Microsoft TMG 2010 RDS Publishing issue

Некрофилии пост. Словил забавный глючок на доживающем свое Microsoft Forefront Threat Management Gateway 2010. Развернута у меня внутри сети инфраструктура удаленных рабочих столов с блэкджеком и т.п. Доступ в сеть через Remote Desktop Gateway. Там тебе и CAP и RAP, все по-серьезному. И все это дело (RDGW в смысле) публикуется наружу через TMG. Классика жанра для 2008 года :)

Во время выполнения довольно ответственных работ по перенастройке инфраструктуры RDP, было создано временное правило, публикующее внутренний management-server (ну отдельный сервер для администраторов со всякими консолями и прочим) на одном из внешних интерфейсов. Правило выглядело безобидно:

Allow TCP 3389 from Remote Management Hosts to Management Server via External Network Adapter with IP-address 10.10.10.10

Т.е. становится понятно, что это обычное правило публикации. Оно работало, серверы RDS чинились\переконфигурировались. После их починки началось странное: нельзя было подключиться к серверу TMG с использованием RDGW. Причем сам сервер RDGW писал в логе:

Source: Microsoft-Windows-TerminalServices-Gateway

ID: 304

Description: The user «COMPANY\O.Krylov», on client computer «192.168.1.2», met connection authorization policy and resource authorization policy requirements, but could not connect to resource «tmg.company.ru». Connection protocol used: «RPC-HTTP». The following error occurred: «23005».

Попытки подключиться к TMG непосредственно с серверов RDGW так же оканчивались неудачей с невнятными комментариями.

Что делает настоящий айсавод? Правильно, проверяет IP-адреса серверов RDGW (те, кто не в курсе, как работает Remote Desktop Gateway, просто имейте ввиду, что подключение к серверу выполняется именно с них по TCP3389, проксируя подключения к ним по TCP443), лезет в консоль TMG и смотрит две вещи:

  1. System Policy в разрезе Terminal Services (включено ли, каким группам разрешен доступ)
  2. Группы Remote Management Computers и Enterprise Remote Management Computers.

А там все в порядке :)

Что же, что же за глюк-то приключился? А приключилось вот что… Если набрать в командной строке Netstat /ano видим, что TCP3389 слушается ТОЛЬКО на 10.10.10.10 и не слушается ни на одном другом адресе. Окей, TMG! Убираем временное правило публикации RDS. И… Тот же результат. Рестартим сервисы Remote Desktop Services и Remote Desktop Services UserMode Port Redirector и видим, что теперь TCP3389 слушается на всех интерфейсах.

И это еще не все. Идем в оснастку Remote Desktop Session Host Configuration, выбираем в списке Connections то, что нам нужно (а скорее всего там будет один объект), в его свойствах на вкладке Network Adapter выбираем внутренний интерфейс и еще раз рестартим службы Remote Desktop. В итоге вы получаете возможность подключаться по RDP к серверу только из внутренней сети, хосты которой ограничены членством в группах TMG Remote Management Computers и Enterprise Remote Management Computers.

P.S. Почему-то мне вот захотелось написать про это и сделать это не в Facebook. Кстати, гуглеж по ошибке не дает ничего, кроме богомерзкого аггрегатора postseek.com.

Реклама
Microsoft TMG 2010 RDS Publishing issue

Microsoft TMG 2010 RDS Publishing issue: Один комментарий

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s