none
2K8R2 - TS Farm Zertifikat Problem - Wie erstellen? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Servus,

    wir haben ein kleines Problem mit unserer neuen TS Farm.
    Als Domaincontroller stehen Windows 2008 R2 Standardserver zur Verfügung. 
    Terminalserver sind Windows 2008 standard 32bit. Soweit kein Problem.

    Anmeldung usw funktioniert reibungslos. Sessionbroker läuft auch ohne Probleme. Single Sign On auch, aber nur wenn ich den Server mit z.B. "Server-1" anspreche, verwende ich ein DNS Alias (Serverfarm) funktioniert der SSO nicht, da ja kein Zertifikat für diesen Namen ausgestellt ist.

    Problem?

    Erzeugen Sie ein Zertifikat, das auf den Namen der Farm ausgestellt ist, und installieren Sie es jeweils in den Zertifikatspeicher des Computerkontos auf den Remotedesktop-Sitzungshosts.

    Genau hier liegt das Problem, kann jemand in kurzen Worten erklären wie ich das Benutzerdefinierte Zertifikat mit der MMC Zertifikate erstelle? Also das ich unter eigene Zertifkate muss und dort dann Erweitert und dann Benutzerdefiniert ist klar, aber was ich in dem Assistenten dann machen bzw eingeben muss ist mir bisher nicht klar.

    Hoffe Ihr könnt mir helfen.

    Grüße

    Julian

    Donnerstag, 18. November 2010 13:29
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Julian,

    Anmeldung usw funktioniert reibungslos. Sessionbroker läuft auch ohne Probleme. Single Sign On auch, aber nur wenn ich den Server mit z.B. "Server-1" anspreche, verwende ich ein DNS Alias (Serverfarm) funktioniert der SSO nicht, da ja kein Zertifikat für diesen Namen ausgestellt ist.

    SSO läuft nicht, da der Name nicht im Cert steht - steht ja unten.

    Problem?

    Erzeugen Sie ein Zertifikat, das auf den Namen der Farm ausgestellt ist, und installieren Sie es jeweils in den Zertifikatspeicher des Computerkontos auf den Remotedesktop-Sitzungshosts.

    Genau hier liegt das Problem, kann jemand in kurzen Worten erklären wie ich das Benutzerdefinierte Zertifikat mit der MMC Zertifikate erstelle? Also das ich unter eigene Zertifkate muss und dort dann Erweitert und dann Benutzerdefiniert ist klar, aber was ich in dem Assistenten dann machen bzw eingeben muss ist mir bisher nicht klar.

    Habt ihr eine eigene CA laufen, wenn nicht erstell mal ein Certifikat mit
    SelfSSL zu testen:
    http://www.msxfaq.de/tools/selfssl.htm

    In der MMC "Konfiguration des RDP-Sitzungshosts" wählst du das dann in den
    allgemeinen aus. Hier gibts noch Bilder dazu:
    http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_19_012.htm

    Viele Grüße
    Christian

    Freitag, 19. November 2010 07:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

     

    danke für die ersten Tipps,

     

    haben zwar ne CA laufen, doch irgendwie habe ich bisher da noch kein richtiges Zertifikat rausbekommen, jedenfalls nicht so, dass SSO möglich war. Daraufhin habe ich mit selfssl jetzt ein Zertifikat erzeugt und das auf einem TS installiert und unter Remotedesktopkonfiguration ausgewählt.

    Am Client dieses Zertifikat auch installiert und versucht über den Namen zu verbinden, leider kommt direkt das Anmeldefenster für Login und Kennwort. Wo könnte der Hacken sein?

     

    Grüße

    Montag, 22. November 2010 08:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi jstuch,

    haben zwar ne CA laufen, doch irgendwie habe ich bisher da noch kein richtiges Zertifikat rausbekommen, jedenfalls nicht so, dass SSO möglich war. Daraufhin habe ich mit selfssl jetzt ein Zertifikat erzeugt und das auf einem TS installiert und unter Remotedesktopkonfiguration ausgewählt.

    OK, eigentlich hätte es eher mit dem CACert laufen sollen, als mit selfssl...

    Am Client dieses Zertifikat auch installiert und versucht über den Namen zu verbinden, leider kommt direkt das Anmeldefenster für Login und Kennwort. Wo könnte der Hacken sein?

    Hast du die Konfiguration am Client sauber gesetzt:
    http://blogs.msdn.com/b/rds/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx

    Viele Grüße
    Christian

    Montag, 22. November 2010 08:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

     

    das SSO über den Rechnernamen funktioniert ja ohne Probleme, daher denke ich schon dass der Client (Windows XP) richtig konfiguriert ist. Musste da an diversen Stellen in der Registrierung Änderungen vornehmen

    http://www.stuch.info/problem.jpg

     

    Grüße

    Montag, 22. November 2010 08:51
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi jstuch,

    ach stimmt sso hatte ja soweit funktioniert - welche Namen sind denn jetzt im
    Cert hinerlegt?

