none
Remote Webarbeitsplatz SBS 2008 RRS feed

  • Frage

  • Hallo Leudde,

    ich habe ein SBS 2008 eingerichtet, so dass es mit Remote über den IE8 funktionierte. Es ging nur intern, weil wir von extern nicht zugegriffen haben. Jetzt wollten wir von extern zugreifen und habe ein Zertifikat erstellt.. Seitdem kann ich weder von intern oder extern auf einen Remote-Desktop eine Verbindung herstellen.

    Also
    Zertifikat (Eigenes) mit Assitent hinzugefügt.
    Zertifikat auf ext. PC installiert.
    Verbindung über https://remote.domain.ltd - kein Problem
    Zugriff auf OWA - kein Problem
    Zugriff auf interne Website - kein Problem
    Zugriff auf "Mit einem Computer verbinden" - Computer lässt sich auswählen
    Anmeldeinformationen eingeben (Benutzername/Kennwort) : > Remotedektop getrennt > Anmeldeversuch fehlgeschlagen

    Das Zertifikat ist lokal installiert und wird in der Adressleiste angezeigt.
    Verbindung über Remote Desktop (intern) klappt leider nicht mehr. Vorher ging die interne Verbindung wunderbar, aber jetzt kriege ich genau die Fehlermeldung wie beim externen Zugriff.

    Ich hab alles probiert, aber ohne Erfolg.


    Bitte HIILLLLFFEEEE

    Danke erstmal
    Montag, 9. August 2010 07:29

Antworten

  • Hi Martin,
     
    > ich habe ein SBS 2008 eingerichtet, so dass es mit Remote über den IE8
    > funktionierte.
    > Es ging nur intern, weil wir von extern nicht zugegriffen haben. Jetzt
    > wollten wir von extern
    > zugreifen und habe ein Zertifikat erstellt.. Seitdem kann ich weder von
    > intern oder extern
    > auf einen Remote-Desktop eine Verbindung herstellen.
    >
    > Also
    > Zertifikat (Eigenes) mit Assitent hinzugefügt.
    > Zertifikat auf ext. PC installiert.
    > Verbindung über https://remote.domain.ltd - kein Problem
    > Zugriff auf OWA - kein Problem
    > Zugriff auf interne Website - kein Problem
    > Zugriff auf "Mit einem Computer verbinden" - Computer lässt sich auswählen
    > Anmeldeinformationen eingeben (Benutzername/Kennwort) : > Remotedektop
    > getrennt
    > > Anmeldeversuch fehlgeschlagen
     
    lass mich raten:
     
    Der externe Client ist Windows 7.. dann hast Du folgendes Problem bei
    selbstausgestellten Zertifikaten:
     
    Solange Du ein Root-Zertifikat einer internen CA verwendest, welches von
    extern mittels Windows 7 auf die CRL-Liste abgefragt wird (Voraussetzung:
    Sicherheitsstufe SSL (TLS 1.0)), wirst Du in diesen Fehler laufen
     
    Abhilfe:
     
    Entweder: Schalte die erhöhte Sicherheit auf dem Windows Server 2008
    Terminal Dienst ab:
     
    -> Server Manager <TerminalServerName>
    -> Roles
    -> Terminal Services
    -> Terminal Services Configuration: <TerminalServerName>
    -> Connections
    -> RDP-Tcp (Microsoft RDP 6.1)
    -> Properties
    -> Security Layer
    -> RDP Security Layer
     
    Hier noch einmal in Deutsch:
     
    -> Server Manager <TerminalServerName>
    -> Rollen
    -> Terminaldienste
    -> Terminaldienstekonfiguration: <TerminalServerName>
    -> Verbindungen
    -> RDP-Tcp (Microsoft RDP 6.1)
    -> Eigenschaften
    -> Reiter Allgemein
    -> Abschnitt Sicherheit
    -> Sicherheitsstufe. (RDP-Sicherheitstufe | Verhandeln | SSL (TLS 1.0))
    -> RDP-Sicherheitstufe
     
