[ZOOBR]

Цитата kim-aa:

Я, честно говоря не вкурсе данной технологии MS, однако в технологии доступа Citrix, с которой она содрана, доступ осуществляется при помощи браузера, а не mtsc. »

Через браузер ситуация такая. На сертификат ругаеться, но пускает. Но это совсем другое. Это делаеться без шлюза терминалов. Обычное https соединение!
А я делаю по другому. Создаеться подписанный сертификатом rdp файл. Он запускается на клиенте и вуаля, нужное приложение запущено. Ну а для прошаренных разрешен вход через mtsc.

Цитата kim-aa:

Уточните: - терминальный клиент и его настройки при доступе поверх web - номер порта сервера который для этого используется (IIS точно не использует RDP порты, вероятнее всего 443 или нечто специфическое) »

Да нет никакого доступа поверх web. Есть один единственный 443 порт по нему и должен производится доступ на шлюз. Скрины настроек прикрепил к сообщению.

Цитата kim-aa:

Это просто "имя" сертификата, имя сервера к которому он привязан вероятнее всего опрделяется в свойствах IIS - проверю сертификат, скажу точнее »

Майкрософт в этом вопросе разошелся во мнениях. В одном месте это просто имя, в другом написано, что это обязательно должно быть имя сервера?? Непонятно!

Цитата kim-aa:

У вас срок действия сертификата крайне мал - на сегодня. Правте время действия. поставте хотя бы год »

Ничего подобного! Сертификат у меня на один год!! Более того срок действия я выбрать не могу. Система автоматом год ставит. Скрин прикрепил к сообщению.

Цитата kim-aa:

выведите результаты отработки на клиенте tracert server »

Скрин во вложении 4.

[kim-aa]

1) Да, с временем вы правы.


2) Проверьте версию терминального клиента

3) Судя по этому
http://technet.microsoft.com/ru-ru/l...41(WS.10).aspx

Архитектура идентична той, что я описывал.
У вас сервер терминалов и шлюз на одном компьютере?
Если на разных - данные по ним приведите.

На сервере шлюза данные компоненты активны?
Службы удаленных рабочих столов\Шлюз удаленного рабочего стола
политики сети и службы доступа\сервер политики сети;
веб-сервер (IIS);
RPC через HTTP-прокси.

2) А какие методы входа еще возможны?

[ZOOBR]

Цитата kim-aa:

2) Проверьте версию терминального клиента »

Версия клиента подходящая, а именно 6.1.7600. Система Windows 7. То есть и с проверкой подлинности на уровне сети тоже все в порядке!

Цитата kim-aa:

Архитектура идентична той, что я описывал. У вас сервер терминалов и шлюз на одном компьютере? Если на разных - данные по ним приведите. »

Да, все на одном компе.

Цитата kim-aa:

На сервере шлюза данные компоненты активны? Службы удаленных рабочих столов\Шлюз удаленного рабочего стола политики сети и службы доступа\сервер политики сети; веб-сервер (IIS); RPC через HTTP-прокси. »

Все данные службы активны!

Цитата kim-aa:

2) А какие методы входа еще возможны? »

Да вобщем то никакие..

С виду все настроено и работает, только непонятно почему авторизация не прокатывает?



Такое окошко выскакивает, но сколько раз туда учетные данные не вводи, они не принимаются и окошко заново выскакивает.. Жесть какая то!

[kim-aa]

Цитата ZOOBR:

Такое окошко выскакивает, но сколько раз туда учетные данные не вводи, они не принимаются и окошко заново выскакивает.. Жесть какая то! »

Я бы для очистки совести сделал как в приведенном MS материале (два отдельных сервера)
Только боюсь, все таки сервер шлюза и сам терминальный сервер должны в одном домене находится

[ZOOBR]

Цитата kim-aa:

Я бы для очистки совести сделал как в приведенном MS материале (два отдельных сервера) »

К сожалению такая возможность отсутствует. Хотя-бы по финансовым соображениям. И не только.

Цитата kim-aa:

Только боюсь, все таки сервер шлюза и сам терминальный сервер должны в одном домене находится »

Нет, это не обязательно.

Блин, неужели по старинке VPN мутить придется... А так хотелось по новому..

[kim-aa]

Цитата ZOOBR:

К сожалению такая возможность отсутствует. Хотя-бы по финансовым соображениям. И не только. »

Я имею в виду не эксплуатацию, а макетирование.
Вы же сами сказали, что на VMware тренируетесь

[ZOOBR]

Цитата kim-aa:

Я имею в виду не эксплуатацию, а макетирование. Вы же сами сказали, что на VMware тренируетесь »

Поставил вторую систему, сейчас буду проверять! Но хотя это нифига не выход. В итоге мне же это нужно на одной машине.

[ZOOBR]

Цитата ZOOBR:

Я бы для очистки совести сделал как в приведенном MS материале (два отдельных сервера) »

На двух серваках заработало! Блин, ну это жесть! На одном, даже заново развернутом отказывается работать! Опять тоже самое!
Сейчас поставлю на живую машину и еще раз попробую тоже самое. Причем, что самое странное, у нас уже стоит одна машина, которая выполняет такие функции. И мой коллега, который там все ставил, утверждает, что делал все точно также, как делаю я, только сразу на живую машину (может тут собака порылась).

И еще один вопрос по поводу сертификатов. При установке системы создается два сертификата(они самозаверенные). Один на срок 10 лет, а другой менее чем на год. Так вот , как создать самозаверенный сертификат на срок больше года. Ну лет на 5 например.

[kim-aa]

Цитата ZOOBR:

Один на срок 10 лет, а другой менее чем на год. Так вот , как создать самозаверенный сертификат на срок больше года. Ну лет на 5 например. »

Без СА и оснастки выпуска сертификатов - никак.

Судя по всему:
- Сертифкат, тот который на 10 лет - это для подписи собственных сертификатов
- Сертификат, тот который на год - это сертификат веб-морды (шлюза), который, вероятно планируется перевыпускать раз в год.

Цитата ZOOBR:

На двух серваках заработало! Блин, ну это жесть! На одном, даже заново развернутом отказывается работать! Опять тоже самое! »

Тут, может быть пересечение портов, либо требование разности имен (вполне возможно IIS требуется и на шлюзе и на терминальном сервере одновременно, но с разными режимами).
На худой конец можно попробовать такую махинацию:
- определить два интерфейса для одного сервера с разными DNS-именами
- тогда в настройках доступа будут фигурировать, якобы два сервера

[ZOOBR]

Цитата kim-aa:

Судя по всему: - Сертифкат, тот который на 10 лет - это для подписи собственных сертификатов - Сертификат, тот который на год - это сертификат веб-морды (шлюза), который, вероятно планируется перевыпускать раз в год. »

Тут есть одна загвоздка. Как быть в случае переименования компьютера. Имя субъекта сертификата поменять же нельзя? Вот поэтому и вопрос, как быть в этом случае!

Цитата kim-aa:

Тут, может быть пересечение портов, либо требование разности имен (вполне возможно IIS требуется и на шлюзе и на терминальном сервере одновременно, но с разными режимами). На худой конец можно попробовать такую махинацию: - определить два интерфейса для одного сервера с разными DNS-именами - тогда в настройках доступа будут фигурировать, якобы два сервера »

Буду провбовать в понедельник. Спасибо за помощь.