none
Remotedesktopdienste - RemoteApp (Vertrauensmeldung) RRS feed

  • Frage

  • System: Windows Server 2012 R2, Remotedesktopdienste

    Beim Öffnen von RemoteApps bekomme ich jedes mal eine Warnung (Vertrauensmeldung).

    - Vertrauen Sie dem Herausgeber dieses RemoteApp-Programms?   (Windows 7)
    - Es wird versucht, ein RemoteApp-Programm zu starten. Stellen Sie zunächst sicher, dass Sie dem Herausgeber vertrauen. (Windows 8)

    Lässt sich zwar lösen mit der Aktivierung des Ankreuzfeldes "Remoteverbindung von diesem Herausgeber nicht mehr anfordern", generell sollte es auch anderes funktionieren.

    Ein Zertifikat wurde bereits erstellt und erfolgreich bei der Remotedesktopdienste-Bereitstellung und den Rollendiensten integriert (AD Zertifikat von der Firmen-Zertifizierungsstelle).
    Zertifikat: *.FIRMENNAME.DE
    Beim Aufruf der Webseite ist alles ok und auch beim Remote Desktop Client (Remotedesktopverbindung).
    Da kommt keine Warnung, sondern nur beim Öffnen von der RemoteApp.

    Ich habe auch die GPO auf dem Server angepasst und aktiviert, bezüglich des SHA1-Fingerabdrucks.
    GPO: Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopverbindungs-Client | SHA1-Fingerabdrücke vom Zertifikat ...
    Der Fingerabdruck wurde ohne Leerzeichen und mit Großbuchstaben eingetragen. Hat das Problem leider nicht gelöst :-(

    Zweiter Versuch per PowerShell.

    gci cert:\LocalMachine\My | select FriendlyName, Thumbprint

    wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<Fingerabdruck>"

    Warnung bleibt auch danach erhalten :-(
    Hinweis: gpudate /force auch auf den Clients ausgeführt.

    Hat jemand eine Ahnung weshalb die Maßnahmen nicht greifen?

    Freitag, 13. März 2015 10:15

Antworten

  • Hi,
     
    Am 16.03.2015 09:27, schrieb Andy07:
    > Muss sich das Zertifikat auf dem RDP-Server auf jeden Fall befinden in
    > (certlm.msc):
    > - Vertrauenswürdige Stammzertifizierungsstellen ?
    > - Vertrauenswürdige Herausgeber ?
     
    In ersterem nur, wenn es keiner anderen Root entspringt, dann steht dort
    dir Root PKI drin. Im zweiten Speicherort sollte es auch beim RDP Server
    sein, denn auch er muss dem Herausgeber trauen.
     
    > Im Editor für lokale Gruppenrichtlinien (auf dem RPD-Server) fehlen
     
    Wir reden von einer Domäne, oder nicht? Dann hat das lokale gpedit.msc
    nichts damit zu tun. Du willst es ja zentral verwalten und nicht auf
    jedem Client einzelnt.
     
    > Muss die Verteilung (GPO) über die Zertifizierungsstelle laufen?
     
    Das sind 2 Paar Schuhe. Die GPO ist ein Deployment Werkzeug für diverse
    Eisntellungen und Daten
     
    > Auf dem RDP-Server habe ich ja bereits die folgende GPO aktiviert.
    > GPO: /Administrative Vorlagen | Windows-Komponenten |
    > Remotedesktopdienste | Remotedesktopverbindungs-Client |
    > SHA1-Fingerabdrücke vom Zertifikat .../
    > und den Fingerabdruck des Zertifikats eingetragen.
     
    Da gilt dann nur für den RDP Server. Deine Clients haben das Problem und
    bei denen muss es eingetragen werden. Am einfachsten über die GPO.
     
    > Kann man auf den Clients überprüfen, ob bereits eine Verteilung
    > stattgefunden hat?
     
    zB einfach in den Zertifikatsstore schauen? Oder den
    Gruppenrichtlinienergebnissatz in der GPMC auf dem Server für den Client
    aufrufen oder gpresult oder rsop.msc
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert Andy07 Freitag, 20. März 2015 10:09
    Montag, 16. März 2015 09:13

Alle Antworten

  • Hi,
     
    Am 13.03.2015 11:15, schrieb Andy07:
    > - Vertrauen Sie dem Herausgeber dieses RemoteApp-Programms?   (Windows 7)
    > - Es wird versucht, ein RemoteApp-Programm zu starten. Stellen Sie
    > zunächst sicher, dass Sie dem Herausgeber vertrauen. (Windows 8)
     
    Das Zertifikat ist beim Rechner in den "Vertrauenswürdigen Herausgebern"?
     
    > Ich habe auch die GPO auf dem Server angepasst und aktiviert, bezüglich
    > des SHA1-Fingerabdrucks.
     
    Ich habe sie hier mit Kleinbuchstaben verteilt. Hast du das auch schon
    probiert?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 13. März 2015 10:58

  • Da kommt keine Warnung, sondern nur beim Öffnen von der RemoteApp.

    Ich habe auch die GPO auf dem Server angepasst und aktiviert, bezüglich des SHA1-Fingerabdrucks.
    GPO: Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopverbindungs-Client | SHA1-Fingerabdrücke vom Zertifikat ...
    Der Fingerabdruck wurde ohne Leerzeichen und mit Großbuchstaben eingetragen. Hat das Problem leider nicht gelöst :-(

    Moin,

    der Fingerabdruck vom Zertifikat muss an die Clients verteilt werden. Der Server kennt sein eigenes Zertifikat bereits ;-)

    This posting is provided AS IS with no warranties.