    Versuch es nochmal mit einem SANCert und nimm alle Namen:
    http://www.msxfaq.de/signcrypt/sancert.htm

    Was hast du im TERMSRV/ alles hinterlegt?

    Viele Grüße
    Christian

    Montag, 22. November 2010 09:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

     

    die Registrierung sieht folgendermaßen aus:

     

    [HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\LocalDevices]

    "pluto-1"=dword:0000004c

    "pluto-2"=dword:0000004c

    "pluto-3"=dword:0000004c

    "pluto-4"=dword:0000004c

    "pluto-5"=dword:0000004c

    "pluto-6"=dword:0000004c

    "pluto-7"=dword:0000004c

    "pluto-8"=dword:0000004c

    "RDSFarm"=dword:0000004c

     

     

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]

    "AllowDefaultCredentials"=dword:00000001

    "ConcatenateDefaults_AllowDefault"=dword:00000001

     

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]

    "1"="termsrv/pluto-1"

    "2"="termsrv/pluto-2"

    "3"="termsrv/pluto-3"

    "4"="termsrv/pluto-4"

    "5"="termsrv/pluto-5"

    "6"="termsrv/pluto-6"

    "7"="termsrv/pluto-7"

    "8"="termsrv/pluto-8"

    "9"="termsrv/RDSFarm"

     

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]

    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

     

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

    "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

      00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\

      6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\

      00,73,00,70,00,6b,00,67,00,00,00,00,00




    Was für eine Vorlage soll ich für das SAN Zertifikat auswählen?

    Gruß

    Montag, 22. November 2010 09:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi jstuch,

    "9"="termsrv/RDSFarm"

    Hast du im Zertifkikat diesen Namen hinterlegt oder den FQDN? 

    Was für eine Vorlage soll ich für das SAN Zertifikat auswählen?

    Hast du dir mal meinen Link angeschaut - da steht das Punkt für Punkt
    erklärt...

    Viele Grüße
    Christian

    Montag, 22. November 2010 09:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Hatte im Zertifikat mit selfssl den Namen "RDSFarm" drin, nicht den FQDN.

     

    Hab nun versucht über meine CA ein SAN Zertifikat anzufordern. Dazu eine Kopie von "Authentifizierte Sitzung" (keine Ahnung ob korrekt, da keine richtige Vorlage gefunden bzw im Text gefunden).


    Als Name dann RDSFarm, unten bei Attribute: san:dns=RDSFarm&RDSFarm.firma.local

    Anzeigename dann: RDSFarm.firma.local

    Wenn ich jetzt bei mir in die CA schaue sehen ich auch dass eins Augestellt wurde. Wie geht's weiter? 

    Ach ja, hab ich schon einmal Danke gesagt, für die Hilfe? Vielen Dank!

    Gruß

    Montag, 22. November 2010 10:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi jstuch,

    Wenn ich jetzt bei mir in die CA schaue sehen ich auch dass eins Augestellt wurde. Wie geht's weiter? 

    Hast du es denn schon in den lokalen Zertifikatsspeicher importiert und es im
    Sitzungshost hinterlegt?

    Bei SELFSSL fällt mir gerade noch ein, dass du es hättest bei den Clienst
    installieren müssen, da sie dem Herausgeber nicht trauen...

    Viele Grüße
    Christian

    Montag, 22. November 2010 10:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ich glaub mittlerweile bin ich auf dem richtigen Weg. Was soll ich für eine Zertifikatvorlage für die Anforderung verwenden?

    Muss "Attribute" in den zusätzlichen Optionen (Web Anforderung) auch was eingetragen werden?

     

    Grüße

    Mittwoch, 24. November 2010 11:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich schreib daher, da ich ein Zertifikat auf RDSFarm.firma.local in der TS Konfiguration hinterlegt hab. Dazu noch im Stammzertifikatspeicher hinterlegt.

     

    Wenn ich nun am CLient auf den FQDN "RDSFarm.firma.local" verbinde, bekomme ich keine Warnung mehr, dass der Name nicht stimmen würde, doch das SSO funktioniert einfach nicht.

     

    Grüße

    Mittwoch, 24. November 2010 11:49
    |
  • Question
    Anmelden
    0
    Anmelden

    So,

    hab jetzt mal nen Windows 7 Rechner genommen, damit geht das Connecten auf eine TSFarm mit SSO.

    Mit Windows XP funktioniert der Login auf TSFarm (SSO) nicht, nur auf einen einzelnen TS mit SSO. Was kann man da machen? Kann man da was machen, denn laut Internet streiten sich hier die Geister.

     

    Grüße

    Mittwoch, 24. November 2010 13:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

     

    Problem mit doppelten Login bei Windows XP SP3 ist behoben.

    Diesen Patch (http://support.microsoft.com/kb/953760) bei Microsoft anfordern und installieren. Danach geht alles wie am Schnürchen.

     

    Grüße

     

    PS. Danke Christian für die Hilfe.

    Donnerstag, 25. November 2010 11:44
    |