none
SingleSignOn - Problem beim RemoteApp über Webserver mit Gateway RRS feed

  • Frage

  • Hallo Zusammen,

    ich bin gerade dabei eine Remotedesktop  / Remoteapp Landschaft aufzusetzen.

    Dabei habe ich derzeit zwei doofe Probleme.

    Bei den Remoteapps habe ich konfiguriert, dass ein Gateway genutzt werden soll.
    Das funktioniert generell auch, aber wenn man per Webserver die Remoteapps öffnet wird man erst nach einer Bestätigung gefragt, dass man sicherstellen soll dem Herausgeber zu vertrauen und danach kommt noch eine Authentifzierungsanforderung am dem Remotedesktopgateway.
    Bestätigt man alles, so wir die Verbindung auch hergestellt.

    Wie aber bekomme ich zum einen die Anforderung nach dem Herausgeber und zum anderen die Authentifizierung am Remotedekstopgateway weg?

    Interessanterweise funktioniert das SingleSignOn für die Remoteapps über die Windows 7 "RemoteApp- und Desktopverbindungen" allerdings schon.

    Eingestellt ist in der GPO:

    Windows-Komponenten/Remotedesktopdienste/Remotedesktopgateway

     Authentifizierungsmethode für Remotedesktopgateway festlegen
     Lokale Anmeldeinformationen verwenden

    Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client
     RDP-Dateien von gültigen Herausgebern und standardmäßige RDP-Einstellungen des Benutzers zulassen
     Aktiviert
     
     SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen
     Aktiviert
      Kommagetrennte Liste von vertrauenswürdigen SHA1-Zertifikatfingerabdrücken: <hier den Fingerabdruck des Remoteapp Zertifikats>

    System/Delegierung von Anmeldeinformationen
     Delegierung von gespeicherten Anmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen Aktiviert 
     Server zur Liste hinzufügen:
     TERMSRV/*.DOMÄNE.de
      
     Delegierung von Standardanmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen Aktiviert 
     Server zur Liste hinzufügen:
     TERMSRV/*.DOMÄNE.de
      
     Delegierung von Standardanmeldeinformationen zulassen Aktiviert 
     Server zur Liste hinzufügen:
     TERMSRV/*.DOMÄNE.de
     

    Danke im Voraus.

    Gruß
    Marc 

    Mittwoch, 1. Dezember 2010 15:09

Antworten

  • Hallo Zusammen,

    vielen Dank zunächst für die Antworten.

    Ich habe nun rausgefunden, dass ich nie den Haken bei "privater Rechner" reingemacht habe auf der Website. Daher wurden die Anmeldedaten nie durchgeschliffen.

    Allerdings habe ich eigenltich alle Anforderungen des Zertifikats erfüllt und bekomme die Anforderung dennoch.
    Es heißt ja auch nicht, dass das Zertifikat ungültig ist, sondern nur, ob ich dem Hersteller vertraue.
    Das habe ich aber über den og. Meachanismus hinbekommen.

    Ich denke, damit kann ich erstmal leben :-)

    Danke-

    Gruß
    Marc

    Montag, 13. Dezember 2010 08:12

Alle Antworten

  • Hi Marc,

    Dabei habe ich derzeit zwei doofe Probleme.

    Bei den Remoteapps habe ich konfiguriert, dass ein Gateway genutzt werden soll.
    Das funktioniert generell auch, aber wenn man per Webserver die Remoteapps öffnet wird man erst nach einer Bestätigung gefragt, dass man sicherstellen soll dem Herausgeber zu vertrauen und danach kommt noch eine Authentifzierungsanforderung am dem Remotedesktopgateway.
    Bestätigt man alles, so wir die Verbindung auch hergestellt.

    da wird es noch ein Problem mit dem Zertifikat geben. Funktioniert es eigentlich im LAN ohne Gateway? Von wo probierst du es - evtl. von einem nicht Domainclient, der der Zertifikatsstelle nicht vertraut?

    Viele Grüße
    Christian

    Mittwoch, 1. Dezember 2010 16:48
  • Hallo,

    da die "REmoteapp und Desktopverbindungen" unter Windows 7 schon funktionieren, scheinst Du dem Zertifikat des TS zu vertrauen. Eventuell liegt es daran, das die Signatureinstellungen der Remoteapp noch nicht passen. Ist im Remotappmanager eingestellt, das die Remoteapps mit dem Zertifikat des TS signiert werden?

