none
per gpo verteiltes rdp-file meldet immer "Unbekannter Herausgeber" RRS feed

  • Frage

  • Guten Tag,

    wir möchten gerne eine Gruppenrichtlinie verwenden um ein rdp-file automatisch zu verteilen.

    Beim öffnen dieser Datei kommt dann immer direkt die folgende Warnmeldung:

    Da wir ein Wildcard-Zertifkat verwenden um die Verbindung zur Farm zu authentifizieren frage ich mich jetzt, wieso er bei der per gpo verteilten rdp-datei nicht den Herausgeber findet? Müsste er da nicht auf das Wildcard Zertifikat zurückgreifen?

    Wenn ich mich manuell per mstsc auf den Verbindungsbroker verbinde, dann funktioniert alles korrekt ohne Warnung.

    Gruß

    Jan

    Donnerstag, 12. April 2018 08:44

Alle Antworten

  • Moin,

    wo kommt das RDP-File her? Habt ihr das auf der Farm generiert und aus dem User-Profil abgezogen? Oder ist sie manuell erstellt (und somit nicht signiert)?

    Falls signiert: Du musst den SHA-Fingerabdruck des Zertifikats über die GPO-Einstellung "Specify SHA1 thumbrint of certificates..." verteilen (für Computer oder User)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 12. April 2018 09:31
  • Hallo Jan,

    falls ich mich nicht irre, liegt es daran das das .rdp File bei dir lokal am Client durch die GPO erstellt/kopiert wird und dadurch nicht vom Server zertifiziert ist.

    Es gibt eine Richtlinie die Unbekannte Herausgeber zulässt:

    Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Windows-Komponenten - Remotedesktopdienste - Remotedesktopverbindugns-Client - RDP-Dateien von unbekannten Herausgebern zulassen

    Donnerstag, 12. April 2018 09:43
  • Es gibt eine Richtlinie die Unbekannte Herausgeber zulässt:

    Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Windows-Komponenten - Remotedesktopdienste - Remotedesktopverbindugns-Client - RDP-Dateien von unbekannten Herausgebern zulassen

    Die ist aber im Default aktiviert und bewirkt auch bei expliziter Aktivierung nicht, dass die Fehlermeldung verschwindet.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 12. April 2018 09:46
  • Das Stimmt, Danke der Korrektur. Der Pfad ist zumindest der gleiche für die Richtlinie.
    Donnerstag, 12. April 2018 10:11
  • Wenn die RDP-Datei nicht signiert wird, kommt halt die Meldung, Signierung siehe hier:
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee216791(v=ws.11)

    Wenn man das Häkchen bei "Nicht erneut fragen" setzt, kommt die Meldung nicht wieder.

    Donnerstag, 12. April 2018 11:43
  • Moin,

    wo kommt das RDP-File her? Habt ihr das auf der Farm generiert und aus dem User-Profil abgezogen? Oder ist sie manuell erstellt (und somit nicht signiert)?

    Falls signiert: Du musst den SHA-Fingerabdruck des Zertifikats über die GPO-Einstellung "Specify SHA1 thumbrint of certificates..." verteilen (für Computer oder User)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Hallo Evgenij,

    vielen Dank für das Feedback.

    Ja, diese RDP-Datei wurde auf der Farm per MSTSC geöffnet, bearbeitet, gespeichert und dann auf einem Fileserver Share abgelegt auf den alle User lese-berechtigt sind.

    Unter Benutzerkonfig->Richtlinien->Administr. Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopverbindungs-Client ->haben wir zudem

    "RDP-Dateien von gültigen Herausgebern und standardmäßige RDP Einstellungen des Benutzers zulassen" Aktiviert .

    "SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen" Aktiviert

    Dort ist der Fingerabdruck des Wildcard Zertifikats hinterlegt, welcher unter den Bereitstellungseigenschaften bei dem RDP-Verbindungsbroker angezeigt wird. (Dort steht übrigens auch alles auf Vertrauenswürdig und Status - OK)

    Ich schaue mir diesen Link mal an.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee216791(v=ws.11)

    Trotzdem danke schonmal!


    Freitag, 13. April 2018 06:50
  • Ja, diese RDP-Datei wurde auf der Farm per MSTSC geöffnet,bearbeitet, gespeichert und dann auf einem Fileserver Share abgelegt auf den alle User lese-berechtigt sind.

    Somit ist die Signatur futsch und die Meldung korrekt.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 13. April 2018 08:59