none
Zertifikat für RD-Farm RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    um die lästigen Zertifikatsfehler beim Aufruf der .rdp Verbindung zu umgehen habe ich mich an das CA-Thema gewagt.

    Bisher habe ich eine Root-CA erstellt auf der AD-CA. Hier habe ich die Computervorlage kopiert, in den Application Policies habe ich die Einträge entfernt und "Remote Desktop Auth" hinzugefügt. Die Vorlage wurde schließlich aktiviert und mittels GPO als "Zertifikatvorlage für Serverauthentifizierung" hinterlegt.

    Beim Verbinden via IP auf einen der RD-Sitzungshosts erhalte ich trotzdem noch 2 Pop-Ups:

    - Der Herausgeber dieser Remoteverbindung kann nicht identifiziert werden

    - Der Servername auf dem Zertifikat ist falsch (Angefordert steht dort die IP, im Zertifikat des Remotecomputers steht der volle Hostname)

    Vielen Dank!

    Freitag, 14. August 2020 08:21
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    gleich vorab: eine CA brauchst Du für den Betrieb einer RDS-Farm nicht. Ein große Berliner Behörde hat 7 Jahre lang ihre RDS-Farm sehr erfolgreich mit selbstsignierten Zertifikaten betrieben.

    Wir dürfen hier zwei Themen nicht vermischen:

    1. den Betrieb einer RDS-Farm mit Broker und Web Access bzw. Feed, und
    2. eine RDP-Verbindung zu einem einzelnen Server, egal, ob er Mitglied der Farm ist oder einfach nur ein Server mit RDP

    Für den zweiten Fall brauchst Du die von Dir beschrieben Vorlage, und die Gruppenrichtlinie (wo Du den Namen der Vorlage *ohne Leerzeichen*, also den Namen und nicht den Anzeigenamen platzieren solltest).

    Für das Herausgeber-Thema (wichtig auch beim Betrieb als Farm) brauchst Du zwei GPO-Einstellungen (am Client):

    Das IP-Thema wirst Du m.E. nicht wirklich umgehen können. Du kannst ja versuchen, die IP-Adresse als SAN in die Zertifikate reinzudübeln (funktioniert natürlich nicht mit Autoenrollment, aber was soll's). Aber die Server haben doch auch alle FQDNs, warum sollte man sie auch über IP aufrufen...

    Evgenij Smirnov

    http://evgenij.smirnov.de



    • Bearbeitet Evgenij Smirnov Freitag, 14. August 2020 10:00
    • Als Antwort markiert xdav Freitag, 14. August 2020 12:46
    • Tag als Antwort aufgehoben xdav Freitag, 14. August 2020 12:46
    • Als Antwort markiert xdav Freitag, 14. August 2020 12:48
    Freitag, 14. August 2020 09:10
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    gleich vorab: eine CA brauchst Du für den Betrieb einer RDS-Farm nicht. Ein große Berliner Behörde hat 7 Jahre lang ihre RDS-Farm sehr erfolgreich mit selbstsignierten Zertifikaten betrieben.

    Wir dürfen hier zwei Themen nicht vermischen:

    1. den Betrieb einer RDS-Farm mit Broker und Web Access bzw. Feed, und
    2. eine RDP-Verbindung zu einem einzelnen Server, egal, ob er Mitglied der Farm ist oder einfach nur ein Server mit RDP

    Für den zweiten Fall brauchst Du die von Dir beschrieben Vorlage, und die Gruppenrichtlinie (wo Du den Namen der Vorlage *ohne Leerzeichen*, also den Namen und nicht den Anzeigenamen platzieren solltest).

    Für das Herausgeber-Thema (wichtig auch beim Betrieb als Farm) brauchst Du zwei GPO-Einstellungen (am Client):

    Das IP-Thema wirst Du m.E. nicht wirklich umgehen können. Du kannst ja versuchen, die IP-Adresse als SAN in die Zertifikate reinzudübeln (funktioniert natürlich nicht mit Autoenrollment, aber was soll's). Aber die Server haben doch auch alle FQDNs, warum sollte man sie auch über IP aufrufen...

    Evgenij Smirnov

    http://evgenij.smirnov.de



    • Bearbeitet Evgenij Smirnov Freitag, 14. August 2020 10:00
    • Als Antwort markiert xdav Freitag, 14. August 2020 12:46
    • Tag als Antwort aufgehoben xdav Freitag, 14. August 2020 12:46
    • Als Antwort markiert xdav Freitag, 14. August 2020 12:48
    Freitag, 14. August 2020 09:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin und vielen Dank für die Antwort,

    ja ich habe hier fälschlicherweise etwas vermischt, Thema 2 ist aber korrekt. Von welchem Zertifikat genau ziehe ich denn den Fingerprint? Ist nicht jedes auf einem Client ausgerollte ein Unikat?

    Bzgl. der IP werde ich mal aktualisierte RDP Verknüpfungen ausrollen, die dann nur über FQDN verbinden sollen.

    Viele Grüße

    Freitag, 14. August 2020 12:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Von welchem Zertifikat genau ziehe ich denn den Fingerprint? Ist nicht jedes auf einem Client ausgerollte ein Unikat?

    Korrekt. Das bezieht sich aber auf die Signierung der RDP-Datei. Wenn Du sie nicht signierst (in einer Farm macht der Broker das für Dich), ist auch der Fingerprint nutzlos. Wenn Du die Herausgeber-Meldung kriegst, indem Du einfach mstsc /v:<FQDN> aufrufst, wurde das Zertifikat möglicherweise nicht durch Dein aus der PKI ausgestelltes Zertifikat ersetzt. Überprüfen kannst Du es mit 

    (Get-WMIObject Win32_TSGeneralSetting -Namespace 'ROOT\CIMv2\TerminalServices').SSLCertificateSHA1Hash
    Steht da der Thumbprint von dem Zertifikat aus der PKI?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 14. August 2020 13:02
    |