Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 12702 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RDP Anmeldung über SSL VPN nur sporadisch

MaxRiedel

Hallo Community,

ich stehe vor einem Problem bei dem ich nicht mehr weiter komme und auf eure Hilfe angewiesen bin.

Ich habe folgende Umgebung:
1x DC der ebenfalls RDP Verbindungsbroker ist (IP: 192.168.1.21)
2x RDS Server (Terminalserver)  (IP: 192.168.1.25 & 192.168.1.26)
Betriebsystem ist Server 2012 R2
Am DC bzw. im Verbindungsbroker habe ich eine Sammlung/Collection (TSFARM) erstellt.
Ebenfalls am DC im DNS habe ich zwei A-Recordeinträge mit dem Sammlungsnamen erstellt (TSFARM.domain.intern) mit jeweils der IP-Adresse von den RDS-Servern.
D.h. ich kann mich intern im Netzwerk per TSFARM.domain.intern auf einem der beiden RDS-Servern einwählen wo aktuell wenig los ist bzw. wo evtl. noch meine Sitzung aktiv ist.
Intern habe ich damit kein Problem.
Netzwerk: 192.168.1.0/24

Ebenfalls ist eine UTM Vorhanden auf der ich die VPN Benutzer eingerichtet habe.
VPN wird per SSL VPN und dem Sophos Client realisiert.
In den erweiterten Einstellungen habe ich eingestellt, dass der DNS-Server 192.168.1.21 und der Domain Name "domain.intern" verwendet werden soll.

 

Problem:
Wähle ich mich nun von extern per VPN ein passiert folgendes:
1. Ich kann über die cmd die "TSFARM.domain.intern" pingen und bekomme entweder die 192.168.1.25 bzw. nach einem flushdns dann die 192.168.1.26 (so soll es ja sein)
2. Versuche ich nun eine RDP Verbindung mit "TSFARM.domain.intern" habe ich eine 50/50 Chance das es klappt. Wenn es nicht klappt bekomme ich die Fehlermeldung "Ein interner Fehler ist aufgetreten"
3. Aktuelle Lösung ist, dann am Client ein "ipconfig /flushddns" durchzuführen, dann ist es wieder möglich.

 

Erklären kann ich mir das aktuell nur so:
1. Nach dem Einwählen per VPN und dem ersten Einwählen per RDP an einem RDS-Server wird geprüft ob der aktuelle RDS-Server momentan für mich der "richtige" ist bzw. ob evtl. der andere weniger ausgelastet ist oder evtl. auf dem andere meine Sitzung noch offen ist. Wenn genau dieser Fall eintritt kommt die obere Fehlermeldung, Tritt dieser Fall nicht ein so verbinde ich mich und es kommt keine Fehlermeldung.

 

Ich habe dieses Problem bereits in einem anderen Artikel gefunden, allerdings wurde hier keine Lösung geposted. Evtl. ist es dort besser beschrieben.
Link zum Post

Schonmal Danke für die Hilfe!



This thread was automatically locked due to age.
Parents
  • 0

    Hi Max,

    der letzte Beitrag in dem Artikel ist die Lösung.

    Go to Remote Access> Advance, configure UTM as the DNS server for the remote clients.

    Ich verwende immer die UTM selber als DNS Server für SSL VPN. Hier kannst du die interne IP oder die Gateway IP des SSL VPNs (standard 10.242.2.1) eintragen. Das SSL VPN Netz sollte dann noch als allowed Network für DNS eingetragen werden. Außerdem musst du natürlich auf der UTM eine Request Route die auf deinen DC zeigt eingerichtet haben. Zusätzlich solltest du den internen DNS Namen auch in den SSL VPN advanced Settings eintragen. Wenn der interne DNS Server direkt abgefragt wird führt das immer wieder zu Problemen. Hier gibt es zuviele Abhängigkeiten. Das heißt nicht dass das nicht funktioniert. Wenn der DNS Proxy der UTM direkt abgefragt wird sind einfach weniger Fehlerquellen möglich ;)

    vg

    mod

  • 0 in reply to mod2402

    Erstmal Danke für die schnelle Antwort.
    Habe ich soeben umgesetzt allerdings mit dem selben Ergebnis wie zuvor.

