Client-Hyper-V und RDP-Zertifikate

Mitglied: DerWoWusste
Moin.

Habe hier ein Problem der speziellen Art, was vermutlich niemand kennt.
Will man Man-in-the-middle-Attacken bei RDP vorbeugen, so kann man ja folgende GPO setzen:
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Serverauthentifizierung für Client konfigurieren
->Keine Verbindung, wenn Authentifizierung fehlschlägt

Tut man das, ist keine Verbindung mehr zu auf Win10 20H2 lokal gehaltenen Hyper-V-Maschinen möglich, siehe Bild:
capture
Das passiert auch noch bevor die Maschine ins Windows gebootet hat, sprich: das hat mit dem Gast-OS gar nichts zu tun!
Hyper-V präsentiert einfach ein Zertifikat, dass er irgendwo herzaubert (selbstsigniert, Gültigkeit 1000 Jahre!), welches aber auf den FQDN des Hosts ausgestellt ist und mit dem Namen des Gastes nichts zu tun hat. Die Hyper-V-Konsole nutzt den FQDN nicht einmal, sondern nur den netbios-Namen des Hosts, was natürlich zu einem Zertifikatsfehler führt.

Wo kann ich einstellen, dass hier von der VM ein ordentliches Zertifikat präsentiert wird?
---

PS: Man sieht mal wieder: MS fordert dazu auf zu härten, aber niemand macht es. Andernfalls würde ja bei niemandem mehr Zugriff auf die lokalen Hyper-Vs möglich sein, wie mir scheint.

Content-Key: 1068198402

Url: https://administrator.de/contentid/1068198402

Ausgedruckt am: 27.07.2021 um 23:07 Uhr

Mitglied: DerWoWusste
Lösung DerWoWusste 21.07.2021 um 14:03:57 Uhr
Goto Top
Lösung gefunden. Microsoft ist echt eine Bastelbude.
Doppelklickt man in Hyper-V auf eine VM, dann öffnet sich vmconnect und das beschriebene Problem stellt sich.
Starte ich jedoch vmconnect.exe manuell und gebe als Server den FQDN meines Hosts ein, dann läuft alles.
untitled

Ergo: aus Hyper-V heraus wird vmconnect automatisch mit unpassenden Optionen (nämlich dem netbios-Namen als Hostname) gestartet. Tja, was soll der Quatsch, Microsoft?
Mitglied: samrein
samrein 21.07.2021 um 14:13:45 Uhr
Goto Top
Großartig und danke fürs teilen...

Grüße
Stefan
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 21.07.2021 um 14:23:36 Uhr
Goto Top
Zitat von @DerWoWusste:

Lösung gefunden. Microsoft ist echt eine Bastelbude.
Doppelklickt man in Hyper-V auf eine VM, dann öffnet sich vmconnect und das beschriebene Problem stellt sich.
Starte ich jedoch vmconnect.exe manuell und gebe als Server den FQDN meines Hosts ein, dann läuft alles.
untitled

Ergo: aus Hyper-V heraus wird vmconnect automatisch mit unpassenden Optionen (nämlich dem netbios-Namen als Hostname) gestartet. Tja, was soll der Quatsch, Microsoft?

Hast Du noch WINS im Einsatz?

Es wäre doch auch über zwei andere Wege kompensierbar:

1)
Die Computer bekommen Zertifikate, die ihren Gerätenamen und den vollständigen Gerätenamen (FQDN) abbilden.

2)
Es müsste auch gehen, wenn man das Domänen-Suffix über die Netzwerkverbindung mit gibt.

Gruß
bdmvg
Mitglied: DerWoWusste
DerWoWusste 21.07.2021 aktualisiert um 14:37:17 Uhr
Goto Top
@samrein gerne!
@beidermachtvongreyscull Nee, die Zertifikate erstellt Windows automatisch und daran ist nichts zu ändern.
Zu 2) das mache ich doch mittels vmconnect! Aber aus der Hyper-V-GUI geht es nicht.
Nein, WINS ist nicht im Einsatz und spielt hierbei nicht mit rein.
Thema durch, mein Workaround reicht mir. Es ist ja auch nur dann wichtig, wenn die VM

A kein Windows-OS ist
oder
B Windows OS ist, aber noch nicht gebootet ist.

Andernfalls kann man sich ja mit dem Gast direkt verbinden über normales RDP (wenn man's denn zulässt).
Mitglied: C.R.S.
C.R.S. 22.07.2021 um 00:40:36 Uhr
Goto Top
Hallo DWW,

die Zertifikate lassen sich schon ändern, das Verfahren ist dem Prinzip nach weiterhin gültig: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Die Registry-Einträge kann man sich gut sparen, da der Computer-Store ohnehin ggü. dem VMMS-Konto bevorzugt wird und ein Betrieb mit selbstsignierten Zertifikaten unter der RDP-Policy leicht auffällt.
Weil ich noch nicht dahinter gekommen bin, wie man von den AD CS ein Zertifikat mit der (zumindest heute unter Server 2016 und 2019) nötigen Erweiterung 1.3.6.1.4.1.311.62.1.1.1 anfordert, pflege ich diese Zertifikate aber trotzdem noch manuell.

Grüße
Richard
Mitglied: DerWoWusste
DerWoWusste 22.07.2021 um 09:29:38 Uhr
Goto Top
Hallo Richard.

Interessant.
Leider gelingt mir die Umsetzung nicht, aber da vertiefe ich mich jetzt nicht rein, dazu ist der Workaround schon gut genug.

Danke
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 20 StundenFrageWindows Server27 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 1 TagFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk16 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

question
Domänenbeitritt verhindern gelöst grmg2010Vor 13 StundenFrageWindows 1018 Kommentare

Guten Abend zusammen, ich befasse mich gedanklich mit dem Thema Windows Domäne. Dazu ein hypothetisches Beispiel zu dem ich keine wirkliche Lösung bei meiner Suche ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates4 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...

general
Sichere Remote Zugriff LösungenbrammerVor 22 StundenAllgemeinSicherheit11 Kommentare

Hallo, ich darf gerade einige Remote Service Lösungen die Unsere Kunden gerne einsetzen würden sondieren. Dabei bin ich auf 2 Webseiten auf folgende Aussagen gestoßen; ...