    Wenn Du den Remote-App Manager öffnest, dann findest Du dort im "Aktionen Feld" die "Einstellungen für die digitale Signatur"

    Viele Grüße

    Frank 


    -- Frank Röder MVP Directory Services blog.iteach-online.de --
    Mittwoch, 1. Dezember 2010 17:41
  • Hallo Zusammen,

    das Problem mit der Zertifikatswarnung habe ich nun endgültig unter Kontrolle bekommen mit folgender Anleitung:
    http://www.rdekock.nl/getting-rid-of-the-rds-single-sign-on-security-warning/   .

    Allerdings bleibt noch die zusätzliche Anmeldung, wenn ich die Remoteapp über die Website starte und über einen Remotedesktopgateway laufen lasse.

    Teste derzeit intern und habe in den Remoteappeinstellungen eingestellt:

    Einstellungen für RemoteApp Bereitstellung --> Remotedesktopgateway --> Diese Einstellung für Remotedesktop-Gatewayserver verwenden:
    Identische Benutzeranmeldung ... verwenden --> Aktiviert
    Remotedesktop Gatwayserver für lokale Adressen umgehen --> deaktiviert (Für meinen internen Tests über die Website)

    -----------

    Die Symptomatik ist halt, wenn ich im Webserver auf eine Remoteapp klicke, kommt eine Authentifizierungsfenster:
    "Remotedesktop-Gatewayanmeldeserverinformationen"
    Geben Sie Benutzername und Kennwort ein um eine Verbindung mit <Adresse des Gatewayservers> herzustellen.

    Kann ich da nicht irgendwie die Anmeldeinformationen am Webserver oder halt die Windowsanmeldeinformationen nutzen?

     

    Wenn ich über mstsc eine Verbindung mit dem Sitzungshostserver herstelle, auf welchem die Remoteapp läuft, und dabei über den Remotedesktopgateway gehe, können meine Anmeldeinformationen auch durchgeschaltet werden durch die GPO Einstellungen (siehe erster Threadeintrag von mir)

    Danke euch herzlich im Voraus.

    Gruß
    Marc

    Donnerstag, 2. Dezember 2010 13:27
  • Hi Marc,

    das Problem mit der Zertifikatswarnung habe ich nun endgültig unter Kontrolle bekommen mit folgender Anleitung:

    http://www.rdekock.nl/getting-rid-of-the-rds-single-sign-on-security-warning/ 

    bei mir hat es auch ohne geklappt, wenn im Cert die richtigen Namen stehen.
    Greife ich mit falschen Namen auf die HTTPS-Seite zu und ich seh einen
    Cert-Fehler kommt die Meldung zum Beispiel und ansonsten nicht... aber es
    läuft... :-)

    Kann ich da nicht irgendwie die Anmeldeinformationen am Webserver oder halt die Windowsanmeldeinformationen nutzen?

    Per GPO ist am Client "Lokale Anmeldeinformationen verwenden" aktiv und bei
    Server sind die Einstellungen gesetzt:
    http://blogs.msdn.com/b/rds/archive/2009/08/11/introducing-web-single-sign-on-for-remoteapp-and-desktop-connections.aspx

    Dann sollte es passen...

    Viele Grüße
    Christian

    Donnerstag, 2. Dezember 2010 16:06
  • Hallo Marc,

    haben Christians Tipps weitergeholfen?

    Gruß,
    Andrei

    Dienstag, 7. Dezember 2010 07:52
    Moderator
  • Hallo Zusammen,

    vielen Dank zunächst für die Antworten.

    Ich habe nun rausgefunden, dass ich nie den Haken bei "privater Rechner" reingemacht habe auf der Website. Daher wurden die Anmeldedaten nie durchgeschliffen.

    Allerdings habe ich eigenltich alle Anforderungen des Zertifikats erfüllt und bekomme die Anforderung dennoch.
    Es heißt ja auch nicht, dass das Zertifikat ungültig ist, sondern nur, ob ich dem Hersteller vertraue.
    Das habe ich aber über den og. Meachanismus hinbekommen.

    Ich denke, damit kann ich erstmal leben :-)

    Danke-

    Gruß
    Marc

    Montag, 13. Dezember 2010 08:12