文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >RDP:远程应用程序在通过远程桌面网关服务器连接时不封装通信量。

RDP:远程应用程序在通过远程桌面网关服务器连接时不封装通信量。
EN

Server Fault用户
提问于 2017-12-08 15:31:20
回答 1查看 1.2K关注 0票数 4

我有一个远程桌面应用程序,是从第三方公司发布给我的客户之一。远程桌面应用程序连接到远程桌面网关服务器( remote desktop Gateway Server,RDGW),该服务器将请求转发到远程桌面服务器场( Remote Desktop-serverfarm ),使用最少的服务器响应请求并打开应用程序。这对于大多数场景来说都是非常好的。

今天,我遇到了一种情况(假设应用程序是为一个新客户发布的),RemoteApp将要求用户提供他的凭据(域\用户名和密码),在对用户进行身份验证并接受RDS场的证书之后,mstsc.exe将停止工作,完全不响应取消或关闭按钮,必须通过任务管理器终止。

在解决此问题时,我发现了RemoteApp与RemoteDesktop网关服务器连接方式的不同。在所有积极的测试场景中,流量完全封装在我的MSTSC和远程桌面服务器网关之间的HTTPS中,如下所示:

在一个失败的mstsc上记录流量完全相同的过程给了我以下信息:

第一个会话(在NetMon中调用)是HTTPS与RemoteDesktop网关服务器(HTTPS,端口443)的连接,然后是一个独立的RDP连接,该连接试图通过其私有IP地址连接到RD服务器本身(出于隐私和安全原因,我刚刚在图片中删除了它)。第二个连接最终失败,因为RD服务器不在同一个位置/子网中,因此mstsc无法访问私有入口。

起初,我怀疑客户端防火墙,因为它检查HTTPS流量,替换证书,这样它就可以破坏到RDGW服务器的成功的HTTPS连接。在禁用防火墙上的所有webfilter功能后,问题仍然存在。我还尝试通过一个OpenVPN隧道路由流量,这样它就完全绕过了防火墙,不幸的是,也没有成功。

是什么迫使mstsc不像在成功的连接中那样将rdp连接封装在HTTPS通信量中?这是一种退步策略,还是一个普通的错误?还有什么可以作为远程应用程序的高级故障排除,因为它没有有价值的日志文件,而且RDS和RDGW服务器没有我的控制?

编辑(添加了匿名配置文件):

代码语言:javascript
复制
redirectclipboard:i:1
redirectprinters:i:1
redirectcomports:i:0
redirectsmartcards:i:1
devicestoredirect:s:*
drivestoredirect:s:*
redirectdrives:i:1
session bpp:i:32
prompt for credentials on client:i:1
span monitors:i:1
use multimon:i:1
remoteapplicationmode:i:1
server port:i:3389
allow font smoothing:i:1
promptcredentialonce:i:0
videoplaybackmode:i:1
audiocapturemode:i:1
gatewayusagemethod:i:2
gatewayprofileusagemethod:i:1
gatewaycredentialssource:i:0
full address:s:INTERNAL-FQDN-SERVER-HOSTNAME.CUSTOMER.NET <!! EDITED FOR ANONYMIZE REASON
alternate shell:s:||name_of_remote_app_on_wts <!! EDITED FOR ANONYMIZE REASON
remoteapplicationprogram:s:||name_of_remote_app_on_wts <!! EDITED FOR ANONYMIZE REASON
remoteapplicationname:s:name_of_remote_app_on_wts <!! EDITED FOR ANONYMIZE REASON
remoteapplicationcmdline:s:
workspace id:s:INTERNAL-FQDN-SERVER-HOSTNAME.CUSTOMER.NET <!! EDITED FOR ANONYMIZE REASON
use redirection server name:i:1
loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.RemoteApp-EXT
alternate full address:s:INTERNAL-FQDN-SERVER-HOSTNAME.CUSTOMER.NET <!! EDITED FOR ANONYMIZE REASON
authentication level:i:2
prompt for credentials:i:0
negotiate security layer:i:1
gatewayhostname:s:external.gateway.ourcustomer.com <!! EDITED FOR ANONYMIZE REASON
signscope:s:Full Address,Alternate Full Address,Use Redirection Server Name,Server Port,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSource,PromptCredentialOnce,Alternate Shell,RemoteApplicationProgram,RemoteApplicationMode,RemoteApplicationName,RemoteApplicationCmdLine,RedirectDrives,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectClipboard,DevicesToRedirect,DrivesToRedirect,LoadBalanceInfo
screen mode id:i:2
winposstr:s:0,3,0,0,800,600
compression:i:1
keyboardhook:i:2
connection type:i:7
networkautodetect:i:1
bandwidthautodetect:i:1
displayconnectionbar:i:1
enableworkspacereconnect:i:0
disable wallpaper:i:0
allow desktop composition:i:0
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1
audiomode:i:0
redirectposdevices:i:0
autoreconnection enabled:i:1
remoteapplicationicon:s:
shell working directory:s:
gatewaybrokeringtype:i:0
rdgiskdcproxy:i:0
kdcproxyname:s:
remote-desktop
remote-desktop-services
windows-terminal-services
remoteapp
windows
EN

回答 1

Server Fault用户

回答已采纳

发布于 2017-12-13 14:04:27

背景:

代码语言:javascript
复制
gatewayusagemethod:i:2

可能不适合此服务。

它对应于设置“本地地址的旁路RD网关服务器”。

第三方公司不应该在启用该设置的情况下交付RDP文件。

票数 4
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/887222

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档