Ich richte eine Remotedesktopdienste-Farm ein und habe Probleme beim Konfigurieren der zu verwendenden Zertifikate. Eine Demonstration des Problems, das ich sehe, finden Sie in Schritt 4.
An dieser Stelle bin ich überzeugt, dass es Probleme mit der Benutzeroberfläche gibt, und suche nach Wegen, um sie zu umgehen. Gibt es eine Möglichkeit, Zertifikate in Remotedesktopdiensten so zu konfigurieren, dass die Einstellungen beibehalten werden und sich in der GUI widerspiegeln? Wenn nicht, kann ich dann überprüfen, ob die Einstellungen korrekt sind?
Schritt 1 - Zu verwendendes Zertifikat erstellen.
Ich habe ein Zertifikat für die Verwendung mit RD Web Access konfiguriert. Das Zertifikat wird in der MMC "Zertifikate" auf meinem RD-Verbindungsbroker gespeichert, und ich konfiguriere die Farm von diesem Computer aus.
Ich habe festgestellt, dass die folgenden Eigenschaften erforderlich sind, indem RD Web Access ein eigenes Zertifikat generieren lässt:
- Erweiterte Schlüsselverwendung
- Serverauthentifizierung
- Client-Authentifizierung
- Dies ist möglicherweise nicht erforderlich, das selbstsignierte Zertifikat enthält es jedoch.
- Schlüsselverwendung
- Digitale Unterschrift
- Schlüsselvereinbarung
- Betreff Alternativer Name
- DNS-Name = domain.com
Umweg über die Erstellung selbstsignierter Zertifikate
Als schnellen Umweg konnte ich ein Problem beim Erstellen selbstsignierter Zertifikate mit Powershell umgehen. Die Dokumentation zum Cmdlet New-RDCertificate enthält das folgende Beispiel:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Wenn Sie dies in die Shell eingeben, wird eine Fehlermeldung angezeigt, die besagt, dass eine Funktion Get-Server
nicht gefunden werden kann. Vor der Verwendung New-RDCertificate
müssen Sie das RemoteDesktop-Modul mit importieren Import-Module RemoteDesktop
.
Schritt 2 - Beobachten Sie das Out-of-Box-Verhalten
Wenn Sie das Dialogfeld Bereitstellungseigenschaften zum ersten Mal aufrufen, indem Sie zu Server-Manager -> Remotedesktopdienste -> Sammlungen navigieren und in der Dropdown-Liste "AUFGABEN" in der Gruppierung "SAMMLUNGEN" die Option "Bereitstellungseigenschaften bearbeiten" auswählen, wird der folgende Bildschirm angezeigt :
Dieses Fenster ist irreführend, da das level
Feld als "Nicht konfiguriert" aufgeführt ist. Wenn ich das richtig verstehe, verwenden alle drei Rollendienste ein selbstsigniertes Zertifikat. Für die RD-Webzugriffsrolle kann dies durch Aufrufen der Website überprüft werden:
Das verwendete Zertifikat wird auch in der Zertifikats-MMC angezeigt:
Schritt 3 - Neues Zertifikat zuweisen
Im Dialogfeld Bereitstellungseigenschaften kann ich mein vorhandenes Zertifikat auswählen. Das Zertifikat muss in der MMC für Zertifikate lokaler Computer im Zertifikatspeicher "Personal" abgelegt werden. Der private Schlüssel muss exportierbar sein und Sie müssen das Kennwort angeben. Ich habe mein Zertifikat vorübergehend in eine Datei mit dem Namen " temp.pfx
Kennwort" exportiert und dann von dort in die Remotedesktopdienste importiert.
Sobald dies erledigt ist, zeigt die GUI an, dass sie bereit ist, die neue Konfiguration zu akzeptieren.
Sobald ich auf die Schaltfläche "Übernehmen" geklickt habe, zeigt die GUI den Erfolg an.
Dies kann überprüft werden, indem Sie die RD Web Access-Website ein zweites Mal besuchen. Es liegt kein Zertifikatfehler vor.
Schritt 4 - Die GUI behält ihren Status nicht bei
Wenn die GUI geschlossen und erneut geöffnet wird, scheinen alle diese Einstellungen verloren zu gehen.
Das von mir konfigurierte Zertifikat wird derzeit noch verwendet. Ich kann weiterhin ohne Zertifikatfehler auf die RD Web Access-Website zugreifen.
Seltsamerweise wird dieses Fenster auf die Stufe "Nicht vertrauenswürdig" aktualisiert, wenn ich die Schaltfläche "Neues Zertifikat erstellen ..." verwende, um ein selbstsigniertes Zertifikat zu erstellen. Diese Einstellung bleibt dann beim Öffnen und Schließen des Dialogfelds Bereitstellungseigenschaften erhalten.
Kann ich irgendetwas tun, damit meine Einstellungen stecken bleiben? Ich habe das Gefühl, dass etwas nicht stimmt, wenn die GUI behauptet, ich habe Zertifikate nicht vollständig konfiguriert.
quelle
Antworten:
Ich habe gestern unsere Farm überprüft und festgestellt, dass Windows 2008 ist ... Ihre ist 2012. Ich bin sicher, dass es große Unterschiede gibt, aber ich hoffe, meine Informationen helfen.
Öffnen von MMC -> Zertifikate -> Computerkonto Ich sehe 2 Zertifikate im Ordner "Persönlich / Zertifikate":
Das selbstsignierte Zertifikat zeigt einen Fehler in den Details. Hat Ihr Zertifikat den gleichen Fehler?
Um diesen Fehler zu beheben, kopieren Sie einfach das Zertifikat aus dem Unterordner "personal / Certificates" und fügen Sie es in den Ordner "Trusted Root Certification Authorities / Certificates" ein. Mit diesem Schritt gibt das gleiche Zertifikat keinen Fehler.
Danach gibt es nur noch zwei Stellen, an denen Sie das von mir gefundene Zertifikat konfigurieren (in RDS Windows 2008).
Unser RemoteApp Manager zeigt:
Die Einstellungen für die digitale Signatur:
Und in der Konfiguration des RD-Sitzungshosts in den Einstellungen der Verbindung:
Am Ende , und wenn ich mich recht erinnere, haben wir es gelöst, indem wir alle Optionen überprüft haben, die Ereignisanzeige, um sicherzustellen, dass keine Zertifikatsfehler aufgetreten sind, einige lokale Gruppen bevölkert und ihnen Zugriff durch die Sicherheitsrichtlinie gewährt haben ...
Viel Glück.
---- Aktualisiert ----
Denken Sie daran, in das Benutzerprofil, die Aussteller-CA oder das Zertifikat (wenn es selbst signiert ist) in "Vertrauenswürdige Stammzertifizierungsstellen / -zertifikate" zu importieren, damit der Client keinen Zertifikatfehler erhält. Dieser Punkt war in unserem System wichtig.
quelle
Ich hatte genau das gleiche Problem und fand das Update. So haben Sie die Zertifikatvorlage erstellt und das Zertifikat angefordert.
Hier ist das Update:
Beispiel:
CN = rdweb.domain.local
CN = rdcb.domain.local
CN = rdsh1.domain.local
CN = rdsh2.domain.local
CN = rdsh3.domain.local
rdweb.domain.local
rdcb.domain.local
rdsh1.domain.local
rdsh2.domain.local
rdsh3.domain.local
Du machst das alles und Level wird Trusted und Status OK
quelle