Я пытаюсь развернуть шлюз удаленных рабочих столов в сочетании с WAP (прокси веб-приложения) и предварительной аутентификацией AD FS, как описано здесь.
Для «доказательства концепции» я решил развернуть все роли RDS на одном сервере. Упрощенно моя среда теперь выглядит примерно так:
Где сервер с пометкой «RDS» содержит следующие роли:
- Веб-доступ к удаленным рабочим столам
- Шлюз удаленного рабочего стола
- Лицензирование удаленных рабочих столов
- Брокер подключений к удаленному рабочему столу
- Хост виртуализации удаленных рабочих столов
На ферме AD FS я настроил следующее доверие проверяющей части, для которого установлен только идентификатор:
А на WAP опубликованное приложение выглядит так:
Теперь внутренне все работает. Клиент в DEVPROD может получить доступ к RD Web и подключиться к ресурсам vdi.
По WAP все работает. На любом сервере фермы я могу получить доступ к RD Web и подключиться к ресурсам vdi.
Извне я могу получить доступ к RD Web, но при подключении к RD Gateway происходит сбой с этим сообщением об ошибке:
На некоторых клиентах я также получаю:
Ваш компьютер не может подключиться к удаленному компьютеру, так как сервер шлюза удаленных рабочих столов временно недоступен.
Что пробовал/проверял
- Все используемые сертификаты являются доверенными, и rdweb использует правильный
- IIS не имеет неиспользуемых привязок
- Использование проверки подлинности Windows для IIS
- Установка предварительной аутентификации на обязательную в настраиваемых свойствах rdp коллекции
- Установка DefaultTSGateway и radcmserver в настройках приложения IIS
С чего бы вы начали диагностику этой проблемы?
