Win RDS farm 2012 não acessível para clientes externos

Navegue suas respostas
3

Clientes externos não podem acessar meu farm do RDS - eis o que configurei:

(todos os servidores são Win 2012 R2 e os clientes são Win 8.1) 

Server: PDC1
ip: 10.0.0.2
roles: file, print, sql 2012, dhcp, dns, RD License Server, RD Gateway, RD Web Access

Server: SVRDS1
ip: 10.0.0.3
roles: RD Host Session, RD Connection Broker (HA)

Server: SVRDS2
ip: 10.0.0.4
roles: RD Host Session, RD Connection Broker (HA)

Server: SVRDS3
ip: 10.0.0.5
roles: RD Host Session, RD Connection Broker (HA)

Load Balancing do RD nos três servidores.

Configurei o round robin (rd.mycompany.local) no SVRDS1-3 e, se eu tentar conectar-me internamente à rd.mycompany.local, ele funciona. Eu sou guiado para qualquer um dos servidores host.

No meu firewall, configurei a porta 3389 para apontar para SVRDS1. Se eu tiver apenas SVRDS1 em minha coleção de host, tudo estará bem - mas se eu adicionar SVRDS2 e 3 à coleção de host, tentar conectar-se externamente falhará.

Meus próprios pensamentos ...

  • O cliente tenta se conectar e acessa o SVRDS1, mas devido ao loadbalancing, o RD deseja transferir para o SVRDS2, que não está disponível de fora da rede?

  • Eu preciso usar o Gateway RD, mas como? Eu não tenho um DMZ e não devo portar 443 de PDC1?

  • Eu deveria encontrar outro emprego, porque eu sou um noob nisso;)

Espero que você possa me guiar em uma direção - obrigado !!!

    
por MojoDK 24.04.2014 / 22:24

2 respostas

2

Usar o Gateway é fácil e será muito benéfico para você. O que você precisa fazer é:

  1. Receba um certificado de terceiros de sua CA preferida. Algo como rdgateway.company.com
  2. Você já configurou a função Gateway no PDC1, basta configurá-la para usar 3389 e 443 ou, se precisar de outra porta, em vez de 443, use o link de Eric em sua resposta para alterá-la. Certifique-se de configurar os grupos CAP e RAP (grupos de Diretivas de Acesso a Computadores e Diretivas de Acesso Remoto) para as pessoas que acessarão isso de fora.
  3. Defina uma entrada de DNS em seu provedor público de DNS (ou seja, GoDaddy, Network Solutions, etc.) para rdgateway.company.com que aponte para um dos seus IPs públicos.
  4. Encaminhe as portas corretas em seu roteador / firewall do IP público mencionado na etapa acima externamente, para o servidor Gateway internamente e seu IP local.
  5. Para se conectar corretamente ao Gateway, você precisará (fazer isso em um único computador primeiro como um teste) abrir a Conexão da Área de Trabalho Remota > Mostrar opções > Avançado > Configurações > Defina o nome do servidor de Gateway RD e o método de logon. Salve tudo isso e volte para a tela principal da Conexão de Área de Trabalho Remota.
  6. Nesta tela, você desejará colocar o nome do seu farm como o nome do servidor ao qual se conectar. Assim, o Gateway já está definido nas configurações avançadas e o computador se conecta para colocar o FQDN; exemplo: rd.minhaempresa.local

Existem alguns ajustes menores, mas deixarei que você decifre se precisar deles, lendo este recurso.

Além disso, recomendo que você não tenha todas as funções mencionadas em seu primeiro servidor, se, na verdade, for um controlador de domínio. É sempre mais seguro deixar apenas funções de AD em controladores de domínio, mas se você não pode mudar isso, então obviamente isso é apenas uma retrospectiva de 20/20. Apenas a minha recomendação, mas algo que eu recomendo.

    
por 24.04.2014 / 23:42
0

Como você suspeita, você provavelmente está sendo redirecionado para um host RDH diferente. Já que seus outros hosts não são acessíveis do lado de fora, são bombas.

O jeito certo de fazer isso é usar o gateway. Configurar 443 não deve ser tão difícil, mas se você tiver outras coisas usando essa porta, não é grande coisa. Siga este link para alterar a porta padrão: link

Segunda opção, use uma VPN.

    
por 24.04.2014 / 23:26

Tags

Substituir o tipo de conteúdo incorreto do proxy Mitigar o ataque DDoS por roteamento nulo do IP do meu servidor?