Discussion:
ISA 2004 und XENAPP
(zu alt für eine Antwort)
André Loske
2009-12-30 16:47:52 UTC
Permalink
Hallo NG,

damit ich gut ins neue Jahr reinrutsche, wollte ich unserem
Terminalserver XENAPP verpassen und ihn via ISA 2004 publishen. :-)
Allerdings klappt das leider noch nicht ganz.

Hat jemand von Euch schon mal XENAPP via "Sichere
Webserververöffentlichung" gepublished?

Was ich bisher gemacht habe:

- Öffentlichen Zert auf dem ISA installiert
- Internes Zert auf dem TS installiert via interner CA
- Publishingregel mit Pfaden konfiguriert als SSL-Bridge

--> komme nun auf die XENAPP Website und kann mich anmelden

Ruf ich das RDP Symbol auf, kommt die Fehlermeldung SSL-40 was in
Zusammenhang mit dem FQDN steht.

Wäre für jede Hilfe dankbar,

Grüße,
André
Jens Baier
2009-12-30 17:30:20 UTC
Permalink
Hi,
damit ich gut ins neue Jahr reinrutsche, wollte ich unserem Terminalserver
XENAPP verpassen und ihn via ISA 2004 publishen. :-) Allerdings klappt das
leider noch nicht ganz.
sehr gut, aber ISA 2004 solltest DU zum Jahreswechsel auch noch auf TMG
bringen!
Was willst Du denn publishen? Das CSG oder das Webinterface?
Hat jemand von Euch schon mal XENAPP via "Sichere
Webserververöffentlichung" gepublished?
Ja, mt und ohne HTTPS Bridging!
- Öffentlichen Zert auf dem ISA installiert
- Internes Zert auf dem TS installiert via interner CA
- Publishingregel mit Pfaden konfiguriert als SSL-Bridge
--> komme nun auf die XENAPP Website und kann mich anmelden
klingt doch schon mal gut. Wie sehen denn die Zertifikate aus? Wo sind die
eingestellt? Wie lautet der CN, wie der oeffentliche Aufruf?
Ruf ich das RDP Symbol auf, kommt die Fehlermeldung SSL-40 was in
Zusammenhang mit dem FQDN steht.
Das RDP Symbol ueber das Webinterface? Das stellt aber eine Verbindung ueber
RDP Protokol her und nicht SSL, oder verwendest Du das CSG? Die Meldung
SSL-40 sagt mir jetzt nichts, Hast Du eine konkretere Fehlermeldung?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
André Loske
2009-12-30 19:12:06 UTC
Permalink
Hi Jens aka Marc ;-),

TMG steht für das 3. Quartal auf dem Wunschzettel. Machen erst die
beiden Domänencontroller auf 2008 R2 und dann gehts weiter mim wüten im
Netzwerk ;-)
Post by Jens Baier
Was willst Du denn publishen? Das CSG oder das Webinterface?
Also vom ISA gehts direkt auf den XENAPP Server. Haben derzeit nur
einen. Also, ich gebe am client Zuhause "remote.domäne.de/CitrixAccess"
und komme direkt über bridging auf die Weboberfläche vom XENAPP TS. Von
dort aus möchte ich dann auf den Desktop vom TS zugreifen. Quasi wie bei
m RDP-Gateway.
Post by Jens Baier
klingt doch schon mal gut. Wie sehen denn die Zertifikate aus? Wo sind
die eingestellt? Wie lautet der CN, wie der oeffentliche Aufruf?
Isa Extern: remote.domäne.de --> Zertifikat von Thawte
Isa Intern: isa.internedomäne.local --> Internes Zerti
TS: ts.internedomäne.local --> Internes Zerti
Post by Jens Baier
Das RDP Symbol ueber das Webinterface? Das stellt aber eine Verbindung
ueber RDP Protokol her und nicht SSL, oder verwendest Du das CSG? Die
Meldung SSL-40 sagt mir jetzt nichts, Hast Du eine konkretere
Fehlermeldung?
Also hab jetzt mal für den Benutzer den Desktop im Quick-Start von
XENAPP freigegeben. Allerdings kommt die gleiche Fehlermeldung. Anbei
der konkrete Wortlaut:
__

Die Verbindung mit dem Citrix XENAPP-Server ist nicht möglich. Der Name
des Citrix SSL-Relay konnte nicht aufgelöst werden (SSL-Fehler 40).
__

Grübel...