    "RDP-Sicherheitstufe" bedeutet: Die Kommunikation zwischen Server und Client
    verwendet systemeigene RDP-Verschlüsselung [ohne Verwendung von
    Zertifikaten]
     
    "Verhandeln" bedeutet: Die sicherste vom Client unterstütze Stufe wird
    verwendet. Sofern unterstützt, wird "SSL (TLS 1.0)" verwendet [z.B. bei
    Windows 7 bzw. RDP-Client 6.1]
     
    "SSL (TLS 1.0)" wird für die Serverauthentifizierung und für die
    Verschlüsselung aller Daten, die zwischen Server und Client übertragen
    werden, verwendet [dazu werden SSL-Zertifikate verwendet die vom Client auf
    G��ltigkeit hin überprüft werden]
     
     
    Oder: Generiere entweder ein self-signed Certificate mittels dem lokalen (!)
    Wizzard der Windows Server 2008 Terminal Dienste (ein Zertifikat der SBS
    2008 CA wird wegen einer fehlerhaften CRL Implementation seitens des
    RDP-Client 7.0 von extern NICHT befriedigend funktionieren, ausser man
    installiert die Web-Komponente der CA auf dem SBS und "manipuliert" die
    Cert-Extentions (Stichwort: CDP and AIA for HTTP only) - s.a.:
    http://www.msxfaq.net/signcrypt/crl.htm -> CRL und RDP 7) und verteile
    dieses als vertrauenswürdiges Stammzertifikat an interne und externe Clients
    bzw. kaufe ein passendes Zertifikat für die Windows Server 2008 Terminal
    Dienste Serverauthentifizierung (hier: Servername des Windows Server 2008
    Terminal Servers) zum Aktivieren des RDP Security Layer "SSL (TLS 1.0)".
     
     
    * When should I distribute the self-signed certificate to clients?
    Once the Windows Small Business Server 2008 server is configured the root
    certificate can be distributed. All domain clients require the self-signed
    certificate in order to connect to the network. Domain-joined machines will
    trust the self-signed certificate automatically. For remote clients or
    mobile devices, you must distribute the self-signed certificate to them
    using the certificate installation package
    [\\SBS2008\Public\Downloads\Install Certificate Package.zip] or manually
    install the certificate on computers or devices.
    Source: http://technet.microsoft.com/en-us/sbs/cc817589.aspx
     
     
    > Das Zertifikat ist lokal installiert und wird in der Adressleiste
    > angezeigt.
    > Verbindung über Remote Desktop (intern) klappt leider nicht mehr. Vorher
    > ging die interne
    > Verbindung wunderbar, aber jetzt kriege ich genau die Fehlermeldung wie
    > beim externen Zugriff.
     
    Bzgl. der internen Verbindungsfehler bräuchten wir die exakte Fehlermeldung
    und die zugehörige Meldung aus der Ereignisanzeige des Clients UND des
    TS-Gateway + TS-Dienste Servers
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 10. August 2010 08:57
    Moderator

Alle Antworten

  • Hi Martin,
     
    > ich habe ein SBS 2008 eingerichtet, so dass es mit Remote über den IE8
    > funktionierte.
    > Es ging nur intern, weil wir von extern nicht zugegriffen haben. Jetzt
    > wollten wir von extern
    > zugreifen und habe ein Zertifikat erstellt.. Seitdem kann ich weder von
    > intern oder extern
    > auf einen Remote-Desktop eine Verbindung herstellen.
    >
    > Also
    > Zertifikat (Eigenes) mit Assitent hinzugefügt.
    > Zertifikat auf ext. PC installiert.
    > Verbindung über https://remote.domain.ltd - kein Problem
    > Zugriff auf OWA - kein Problem
    > Zugriff auf interne Website - kein Problem
    > Zugriff auf "Mit einem Computer verbinden" - Computer lässt sich auswählen
    > Anmeldeinformationen eingeben (Benutzername/Kennwort) : > Remotedektop
    > getrennt
    > > Anmeldeversuch fehlgeschlagen
     
    lass mich raten:
     
