none
Remote Desktop Services Zertifikatsfehler vom Sitzungshost beim Zugriff über das RD Gateway RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Fachmänner,

    ich habe da mal eine kleine Frage.

    Ich möchte gerne eine RDS Farm mit mehreren RD Sitzungshosts installieren. Das klappt mittlerweile auch alles echt super. Ich scheitere aber immer daran, das ich ein Problem mit dem Zertifikat des Sitzungshosts habe.

    Die Server sind alle in der Domäne Company.local installiert. wir haben ein Wildcard Zertifikat für *.Company.de welches ich für alle Rollen im Server Manager verwende.

    Der zugriff vom LAN klappt ohne Probleme. Wenn ich aber vom Internet über das Rd Gateway zugreifen will, wird mir die RDP Datei im Web Browser angezeigt, und ich kann die Verbindung auch starten, aber dann kommt die Meldung das der Server nicht authentifiziert werden kann. Das wundert mich auch nicht, weil da ja mit einem Selbst signierten Zertifikat arbeitet. Wenn ich jetzt über Policys einstelle, das sich der Sitzungshost ein Zertifikat von unserer internen CA holt, sehe ich auf dem Sitzungshost auch, das er ein Zertifikat bekommt, und dieses auch verwendet. Am Client ( win 8.1 ) kommt dann aber die Meldung das die Zertifikatssperrliste nicht geprüft werden konnte. Das ich auch soweit richtig, weil wir zur Zeit keine Sperrlisteninformationen verteilen bzw. zur Verfügung stellen.

    Hat jemand von euch schon mal eine Interne CA ohne Sperrlisten verwendet ? Ich kann ja auf den Sitzungshosts auch kein Geotrust Zertifikat oder so installieren, weil ja die Domäne .local ist, und das wird ja nicht mehr unterstützt.

    Kann mir jemand mal einen Tipp geben wie´s gemacht wird.

    Danke

    Montag, 24. November 2014 19:25
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin Reiner,

    wenn Clients von außen Deine PKI nutzen, müssen die Sperrlisten auch extern verfügbar sein.

    Als externer CDP eignen sich Webserver (kein SSL) und/oder ein Online Responder. (Theoretisch lässt sich das LDAP extern veröffentlichen, aber das möchte wohl keiner ;)

    Zusätzlich zur Sperrliste sollten auch die Zertifizierungsstellen-Zertifikate extern veröffentlicht werden (AIA).

    Werden zusätzliche CDP hinzugefügt, sollten alle bisher ausgestelleten Zertifikate gesperrt und erneuert werden. Der CDP steht im Zertifikat und die Clients prüfen die Sperrliste anhand der Informationen aus dem Zertifikat.

    Zu dem Thema PKI empfehle ich Dir das Buch 'PKI & Certificate Security' von Brian Komar.

    Zum Spielen und warm werden mit dem Thema, gibt es ein kleines TLG für eine einfache PKI. http://technet.microsoft.com/en-us/library/hh831348.aspx

    This posting is provided AS IS with no warranties.

    • Als Antwort markiert dervossi Mittwoch, 26. November 2014 19:27
    Mittwoch, 26. November 2014 07:11
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    bei einem 'Best Practice' Layout der RDS Umgebung unter Server 2012 spielt das Zertifikat der Hosts nur noch eine untergeordnete Rolle.

    Die Kommunikation der Clients läuft über Broker, WebAccess und Gateway und deren Zertifikate müssen passen.

    http://ryanmangansitblog.com/2013/03/10/configuring-rds-2012-certificates-and-sso/

    ---

    Zur internen PKI:

    Sperrlisten müssen grundsätzlich immer verteilt werden. Per default werden sie bei einer AD integrierten CA über das AD (LDAP) verteilt. Bei Bedarf können zusätzliche CDP hinzugefügt werden. http://technet.microsoft.com/en-us/library/cc753296.aspx

    PKI ist aber nochmal ein ganz anderes Thema ...

    This posting is provided AS IS with no warranties.

    Montag, 24. November 2014 19:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Dark,

    danke für die schnelle Antwort. Ich habe die Installation der RD Farm nach der Anleitung von Ryan Mangan gemacht, das läuft auch soweit ja alles richtig. Nur beim zugriff von Extern, klappt das halt nicht wegen dem Zertifikats Revocation check. Aber dann muss ich halt die Revocation List veröffentlichen. Ich habe schon ein wenig probiert, muss jetzt aber wohl zusätzlich zu SSL Port 443 dann auch Port 80 frei schalten, weil die CRL nur über HTTP und nicht über HTTPS verteilt werden kann. Ich wollte die Sache einfach halten, und nur 443 an der Firewall öffnen, aber manchmal muss man halt wohl ein paar Kompromisse machen.

    Nochmal Danke für deine Hilfe.

    Hat vielleicht noch jemand einen Tip ? Oder hat das in der Konstellation schon mal installiert ?

    Danke

    Reiner

    Mittwoch, 26. November 2014 02:59
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin Reiner,

    wenn Clients von außen Deine PKI nutzen, müssen die Sperrlisten auch extern verfügbar sein.

    Als externer CDP eignen sich Webserver (kein SSL) und/oder ein Online Responder. (Theoretisch lässt sich das LDAP extern veröffentlichen, aber das möchte wohl keiner ;)

    Zusätzlich zur Sperrliste sollten auch die Zertifizierungsstellen-Zertifikate extern veröffentlicht werden (AIA).

    Werden zusätzliche CDP hinzugefügt, sollten alle bisher ausgestelleten Zertifikate gesperrt und erneuert werden. Der CDP steht im Zertifikat und die Clients prüfen die Sperrliste anhand der Informationen aus dem Zertifikat.

    Zu dem Thema PKI empfehle ich Dir das Buch 'PKI & Certificate Security' von Brian Komar.

    Zum Spielen und warm werden mit dem Thema, gibt es ein kleines TLG für eine einfache PKI. http://technet.microsoft.com/en-us/library/hh831348.aspx

    This posting is provided AS IS with no warranties.

    • Als Antwort markiert dervossi Mittwoch, 26. November 2014 19:27
    Mittwoch, 26. November 2014 07:11
    |
  • Question
    Anmelden
    1
    Anmelden

    vielen vielen Dank ! Da habe ich ja eine ganze Woche was zum testen und probieren ;-) Sieht aber so aus, als ob das der Weg ist den gehen sollte.

    Nochmal vielen Dank !

    Mittwoch, 26. November 2014 19:26
    |