Grüße,
André
Jens Baier
2009-12-30 19:42:59 UTC
Permalink
Hi Andre,
Post by André Loske
Hi Jens aka Marc ;-),
ertappt!
Post by André Loske
TMG steht für das 3. Quartal auf dem Wunschzettel. Machen erst die beiden
Domänencontroller auf 2008 R2 und dann gehts weiter mim wüten im Netzwerk
;-)
sehr gut!
Post by André Loske
Also vom ISA gehts direkt auf den XENAPP Server. Haben derzeit nur einen.
Also, ich gebe am client Zuhause "remote.domäne.de/CitrixAccess" und komme
direkt über bridging auf die Weboberfläche vom XENAPP TS. Von dort aus
möchte ich dann auf den Desktop vom TS zugreifen. Quasi wie bei m
RDP-Gateway.
Du musst unterscheiden zwischen Citrix Access Gateway (CAG), quasi wie das
TS RD Gateway bei MS und dem Webinterface. Das CAG tunnelt den ICA Traffic
in HTTPS, das TS RD Gateway RDP iin HTTPS und das Webinterface ist quasi nur
ein Portal, wo man ann ICA Conenctions oder Published Applications nutzen
kann, der Aufbau ist dann aber ICA Protokoll!
Post by André Loske
Isa Extern: remote.domäne.de --> Zertifikat von Thawte
Isa Intern: isa.internedomäne.local --> Internes Zerti
TS: ts.internedomäne.local --> Internes Zerti
das hoert sich doch auch OK an!
Zertifikat ist auch im Computerspeicher des ISA?
das Zertifikat der Root CA ist auch im Zertspeicher des lokalen Compute am
ISA?
Post by André Loske
Die Verbindung mit dem Citrix XENAPP-Server ist nicht möglich. Der Name
des Citrix SSL-Relay konnte nicht aufgelöst werden (SSL-Fehler 40).
Ah, SSL relay
Wie hast Du die STA im WI/CAG konfiguriert?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Martin Behrens
2009-12-30 20:28:35 UTC
Permalink
Post by André Loske
Hi Jens aka Marc ;-),
TMG steht für das 3. Quartal auf dem Wunschzettel. Machen erst die
beiden Domänencontroller auf 2008 R2 und dann gehts weiter mim wüten im
Netzwerk ;-)
Post by Jens Baier
Was willst Du denn publishen? Das CSG oder das Webinterface?
Also vom ISA gehts direkt auf den XENAPP Server. Haben derzeit nur
einen. Also, ich gebe am client Zuhause "remote.domäne.de/CitrixAccess"
und komme direkt über bridging auf die Weboberfläche vom XENAPP TS. Von
dort aus möchte ich dann auf den Desktop vom TS zugreifen. Quasi wie bei
m RDP-Gateway.
Da fehlt noch ein Citrix SG, AG oder AGEE für den Tunnel des ICA durch
HTTPS.
Post by André Loske
Post by Jens Baier
klingt doch schon mal gut. Wie sehen denn die Zertifikate aus? Wo sind
die eingestellt? Wie lautet der CN, wie der oeffentliche Aufruf?
Isa Extern: remote.domäne.de --> Zertifikat von Thawte
Isa Intern: isa.internedomäne.local --> Internes Zerti
TS: ts.internedomäne.local --> Internes Zerti
Post by Jens Baier
Das RDP Symbol ueber das Webinterface? Das stellt aber eine Verbindung
ueber RDP Protokol her und nicht SSL, oder verwendest Du das CSG? Die
Meldung SSL-40 sagt mir jetzt nichts, Hast Du eine konkretere
Fehlermeldung?
Also hab jetzt mal für den Benutzer den Desktop im Quick-Start von
XENAPP freigegeben. Allerdings kommt die gleiche Fehlermeldung. Anbei
__
Die Verbindung mit dem Citrix XENAPP-Server ist nicht möglich. Der Name
des Citrix SSL-Relay konnte nicht aufgelöst werden (SSL-Fehler 40).
Martin
André Loske
2009-12-31 13:55:40 UTC
Permalink
Hallo Martin,

ok. Wie bekomme ich das in einer Zwei-Maschinen-Umgebung hin? Habe ISA
Server am WAN und den TS im Netz. Kann ich das SG auf dem Isa installieren?

