0
Problem mit Clientless VPN-Verbindung von Firewall zu Terminalserver mit Windows Server 2003 R2
Hallo zusammen.
Ich habe ein etwas spezielles Problem mit einem Terminalserver und einer Securepoint Firewall. Die Aufgabenstellung ist Clientless-VPN-Zugriff auf 2 Terminalserver zu ermöglichen.
Da das Produkt (Securepoint) für mich neu war, habe ich mir zunächst mal eine Testumgebung mit virtuellen Maschinen erstellt, um das Ganze mal auszuprobieren. Clientless VPN ist eigentlich kein "richtiges" VPN. Der Benutzer meldet sich an der Firewall am Userinterface an und erhält dann die Möglichkeit per RDP oder VNC auf eine Workstation oder (Terminal-) Server zuzugreifen. Der Vorteil dieser Lösung ist die einfache Einrichtung eines Zugriffs mit vielen unterschiedlichen Geräten (PC, Laptop, Android-/IOS-Smartphone oder Tablet), ohne die Installation von Zusatzsoftware (VPN-Client o.ä.). Die Einrichtung war ein Klacks und es funktioniert in meiner Testumgebung auch ganz wunderbar z.B. mit einer Windows-Workstation (getestet mit Windows XP, 7 und 8).
Auch mit einem Windows Server 2003 konnte ich testweise eine Verbindung herstellen, jedoch nur solange, wie die Terminaldienste im Remoteüberwachungsmodus installiert sind. Sobald ich Terminaldienste und die Lizensierung nachinstalliere, kriege ich keinen connect mehr Zustande. Ich habe mal mit Wireshark mitgeschnüffelt und konnte feststellen, dass der Server die Verbindung von der Firewall dann ablehnt (Connection Reset).
Was ich nicht verstehe: was ändert sich an der Konfiguration des Servers, dass er nun die Verbindung von der Firewall ablehnt? Ist das ein Lizenzproblem? Ich habe natürlich keine Terminalserver-Clientlizenzen für meine Testumgebung, aber beim Kunden funktioniert das Ganze auch nicht! Und der hat natürlich Lizenzen! Ich vermute, dass ich etwas am Terminalserver umstellen muss, habe aber leider keine Ahnung, wo ich den Hebel ansetzen soll. Terminaldienstekonfiguration, lokale Sicherheitsrichlinien/Gruppenrichtlinien.....? Zumindest in der Management-Konsole der Terminaldienste habe ich ja nicht sehr viele Eingriffsmöglichkeiten. Habe schon mal mit Heruntersetzen der Berechtigungskompatibilität auf "niedrige Sicherheit" und Umstellung der Lizensierung von "pro User" auf "pro Gerät" herumexperimentiert, leider bisher ohne Erfolg.
Ach ja, der Terminalserver hat kein AD, also nur eine lokale Benutzer-DB!
Ich hoffe, dass jemand von Euch Rat weiss!
Ich habe ein etwas spezielles Problem mit einem Terminalserver und einer Securepoint Firewall. Die Aufgabenstellung ist Clientless-VPN-Zugriff auf 2 Terminalserver zu ermöglichen.
Da das Produkt (Securepoint) für mich neu war, habe ich mir zunächst mal eine Testumgebung mit virtuellen Maschinen erstellt, um das Ganze mal auszuprobieren. Clientless VPN ist eigentlich kein "richtiges" VPN. Der Benutzer meldet sich an der Firewall am Userinterface an und erhält dann die Möglichkeit per RDP oder VNC auf eine Workstation oder (Terminal-) Server zuzugreifen. Der Vorteil dieser Lösung ist die einfache Einrichtung eines Zugriffs mit vielen unterschiedlichen Geräten (PC, Laptop, Android-/IOS-Smartphone oder Tablet), ohne die Installation von Zusatzsoftware (VPN-Client o.ä.). Die Einrichtung war ein Klacks und es funktioniert in meiner Testumgebung auch ganz wunderbar z.B. mit einer Windows-Workstation (getestet mit Windows XP, 7 und 8).
Auch mit einem Windows Server 2003 konnte ich testweise eine Verbindung herstellen, jedoch nur solange, wie die Terminaldienste im Remoteüberwachungsmodus installiert sind. Sobald ich Terminaldienste und die Lizensierung nachinstalliere, kriege ich keinen connect mehr Zustande. Ich habe mal mit Wireshark mitgeschnüffelt und konnte feststellen, dass der Server die Verbindung von der Firewall dann ablehnt (Connection Reset).
Was ich nicht verstehe: was ändert sich an der Konfiguration des Servers, dass er nun die Verbindung von der Firewall ablehnt? Ist das ein Lizenzproblem? Ich habe natürlich keine Terminalserver-Clientlizenzen für meine Testumgebung, aber beim Kunden funktioniert das Ganze auch nicht! Und der hat natürlich Lizenzen! Ich vermute, dass ich etwas am Terminalserver umstellen muss, habe aber leider keine Ahnung, wo ich den Hebel ansetzen soll. Terminaldienstekonfiguration, lokale Sicherheitsrichlinien/Gruppenrichtlinien.....? Zumindest in der Management-Konsole der Terminaldienste habe ich ja nicht sehr viele Eingriffsmöglichkeiten. Habe schon mal mit Heruntersetzen der Berechtigungskompatibilität auf "niedrige Sicherheit" und Umstellung der Lizensierung von "pro User" auf "pro Gerät" herumexperimentiert, leider bisher ohne Erfolg.
Ach ja, der Terminalserver hat kein AD, also nur eine lokale Benutzer-DB!
Ich hoffe, dass jemand von Euch Rat weiss!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207092
Url: https://administrator.de/contentid/207092
Printed on: April 23, 2024 at 08:04 o'clock