     

  • 0 in reply to MaxRiedel

    Hi Max,

    das sieht auf jeden Fall erst mal alles korrekt aus. Bitte überprüfe mal das IPS Log ob da irgendwas in Richtung Flooddetection geblockt wird. Ansonsten würde mich mal interessieren ob im DNS Proxy Log auf der UTM und im Eventlog auf dem DC irgendwas aussagekräftiges bezüglich der DNS Anfragen drinnen steht.

    Das Verhalten wäre erklärbar wenn bei der DNS Auflösung ein negativ Wert zurückgegeben würde. Auch Negativ Anfragen haben eine TTL und werden zwischengespeichert.

    vg

    mod

  • 0 in reply to mod2402

    Hallo,

    ich habe nun die Protokolle ausgewertet.

    1. Intrusion Provention nicht aktiv daher auch keine Log
    2. Im DNS Proxy auf der Sophos ist kein auffälliger Eintrag drin
    3. Auch auf dem DC im DNS kein Eintrag zu den Sachen

    Aber folgendes habe ich festgestellt:
    Wenn es funktioniert sieht es so aus:

     

    Aber wenn es nicht geht kommt folgendes:

Reply
  • 0 in reply to mod2402

    Hallo,

    ich habe nun die Protokolle ausgewertet.

    1. Intrusion Provention nicht aktiv daher auch keine Log
    2. Im DNS Proxy auf der Sophos ist kein auffälliger Eintrag drin
    3. Auch auf dem DC im DNS kein Eintrag zu den Sachen

    Aber folgendes habe ich festgestellt:
    Wenn es funktioniert sieht es so aus:

     

    Aber wenn es nicht geht kommt folgendes:

Children
  • 0 in reply to MaxRiedel

    Hallo Max,

    das sind zwei mal die gleichen Screenshots ;) Ich glaube mittlerweile dass das mit der Konfiguration der RDS Farm zusammenhängt. Ich glaube nicht das hier die UTM überhaupt eine Rolle spielt. Schau mal den folgenden MS Artikel, vieleicht hilft dieser weiter.

    https://social.technet.microsoft.com/Forums/windows/en-US/2593a430-d3a8-4825-bdc4-ef99fcd669cb/connect-to-windows-2012r2-session-collection-with-rd-gateway-using-the-rdp-client?forum=winserverTS

    vg

    mod

  • 0 in reply to mod2402

    Danke für den Hinweis, hab die Screenshots angepasst.
    Leider hat der Artikel mir nicht helfen können, bin aber weiter auf der Suche.

    Wenn jemand also noch was hat, immer her damit.


    Edit:
    Ich bin kein WireShark und Netzwerk-Profi aber ich habe im WireShark mehrere TCP Retransmissions 
    So wie ich das interpretiere versuche ich mit 192.168.1.26 (TS2) Kontakt aufzunehmen -> aber eine Sitzung liegt noch auf (192.168.1.25) werde umgeleitet (bzw. TS2 gibt die Aufgabe an TS1 ab) und 192.168.1.25 (TS1) will mit mir reden aber ich antworte zu späht oder garnicht (das weis ich nicht genau)

     

    weitere Edit:
    Ich habe nun auf meinem Gerät den FreeRDP Client installiert (bzw. Standalone)
    Dieser baut auch dann eine Verbindung auf wenn es der Windows RDP-Client es nicht machen will.
    Und wenn ich es über den FreeRDP Client mache, dann bekomme ich in WireShark auch keine TCP Retransmissions.

    Ich würde es gerne aber trozdem über Windows-Boardmittel lösen wollen.

  • +1 in reply to MaxRiedel

    Für die, die evtl. ebenfalls das Problem haben sollten.

    Für mich war diese Einstellung die Lösung:

    Nachdem ich von TCP auf UDP umgestellt hatte und anschließend die *.ovpn Datei angepasst habe (alternativ Profil Löschen und vom Portal Neu installieren) hat alles geklappt wie es sollte.

    Ich lehne mich mal aus dem Fenster und behaupte mal, dass das zwar nicht die Ursache für das Problem ist aber eine Lösung mit der ich leben kann.