Grüße,
André
Jens Baier
2009-12-31 16:17:07 UTC
Permalink
Hi,
Post by André Loske
ok. Wie bekomme ich das in einer Zwei-Maschinen-Umgebung hin? Habe ISA
Server am WAN und den TS im Netz. Kann ich das SG auf dem Isa
installieren?
aus Sicherheitsgruenden solltest Du das nicht machen! ISA ist kein
Anendungsserver , sondern eine Firewall
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Martin Behrens
2010-01-01 17:14:40 UTC
Permalink
Post by André Loske
ok. Wie bekomme ich das in einer Zwei-Maschinen-Umgebung hin?
Gar nicht. XenApp Fundamentals könnte eine solche Lösung bieten, aber
wofür gibt es denn Virtualisierung?
Post by André Loske
Habe ISA
Server am WAN und den TS im Netz. Kann ich das SG auf dem Isa installieren?
Mit Sicherheit nicht.


Martin
Stephan Betken
2010-01-01 19:42:50 UTC
Permalink
Hallo zusammen,
Post by Martin Behrens
Post by André Loske
ok. Wie bekomme ich das in einer Zwei-Maschinen-Umgebung hin?
Gar nicht. XenApp Fundamentals könnte eine solche Lösung bieten, aber
wofür gibt es denn Virtualisierung?
XenApp Fundamentals kann hier auch nicht mehr als die anderen Varianten! Es
bleibt also beim Einsatz des CSG auf einem oder mehreren Servern (mittels
NLB). WI und CSG sind aber auch auf den PS lauffähig.
--
Grüße
Stephan Betken
Martin Behrens
2010-01-01 21:15:13 UTC
Permalink
Post by Stephan Betken
Post by Martin Behrens
Post by André Loske
ok. Wie bekomme ich das in einer Zwei-Maschinen-Umgebung hin?
Gar nicht. XenApp Fundamentals könnte eine solche Lösung bieten, aber
wofür gibt es denn Virtualisierung?
XenApp Fundamentals kann hier auch nicht mehr als die anderen Varianten!
Es bleibt also beim Einsatz des CSG auf einem oder mehreren Servern
(mittels NLB). WI und CSG sind aber auch auf den PS lauffähig.
Viel Spaß :)


Martin
André Loske
2010-01-02 11:25:52 UTC
Permalink
Hallo Martin,

ok. Ich setze XenAPP Fundamentals ein. Würde das in diesem Zusammenhang
helfen?

Grüße,
André
Martin Behrens
2010-01-02 21:10:07 UTC
Permalink
Post by André Loske
ok. Ich setze XenAPP Fundamentals ein. Würde das in diesem Zusammenhang
helfen?
Mit Sicherheit. Konfiguriere über das Quick Start Tool den externen
Zugriff mit Hilfe einer internen oder externen CA.
Veröffentliche anschließend den XenApp Server über den ISA mit Hilfe
einer Server-Veröffentlichungsregel.


Martin
André Loske
2010-01-03 11:41:31 UTC
Permalink
Hallo Martin,

ist gemacht. Habe zwar Port 444 für die Veröffentlichung wählen müssen,
aber es funktioniert soweit. Das gelbe vom Ei ist es aber nicht. Mit dem
SSL Bridging wird es dann wohl nicht gehen, wenn ich bereits auf 443
OWA veröffentliche?

Hatte gedacht, man könnte über die Pfade das so konfigurieren, dass per

mail.domäne.de/exchange --> landet auf dem Mailserver und
mail.domäne.de/citrixaccess --> landet auf dem Citrix-Server.

