist keine Verbindung möglich. Auch die Standardwebseite in der IIS-Verwaltung muss gestartet sein, damit der Zugriff funktioniert. Stellen Sie sicher, dass das Zertifikat für den Gatewayserver installiert ist. Sie können in den Eigenschaften des Servers auf der Registerkarte SSL-Zertifikat entweder das bei der Installation erstellte Zertifikat verifizieren oder ein neues Zertifikat ausstellen. Stellen Sie sicher, dass das Zertifikat auf dem Server installiert ist. Damit sich Clients über das Internet mit dem Gateway verbinden, müssen Anwender in den Optionen für den Remotedesktopclient auf der Registerkarte Erweitert die Schaltfläche Einstellungen anklicken. Anschließend können Sie Einstellungen für den Verbindungsaufbau über ein Gateway konfigurieren. |
Ihr Benutzerkonto wird nicht in der Berechtigungsliste des Remotedesktopgateways aufgeführt
Urheberrechte © © 2024 WIKIFI Inc.