    Freitag, 13. März 2015 11:45
  • > Das Zertifikat ist beim Rechner in den "Vertrauenswürdigen Herausgebern"?

    Zertifikat: *.FIRMENNAME.DE

    Auf dem Server unter: "Eigene Zertifikate"
    Unter "Vertrauenswürdige Stammzertifizierungsstellen" befindet sich das Zertifikat aber nicht.

    Auf dem Client (Windows 7): Andere Personen | Zertifikate

    Könnte das schon das Problem sein?

    > Ich habe sie hier mit Kleinbuchstaben verteilt. Hast du das auch schon probiert?

    Hatte ich auch schon in der GPO

    Freitag, 13. März 2015 12:31
  • > der Fingerabdruck vom Zertifikat muss an die Clients verteilt werden.
    > Der Server kennt sein eigenes Zertifikat bereits ;-)

    Wie wird er an die Clients verteilt?

    Freitag, 13. März 2015 12:32
  • Am 13.03.2015 13:32, schrieb Andy07:
    > Wie wird er an die Clients verteilt?
     
    Per GPO.
     
     
    Einmal in die "Vertrauenswürdigen Stammzertifizierungsstellen" und
    "Vertrauenswürdige HErausgeber" und dann noch als Eintrag unter
    Remotedesktop-Client
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 13. März 2015 13:08
  • Muss sich das Zertifikat auf dem RDP-Server auf jeden Fall befinden in (certlm.msc):
    - Vertrauenswürdige Stammzertifizierungsstellen ?
    - Vertrauenswürdige Herausgeber ?

    Das  Zertifikat befand sich unter "Eigene Zertifikate",
    habe aber bereits das Zertifikat auch in die beiden anderen Speicher kopiert.

    Im Editor für lokale Gruppenrichtlinien (auf dem RPD-Server) fehlen

    "Vertrauenswürdigen Stammzertifizierungsstellen" und

    "Vertrauenswürdige Herausgeber"

    Muss die Verteilung (GPO) über die Zertifizierungsstelle laufen?

    Auf dem RDP-Server habe ich ja bereits die folgende GPO aktiviert.
    GPO: Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopverbindungs-Client | SHA1-Fingerabdrücke vom Zertifikat ...
    und den Fingerabdruck des Zertifikats eingetragen.

    Kann man auf den Clients überprüfen, ob bereits eine Verteilung stattgefunden hat?

    Montag, 16. März 2015 08:27
  • Moin,

    > Muss die Verteilung (GPO) über die Zertifizierungsstelle laufen?

    GPO und Zertifizierungsstelle haben (fast) nichts miteinander zu tun. Außer dass sie 'zufällig' in einer Umgebung laufen.

    GPO werden über die Domain Controller verteilt. Eine Zertifizierungsstelle stellt Zertifikate aus.

    https://technet.microsoft.com/de-de/library/hh147307%28v=ws.10%29.aspx

    > Kann man auf den Clients überprüfen, ob bereits eine Verteilung stattgefunden hat?

    Mit

    gpresult /h c:\gpresult.htm

    kannst Du einen Bericht der Gruppenrichtlinien auf dem Zielsystem (Client) erstellen.


    This posting is provided AS IS with no warranties.

    Montag, 16. März 2015 08:49
  • Hi,
     
    Am 16.03.2015 09:27, schrieb Andy07:
    > Muss sich das Zertifikat auf dem RDP-Server auf jeden Fall befinden in
    > (certlm.msc):
    > - Vertrauenswürdige Stammzertifizierungsstellen ?
    > - Vertrauenswürdige Herausgeber ?
     
    In ersterem nur, wenn es keiner anderen Root entspringt, dann steht dort
    dir Root PKI drin. Im zweiten Speicherort sollte es auch beim RDP Server
    sein, denn auch er muss dem Herausgeber trauen.
     
    > Im Editor für lokale Gruppenrichtlinien (auf dem RPD-Server) fehlen
     
    Wir reden von einer Domäne, oder nicht? Dann hat das lokale gpedit.msc
    nichts damit zu tun. Du willst es ja zentral verwalten und nicht auf
    jedem Client einzelnt.
     
    > Muss die Verteilung (GPO) über die Zertifizierungsstelle laufen?
     
    Das sind 2 Paar Schuhe. Die GPO ist ein Deployment Werkzeug für diverse
    Eisntellungen und Daten
     
    > Auf dem RDP-Server habe ich ja bereits die folgende GPO aktiviert.
    > GPO: /Administrative Vorlagen | Windows-Komponenten |
    > Remotedesktopdienste | Remotedesktopverbindungs-Client |
    > SHA1-Fingerabdrücke vom Zertifikat .../
    > und den Fingerabdruck des Zertifikats eingetragen.
     
    Da gilt dann nur für den RDP Server. Deine Clients haben das Problem und
    bei denen muss es eingetragen werden. Am einfachsten über die GPO.
     
    > Kann man auf den Clients überprüfen, ob bereits eine Verteilung
    > stattgefunden hat?
     
    zB einfach in den Zertifikatsstore schauen? Oder den
    Gruppenrichtlinienergebnissatz in der GPMC auf dem Server für den Client
    aufrufen oder gpresult oder rsop.msc
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert Andy07 Freitag, 20. März 2015 10:09
    Montag, 16. März 2015 09:13
  • Jetzt Verstanden.
    DANKE!
    Montag, 16. März 2015 09:47