Würde dann so auch für den Benutzer transparenter erscheinen, da er sich
nur eine url merken muss und nicht mail.domäne.de/exchange für owa und
mail.domäne.de:444 für citrix.

Grüße,
André
Stephan Betken
2010-01-03 20:51:09 UTC
Permalink
Hallo André,
Post by André Loske
Hatte gedacht, man könnte über die Pfade das so konfigurieren, dass per
mail.domäne.de/exchange --> landet auf dem Mailserver und
mail.domäne.de/citrixaccess --> landet auf dem Citrix-Server.
dann nimm statt einer Server Publishing Rule eine Web Publishing Rule.
--
Grüße
Stephan Betken
Martin Behrens
2010-01-04 15:55:00 UTC
Permalink
Post by Stephan Betken
Post by André Loske
Hatte gedacht, man könnte über die Pfade das so konfigurieren, dass per
mail.domäne.de/exchange --> landet auf dem Mailserver und
mail.domäne.de/citrixaccess --> landet auf dem Citrix-Server.
dann nimm statt einer Server Publishing Rule eine Web Publishing Rule.
Nicht ohne Grund schrieb ich Server Publishing. Anders wird es nicht
funktionieren.


Martin
André Loske
2010-01-04 21:42:30 UTC
Permalink
ok. Das heisst, dass ich, wenn ich port 443 schon belegt habe, es auf
Citrix auf Port 443 knicken kann oder? Nur um nochmal sicher zu gehen...

Grüße,
André
Stephan Betken
2010-01-04 23:21:09 UTC
Permalink
Post by Martin Behrens
Post by Stephan Betken
Post by André Loske
Hatte gedacht, man könnte über die Pfade das so konfigurieren, dass per
mail.domäne.de/exchange --> landet auf dem Mailserver und
mail.domäne.de/citrixaccess --> landet auf dem Citrix-Server.
dann nimm statt einer Server Publishing Rule eine Web Publishing Rule.
Nicht ohne Grund schrieb ich Server Publishing. Anders wird es nicht
funktionieren.
Arghh...

Ja, du hast natürlich recht. Gerade noch mal geschaut. Bleibt also bei einer
Webveröffentlichung für mail.domäne.de/citrixaccess auf einem IIS und einem
Redirect
auf Port 444 des per Server Publishing Rule veröffentlichten Citrix Server.
--
Grüße
Stephan Betken
André Loske
2010-01-05 10:23:59 UTC
Permalink
Post by Stephan Betken
Arghh...
Ja, du hast natürlich recht. Gerade noch mal geschaut. Bleibt also bei
einer Webveröffentlichung für mail.domäne.de/citrixaccess auf einem IIS
und einem Redirect
auf Port 444 des per Server Publishing Rule veröffentlichten Citrix Server.
Super danke Euch, werde ich mal testen!

Grüße,
André

Volker Strähle
2009-12-31 10:38:23 UTC
Permalink
"Jens Baier" <***@passport.com> schrieb im Newsbeitrag news:***@TK2MSFTNGP04.phx.gbl...
...
Post by Jens Baier
sehr gut, aber ISA 2004 solltest DU zum Jahreswechsel auch noch auf TMG
bringen!
Ich muss jetzt mal blöd nachfragen. Warum soll ich denn einen ISA 2004 auf
TMG bringen? Welchen zusätzlichen Nutzen hätte ich denn da? Nach meinem
Verständnis soll der ISA das LAN abschotten und notwendige Dienste sauber
veröffentlichen. Solange alles zur Zufriedenheit läuft und sicher ist,
versteh ich nicht was mir dann der TMG bringt. Oder gibt es
Sicherheitslücken in ISA2004/2006 die mir entgangen sind?