    Der externe Client ist Windows 7.. dann hast Du folgendes Problem bei
    selbstausgestellten Zertifikaten:
     
    Solange Du ein Root-Zertifikat einer internen CA verwendest, welches von
    extern mittels Windows 7 auf die CRL-Liste abgefragt wird (Voraussetzung:
    Sicherheitsstufe SSL (TLS 1.0)), wirst Du in diesen Fehler laufen
     
    Abhilfe:
     
    Entweder: Schalte die erhöhte Sicherheit auf dem Windows Server 2008
    Terminal Dienst ab:
     
    -> Server Manager <TerminalServerName>
    -> Roles
    -> Terminal Services
    -> Terminal Services Configuration: <TerminalServerName>
    -> Connections
    -> RDP-Tcp (Microsoft RDP 6.1)
    -> Properties
    -> Security Layer
    -> RDP Security Layer
     
    Hier noch einmal in Deutsch:
     
    -> Server Manager <TerminalServerName>
    -> Rollen
    -> Terminaldienste
    -> Terminaldienstekonfiguration: <TerminalServerName>
    -> Verbindungen
    -> RDP-Tcp (Microsoft RDP 6.1)
    -> Eigenschaften
    -> Reiter Allgemein
    -> Abschnitt Sicherheit
    -> Sicherheitsstufe. (RDP-Sicherheitstufe | Verhandeln | SSL (TLS 1.0))
    -> RDP-Sicherheitstufe
     
    "RDP-Sicherheitstufe" bedeutet: Die Kommunikation zwischen Server und Client
    verwendet systemeigene RDP-Verschlüsselung [ohne Verwendung von
    Zertifikaten]
     
    "Verhandeln" bedeutet: Die sicherste vom Client unterstütze Stufe wird
    verwendet. Sofern unterstützt, wird "SSL (TLS 1.0)" verwendet [z.B. bei
    Windows 7 bzw. RDP-Client 6.1]
     
    "SSL (TLS 1.0)" wird für die Serverauthentifizierung und für die
    Verschlüsselung aller Daten, die zwischen Server und Client übertragen
    werden, verwendet [dazu werden SSL-Zertifikate verwendet die vom Client auf
    G��ltigkeit hin überprüft werden]
     
     
    Oder: Generiere entweder ein self-signed Certificate mittels dem lokalen (!)
    Wizzard der Windows Server 2008 Terminal Dienste (ein Zertifikat der SBS
    2008 CA wird wegen einer fehlerhaften CRL Implementation seitens des
    RDP-Client 7.0 von extern NICHT befriedigend funktionieren, ausser man
    installiert die Web-Komponente der CA auf dem SBS und "manipuliert" die
    Cert-Extentions (Stichwort: CDP and AIA for HTTP only) - s.a.:
    http://www.msxfaq.net/signcrypt/crl.htm -> CRL und RDP 7) und verteile
    dieses als vertrauenswürdiges Stammzertifikat an interne und externe Clients
    bzw. kaufe ein passendes Zertifikat für die Windows Server 2008 Terminal
    Dienste Serverauthentifizierung (hier: Servername des Windows Server 2008
    Terminal Servers) zum Aktivieren des RDP Security Layer "SSL (TLS 1.0)".
     
     
    * When should I distribute the self-signed certificate to clients?
    Once the Windows Small Business Server 2008 server is configured the root
    certificate can be distributed. All domain clients require the self-signed
    certificate in order to connect to the network. Domain-joined machines will
    trust the self-signed certificate automatically. For remote clients or
    mobile devices, you must distribute the self-signed certificate to them
    using the certificate installation package
    [\\SBS2008\Public\Downloads\Install Certificate Package.zip] or manually
    install the certificate on computers or devices.
    Source: http://technet.microsoft.com/en-us/sbs/cc817589.aspx
     
     
    > Das Zertifikat ist lokal installiert und wird in der Adressleiste
    > angezeigt.
    > Verbindung über Remote Desktop (intern) klappt leider nicht mehr. Vorher
    > ging die interne
    > Verbindung wunderbar, aber jetzt kriege ich genau die Fehlermeldung wie
    > beim externen Zugriff.
     
