主页 / server / 问题 / 425340
Accepted
Art.Vandelay05
Asked: 2012-09-08 07:25:41 +0800 CST

远程桌面服务网关问题

  • 772

好吧,这里是破败的技术人员。我已经在网络中的 VM 上安装了 Server 2008 r2 Remote Dekstop Services。我安装了以下 RD 角色服务:RD 会话主机、许可、连接代理、网关、Web 访问。当我最初设置时,网关服务器和 RDWeb 在本地正常工作。在本地运行 (remoteserver.domainname.local) 之后,我想在外部进行测试。从外部,我无法运行(这意味着我可以从外部连接到 rdweb 访问,但是当我尝试运行应用程序时,我会收到消息“无法连接/查找计算机”)。这是我的外部访问设置

  • VM 上安装了每个 RD 服务角色服务,这意味着它充当网关、RD Web 访问、会话主机、许可等所有角色。
  • 我在网关服务器上制作了一个自签名证书(gateway.domainname.net 是证书名称)。在内部,我有一个名为 domainname.net 的辅助前向查找区域,其中有一个指向网关服务器本地 IP 的 A 记录网关。在我们的公共 DNS (domainname.net) 上,我有一个 A 记录网关。这是为了从外部访问RDWeb。
  • 在 IIS 中,我有以下身份验证设置 RDWeb:除匿名身份验证外均已禁用 Rpc:除基本和 Windows 外均已禁用 RpcWithCert:除 Windows 身份验证外均已禁用
  • 我在我们的 sonicwall tz210 中有必要的网络访问配置(https 和 rdp,外部 ip 指向 rds 服务器的本地 ip)
  • RAP 和 CAP 具有正确的用户和计算机组、身份验证以及允许的设备

在所有这一切之后,这是从外部访问时发生的情况。我可以正确登录到 RDWeb Access(我试过虚假登录,但我无法登录,所以工作正常)。我看到了要使用的应用程序。我点击一个应用程序,点击连接,凭证窗口打开,我输入正确的用户凭证,它尝试连接到网关服务器,但随后凭证窗口又回到视图中。我试图达到登录失败的限制,但从未达到过一次,哈哈。

因此,我尝试从同一台外部客户端计算机通过远程桌面连接连接到网关。我在 RD 窗口中输入了正确的网关设置,尝试连接并获得与我在 RDWeb 访问中相同的结果。

我检查了 RD 服务机器上的事件日志,并在我尝试从外部登录时看到了以下事件 ID:

ID 6037,消息“程序 svchost.exe,分配的进程 ID 为 2168,无法使用目标名称 host/gateway.domainname.net 在本地进行身份验证。使用的目标名称无效。目标名称应参考本地计算机名称之一,例如 DNS 主机名。尝试不同的目标名称。”

ID 10 RADWebAccess“RD Web 访问无法访问 gateway.domainname.net,这是指定为运行 RemoteApp 和桌面连接管理服务的服务器。确保 RD Web 访问服务器的计算机帐户是gateway.domainname.net 上的 TS Web 访问计算机安全组”

ID 4625 “帐户登录失败。

主题:安全 ID:NULL SID 帐户名称:- 帐户域:- 登录 ID:0x0

登录类型:3

登录失败的帐户:安全 ID:NULL SID 帐户名:管理员帐户域:gateway.domainname.net

失败信息:失败原因:未知的用户名或错误的密码。状态:0xc000006d 子状态:0xc000006a

进程信息:调用方进程 ID:0x0 调用方进程名称:-

网络信息:工作站名称:USER-LAPTOP 源网络地址:外部 IP 源端口:63125

详细身份验证信息:登录过程:NtLmSsp 身份验证包:NTLM 传输服务:- 包名称(仅限 NTLM):- 密钥长度:0

当登录请求失败时生成此事件。它是在尝试访问的计算机上生成的。

主题字段指示请求登录的本地系统上的帐户。这是最常见的服务,如服务器服务,或本地进程,如 Winlogon.exe 或 Services.exe。

登录类型字段指示所请求的登录类型。最常见的类型是 2(交互式)和 3(网络)。

进程信息字段指示系统上的哪个帐户和进程请求登录。

网络信息字段指示远程登录请求的来源。工作站名称并非总是可用,在某些情况下可能会留空。

身份验证信息字段提供有关此特定登录请求的详细信息。- 中转服务指示哪些中间服务参与了此登录请求。- 包名表示在 NTLM 协议中使用了哪个子协议。”

我认为 VM 没有空 SID。VM 的 SID 和它的物理主机具有不同的 SIDS。我可以使用外部网关名称从外部访问 rpc 的空白页。

身份验证似乎是个问题。另外,网关服务器的外部名称与本地名称不匹配是否有问题?外部名称(证书所基于的)是 gateway.domainname.net,内部名称是 remoteserver.domainname.local。这是我唯一能想到的问题,但外部名称必须与本地名称不同,对吗?在内部,我 ping gateway.domainname.net,它给了我正确的服务器本地 IP。现在,AD 中没有实际的计算机名称,但我不知道如何实现?

我希望我已经清楚了......任何帮助将不胜感激。我想我已经接近实现这一目标。:)

windows-server-2008-r2

1 个回答

  1. Best Answer

    问题的一个可能原因:

    Internally, I have a secondary forward-lookup zone called domainname.net with an A record gateway pointing to the local IP of the gateway server.

    这个。不要这样做。丢失该 DNS 记录。您不应该混合使用内部和外部 DNS 区域,RDS Gateway 旨在使用该规则。在远程桌面客户端中,将网关服务器设置为 domainname.net,然后在您要连接的主机中,使用服务器的内部 DNS 名称

    作为旁白,

    I have the necessary web access config in our sonicwall tz210 (https and rdp, external ip pointing to local ip of rds server)

    您根本不需要打开 RDP 端口 (TCP 3389)。如果您使用 RDS Gateway,所有流量都会超过 443。

    • 0

相关问题