Шлюз удаленных рабочих столов, прокси-сервер веб-приложения и AD FS
Я пытаюсь развернуть шлюз удаленных рабочих столов в сочетании с WAP (прокси-сервером веб-приложения) и предварительной аутентификацией AD FS, как описано здесь .
Для «проверки концепции» я решил развернуть все роли RDS на одном сервере. Упрощенно, моя среда теперь выглядит примерно так:
Если сервер с меткой «RDS» содержит следующие роли:
- Веб-доступ к удаленным рабочим столам
- РД-шлюз
- Лицензирование РД
- Брокер подключений к удаленному рабочему столу
- Узел виртуализации удаленных рабочих столов
На ферме AD FS я настроил следующее доверие проверяющей части, для которого установлен только идентификатор:
А на WAP опубликованное приложение выглядит так:
Теперь внутри все работает. Клиент в DEVPROD может получить доступ к RD Web и подключиться к ресурсам vdi.
По WAP все работает. На любом сервере фермы я могу получить доступ к RD Web и подключиться к ресурсам VDI.
Извне я могу получить доступ к RD Web, но при подключении к RD Gateway возникает следующее сообщение об ошибке: На некоторых клиентах я также получаю:
Ваш компьютер не может подключиться к удаленному компьютеру, поскольку сервер шлюза удаленных рабочих столов временно недоступен.
Что я пробовал/проверял
- Все используемые сертификаты являются надежными, и rdweb использует правильный.
- В IIS нет неиспользуемых привязок.
- Использование проверки подлинности Windows для IIS
- Установка обязательного значения предварительной аутентификации в пользовательских свойствах rdp коллекции.
- Настройка DefaultTSGateway и radcmserver в настройках приложения IIS
С чего бы вы начали диагностировать эту проблему?