    Bzgl. der internen Verbindungsfehler bräuchten wir die exakte Fehlermeldung
    und die zugehörige Meldung aus der Ereignisanzeige des Clients UND des
    TS-Gateway + TS-Dienste Servers
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 10. August 2010 08:57
    Moderator
  • Hallo,

    ich habe auch ein Thematisch passendes Problem:

    wir haben einen Terminalserver auf dem ein Zertifikat installiert werden soll welches die Zertifikatswarnung beim Verbinden verhindern soll.

    Hierzu habe ich ein Wilcardzertifikat (*.firma.de) in den lokalen Zertifikatsspeicher des Servers importiert (zuerst mit "Speicherort automatisch zuordnen" oder so Ähnlich, dann nacheinander nach "Remote Desktop", "Eigene Zertifikate", "Vertrauenswürdige Stammzertifizierungsstellen" (habe ich im Netz gefunden) und "Organisationsvertrauen").

    Das Problem ist, dass ich in der "Konfiguration des Remotedesktop-Sitzungshosts", 
    "RDP-Tcp" -> Eigenschaften, 
    im Reiter "Allgemein",
    nach dem Klick auf "Auswählen" folgende Meldung erhalte:

    "Auf dem Remotedesktop-Sitzungshost sind keine Zertifikate installiert."

    Der Server ist ein Windows Server 2008 R2 mit SP1,
    ich habe es per Konsole und per "normaler" RDP-Verbindung probiert...

    Das Zertifikat ist von COMODO High-Assurance Secure Server CA, gültig bis 2016 und bei "Beabsichtigte Zwecke" steht "Serverauthentifizierung, Clientauthentifizierung" (ach ja, einen Anzeigenamen hat es auch...).

    Ich weiß nicht was ich machen muss um das entsprechende Zertifikat auszuwählen...

    Mittwoch, 28. November 2012 15:51
  • Gehe wie folgt vor:

    To import a certificate to the RDS server in the (Local Computer)/Personal Store

    1. Open the Certificates snap-in console. If you have not already added the Certificates snap-in console, you can do so by doing the following:

      1. Click Start, click Run, type mmc, and then click OK.
      2. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue..
      3. On the File menu, click Add/Remove Snap-in.
      4. In the Add or Remove Snap-ins dialog box, in the Available snap-ins list, click Certificates, and then click Add.
      5. In the Certificates snap-in dialog box, click Computer account, and then click Next.
      6. In the Select Computer dialog box, click Local computer: (the computer this console is running on), and then click Finish.
      7. In the Add or Remove Snap-ins dialog box, click OK.
    2. In the Certificates snap-in console, in the console tree, expand Certificates (Local Computer), and then click Personal.

    3. Right-click the Personal folder, point to All Tasks, and then click Import.

    4. On the Welcome to the Certificate Import Wizard page, click Next.

    5. On the File to Import page, in the File name box, specify the name of the certificate that you want to import, and then click Next.

    6. If the Password page appears, if you specified a password for the private key associated with the certificate earlier, type the password, and then click Next.

    7. On the Certificate Store page, accept the default option, and then click Next.

    8. On the Completing the Certificate Import Wizard page, confirm that the correct certificate has been selected.

    9. Click Finish.

    10. After the certificate import has successfully completed, a message appears confirming that the import was successful. Click OK.

    11. With Certificates selected in the console tree, in the details pane, verify that the correct certificate appears in the list of certificates on the RDS server. The certificate must be under the Personal store of the local computer.

    Source: http://technet.microsoft.com/en-us/library/dd320345(v=ws.10).aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Montag, 3. Dezember 2012 15:22
    Moderator
  • Hallo Herr Redelberger,

    vielen Dank!

    Hat genau so funktioniert!

    Folgendes Format wurde benötigt:

    .pfx-Datei (PKCS 12 - privater Schlüssel)

    Freitag, 14. Dezember 2012 09:05