none
Remotedesktop Vertrauensmeldung unterdrücken RRS feed

  • Frage

  • Hallo zusammen.

    für ein Projekt während meiner Ausbildung habe ich eine kleine RemoteApp-Landschaft (Web Access) aufgebaut. Das Single-Sign-On Verfahren habe ich bereits implementiert. Das funktioniert auch einwandfrei.

    Sobald ich allerdings dann auf eine Applikation klicke, um diese zu starten, kommt jedes mal die RemoteDesktop Vertrauensmeldung (so nenne ich sie).

    (Es handelt sich nur um ein Test, daher auch nur die Applikation Paint)

    Am Zertifikat kann es nicht liegen, diese Meldung kommt jedes Mal, wenn man eine RemoteDesktop-Verbindung aufbauen will. Nun stell ich mir aber die Frage, wie ich diese Meldung unterdrücke oder gar wegbekomme. Kann mir dabei jemand helfen?

    Es handelt sich um ein Firmeninternes Projekt, wobei es den Mitarbeiter so einfach wie möglich gemacht werden soll. Sobald diese Meldung auftaucht, sind die meisten Mitarbeiter wahrscheinlich schon überfordert, weswegen ich dieses gerne unterdrücken würde.

    MFG

    Sven ;-)

    Donnerstag, 7. März 2013 09:19

Antworten

  • Hi,

    Am 07.03.2013 10:19, schrieb SvenBeh:

    Sobald ich allerdings dann auf eine Applikation klicke, um diese zu
    starten, kommt jedes mal die RemoteDesktop Vertrauensmeldung (so
    nenne ich sie).

    es als Vertr.StammZert zu verteilen reicht leider nicht. Du musst den Fingerprint des Zertifikats noch mal verteilen.
    copy paste aus dem Zertifikat und alle Leerzeichen entfernen:

    SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client

    Die Remoteverbindungen und RemotApps suchen das Zert nicht in den Stammzerts, sondern im Bereich "Remote" und da ist es nicht hinterlegt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 7. März 2013 09:27

Alle Antworten

  • Hi,

    Am 07.03.2013 10:19, schrieb SvenBeh:

    Sobald ich allerdings dann auf eine Applikation klicke, um diese zu
    starten, kommt jedes mal die RemoteDesktop Vertrauensmeldung (so
    nenne ich sie).

    es als Vertr.StammZert zu verteilen reicht leider nicht. Du musst den Fingerprint des Zertifikats noch mal verteilen.
    copy paste aus dem Zertifikat und alle Leerzeichen entfernen:

    SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client

    Die Remoteverbindungen und RemotApps suchen das Zert nicht in den Stammzerts, sondern im Bereich "Remote" und da ist es nicht hinterlegt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 7. März 2013 09:27
  • Danke für die schnelle Antwort. Aber wenn ich ehrlich verstehe ich nicht genau, was Sie meinen.

    Also es sieht so aus, dass ich zwei Terminal Server habe, die beide Applikationen zur Verfügung stellen, über RemoteApp Web Access. Das klappt auch alles soweit. Das einzige, was mich noch stört, ist, diese doofe Vertrauensmeldung.

    Eine weitere Frage hätte ich noch so zu der eigentlichen Web Access Seite. Hat man die Möglichkeit diese zu verändern? Ihr ein eigenes Design zu verpassen? Das soll eine Anforderung sein; allerdings nur, wenn es möglich ist.

    MFG

    Sven

    Donnerstag, 7. März 2013 13:20
  • Hi,

    Am 07.03.2013 14:20, schrieb SvenBeh:

    was mich noch stört, ist, diese doofe Vertrauensmeldung

    Deswegen: Richtlinie verwenden um den Fingerprint des Zertifikats an die Clients zu verteilen.

    Fingerprint -> siehe eigenschaften des Zertifikats
    In die GPO/Policy eintragen, fertig.

    Eine weitere Frage hätte ich noch so zu der eigentlichen Web Access
    Seite. Hat man die Möglichkeit diese zu verändern?

    Logisch. Ist ne aspx Seite, Pfad zu dieser ist im IIS hinterlegt.
    Kann man editieren mit welchen Mitteln man auch immer möchte.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 7. März 2013 14:44
  • Erstmal ein Dankeschön für die super Antworten :) Ich konnte in den letzten Tagen nicht ins Forum schauen -.-

    Ich habe auf dem Client die Richtlinie "SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen" aktiviert und die Fingerabdrücke beider Zertifikate (durch ein Komma getrennt) eingetragen und die Leerzeichen, so wie Mark Heitbrink es beschrieben hat, weggelassen.

    Leider funktioniert es noch nicht. Entweder stelle ich mich zu dumm an, oder ich habe evtl. nur eine Kleinigkeit vergessen :(

    Die Seite ist übrigens auch bearbeitet und hat jetzt das vorgesehene Design :)

    Dienstag, 12. März 2013 13:24
  • Ich habe mich selbst nochmal daran versucht und habe einfach den Haken in der CheckBox "Remoteverbindungen von diesem Herausgeber nicht mehr anfordern" gesetzt und siehe da - die Meldung kommt nicht mehr.

    :)

    Mittwoch, 13. März 2013 10:52
  • Für mich ehrlich gesagt auch keine zufriedenstellende Lösung- hab leider dasselbe Problem und hab bereits folgendes versucht:

    Eintrag des Fingerprints meines Connection Broker- Zertifikats via GPO

    Installation des Zertifikats am Client (auch im Zertifikatsstore: Remotedesktop)- sollte eigentlich nicht nötig sein, da eine Root CA im Netz vorhanden ist.

    Bekomme aber nach wie vor die Fehlermeldung- als Herausgeber der RDP- Datei steht mein Connectionbroker da- wenn ich drauf klicke bekomme ich das Zertifikat mit genau dem Fingerprint, der in der GPO eingetragen ist (in der GPO ohne Leerzeichen- im Zertifikat mit).

    Weiß da jemand weiter?
    Dienstag, 13. Mai 2014 08:59
  • Am 07.03.2013 10:19, schrieb SvenBeh:

    es als Vertr.StammZert zu verteilen reicht leider nicht. Du musst den Fingerprint des Zertifikats noch mal verteilen.
    copy paste aus dem Zertifikat und alle Leerzeichen entfernen:

    Danke für den Tipp- habs jetzt unter genauem Durchlesen dieses Artikels auch verstanden ;)

    http://morgansimonsen.wordpress.com/2011/03/21/sha1-thumbprints-for-trusted-rdp-publishers/

    Es müssen ALLE Leerzeichen entfernt werden und alle Kleinbuchstaben zu Großbuchstaben umgewandelt werden!

    Dienstag, 13. Mai 2014 09:22