Seite 1 von 1

View5 : internal and external access

Verfasst: 22.12.2011, 20:48
von d.kreuter
Hallo zusammen

Würde gerne View von intern und extern ansteuern. view security server ist installiert.
welches SNAT Rules sind zu setzen, oder ergeben sich probleme

gruss an alle

Verfasst: 22.12.2011, 21:22
von PeterDA
Hi,
Was du brauchst ist:

Hier nochmal die Zusammenfassung der Ports:

TCP Port 80
TCP Port 443
TCP Port 4172 (beide Richtungen)
UDP Port 4172 (beide Richtungen)

Was für Probleme soll sich den ergeben?

Gruß Peter

re:

Verfasst: 22.12.2011, 21:30
von d.kreuter
Hoi Peter

Der externe Zugriff funktioniert ohne Probleme.
Beim internen Zugriff erhalte ich das Loginfenster, Die Autentifizierung stoppt mit einer Meldung, dass die View Connection Server Autentiziferung fehlgeschlagen ist , es konnte keine Verbindung mit dem Server (Null) hergestellt werden.

Verfasst: 23.12.2011, 10:51
von PeterDA
Hi,
dann müssen wir da mal etwas tiefer einsteigen:

Zu deiner Umgebung:
Du hast den Connection Broker im Intranet installiert und den Security Server in der DMZ.
Das anmelden am Security Server von außen unktioniert, das Anmelden am Connection Broker von innen scheitert.

Frage:
1. Welche View Version hast du im Einsatz?
2. Welche Autentifizierung meinst du die Anmeldung oder die SSL? (ein Screenshot wäre nciht schlecht.)

Gruß Peter

re

Verfasst: 23.12.2011, 17:46
von d.kreuter
Hi Peter

Vielen Dank für deine Hilfe.

Es ist View 5 im Einsatz.
Screenshot anbei.

Verfasst: 23.12.2011, 18:31
von PeterDA
Hi,
Attachments gehen hier leider nicht. Bitt bei einem Freehoster hochladen und dann hier verlinken.

Gruß Peter

Verfasst: 23.12.2011, 22:21
von PeterDA
Hi,
So jetzt hab ich den Screenshoot in meiner Mailbox gehabt.
Also das Problem ist, dass das SSL Zertifikat ungültig ist. Das ist bei View 5 neu, das hier bei ungültigen SSL Zertifikaten kein Anmeldung möglich ist.

Du müsstest dir jetzt anschauen was das Problem ist.

Dann hast du mehrere Möglichkeiten:
1. Das Zertifikat inkl. Zertifikatskette dem Client hinzufügen, das geht am einfachsten per Default Policie

2. Ein gültiges Zertifikat im Viewhimterlegn

3. Per GPO diese Funktion deaktivieren.

Meiner Meinung nach sind die Punkte 1 & 2 die Sinnvollsten. Und 3. Der einfachste :grin:

Ein, zwei oder drei jetzt Must du dich entscheiden.

Gruß Peter

Verfasst: 23.12.2011, 22:26
von irix
Hmm... Kollege hat gerade auf VIEW 5 beim Kunden aktualisiert... und davon garnichts berichet. Na da warte ich mal ab :)

Gruss
Joerg

Re

Verfasst: 23.12.2011, 22:56
von d.kreuter
Hoi Peter
Zunächst mal herzlichen dank fuer die Analyse. Verstehe nur nicht wie ich via gpo das deaktivieren kann.

Verfasst: 24.12.2011, 09:09
von PeterDA
Hi,
Im Installationverzeichnis vom Session Broker gibt es ein paar ADM Templates. diesecTemplates kannst in in der Domaine zu einer Gruppenrichtlinie hinzufügen (nicht die Default Richtlinie nehmen!). Dort kannst du das dann deaktivieren. Unter welchem Punkt das im Template liegt kann ich dir nicht sagen, da ich bisher immer die SSL Zertifikate richtig gestellt habe...

Wuensch dir ein ruhiges Weihnachtsfest
Gruss Peter

Verfasst: 24.12.2011, 09:13
von PeterDA
@Jörg
Das mit den SSL Zertifikaten ist doch eine der neuen Funktionen. Normalerweise reicht es das Zertifikat einfach als Stammzertifikat in der Domaine hinzufügen. Problematisch ist es wenn man den Session Broker mit einem anderen Namen als bei der Installation anspricht, da dann der Name des SSL Zertifikat nicht stimmt. Das zu täuschen hat mich mal zwei Tage gekostet.....

Frohe Wihnachten
Gruss Peter

re

Verfasst: 24.12.2011, 15:55
von d.kreuter
Hoi Peter
Also nochmals herzlichen Dank, es ist wirklich genau das Problem.
Habe nun mehrere Lösungen versucht, alle mit Erfolg

1. GPO
Die Templates sind vdm_client.adm template im C:\Program Files\VMware\VMware View\Client\extras. Danach einfach im gpedit für das Template die Certification Verification auf "no security stellen"

2. Einfachste Lösung
[HKEY_CURRENT_USER\Software\VMware, Inc.\VMware VDM\Client\Security]
“CertCheckMode”=”0″

3.
Alternativ falls Ressourcen vorhanden sind (Test war i.O) konnte ich einen weiteren Connection Server aufbauen. Sozusagen einen intern , einen für extern. Funktioniert auch.

Wünsche dir noch ein schönes Weihnachtsfest.

Gruss Dominik

Verfasst: 25.12.2011, 08:14
von PeterDA
Hi Dominik,
wie gesagt ansonsten gibt es halt auch noch die Variante einfach die SSL Zertifikate gerade zu ziehen. Das ist zwar deutlich mehr Gefummel.

Wünsch dir auch frohe, ruhige und besinnliche Feiertage.
Gruß Peter