Volker
Jens Baier
2009-12-31 16:21:57 UTC
Permalink
Hi,
Post by Volker Strähle
Ich muss jetzt mal blöd nachfragen. Warum soll ich denn einen ISA 2004 auf
TMG bringen?
na ja, ISA 2004 nicht direkt. Geht erst von ISA 2006 auf TMG:
http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html
Post by Volker Strähle
Post by Volker Strähle
Welchen zusätzlichen Nutzen hätte ich denn da?
http://www.google.de/search?hl=de&source=hp&q=tmg+new+feature&meta=&aq=f&oq=
Post by Volker Strähle
Nach meinem Verständnis soll der ISA das LAN abschotten und notwendige
Dienste sauber veröffentlichen. Solange alles zur Zufriedenheit läuft und
sicher ist, versteh ich nicht was mir dann der TMG bringt. Oder gibt es
Sicherheitslücken in ISA2004/2006 die mir entgangen sind?
welche Sicherheitsluecken kennst Du denn? Mir sind keine wirklichen bekannt.
Bis auf ein paar Fixe steht es mit ISA auch ganz gut!
Fuer mein Verstaendnis sollte eine Firewall immer auf dem aktuellsten Stand
sein um gegen potentielle Sicherheitsgefaehrdungen zu schuetzen. Alleine der
Wechsel von Windows 2003 auf 2008 oder R2 sollte schon Grund sein, auf TMG
zu gehen!
Bei einer Firewall sollte man, egal von welchem Hersteller, immer die
aktuellste Version einsetzen!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2009-12-31 20:24:05 UTC
Permalink
huhu,
Post by Jens Baier
Bei einer Firewall sollte man, egal von welchem Hersteller, immer die
aktuellste Version einsetzen!
wie sagt ein kumpel von mir immer:
full ACK
:-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-01-01 05:53:57 UTC
Permalink
Hi,
Post by unknown
full ACK
:-)
den kenne ich auch!
Danke!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Volker Strähle
2010-01-02 12:00:59 UTC
Permalink
Ok, zugegeben TMG hat ein paar Sachen, die ganz nett sind bzw. die wir bis
jetzt nicht benötigten. Ich lade mir jetzt gerade mal den RC runter und
werde mal damit ein bisschen rumspielen. Ab wann ist denn mit einer fertigen
Version zu rechnen?

Volker
Stephan Betken
2010-01-02 14:23:48 UTC
Permalink
Hallo Volker,
Ich lade mir jetzt gerade mal den RC runter und werde mal damit ein
bisschen rumspielen. Ab wann ist denn mit einer fertigen Version zu
rechnen?
warum den RC? Die Final ist seit 15.11.2009 verfügbar.
--
Grüße
Stephan Betken
Volker Strähle
2010-01-02 17:25:11 UTC
Permalink
Post by Stephan Betken
warum den RC? Die Final ist seit 15.11.2009 verfügbar.
weil so auf
http://www.microsoft.com/germany/forefront/edgesecurity/tmg/default.mspx
angegeben. Da ist nur von Vorab-Version und RC die Rede.

Volker
Stephan Betken
2010-01-02 17:29:56 UTC
Permalink
Hallo Volker,
Post by Volker Strähle
weil so auf
http://www.microsoft.com/germany/forefront/edgesecurity/tmg/default.mspx
angegeben. Da ist nur von Vorab-Version und RC die Rede.
da hat wohl jemand vergessen, die Seite zu überarbeiten. Aber zumindest
steht dabei, dass es dann ab Herbst 2009 verfügbar sein wird. ;-)
--
Grüße
Stephan Betken
unknown
2010-01-02 14:32:58 UTC
Permalink
huhu volker,
Ab wann ist denn mit einer fertigen Version zu rechnen?
ist fettich:
http://blogs.technet.com/isablog/archive/2009/11/17/forefront-threat-management-gateway-2010-release.aspx
und auch schon bei msdn/technet:
http://blog.forefront-tmg.de/?p=53
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-01-02 18:39:32 UTC
Permalink
Hi,
Post by Volker Strähle
jetzt nicht benötigten. Ich lade mir jetzt gerade mal den RC runter und
werde mal damit ein bisschen rumspielen. Ab wann ist denn mit einer
fertigen Version zu rechnen?
Du solltest Dir die RTM runterladen!
http://www.it-training-grote.de/blog/?p=1978
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Loading...