Client-Hyper-V und RDP-Zertifikate

Mitglied: DerWoWusste
Moin.

Habe hier ein Problem der speziellen Art, was vermutlich niemand kennt.
Will man Man-in-the-middle-Attacken bei RDP vorbeugen, so kann man ja folgende GPO setzen:
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Serverauthentifizierung für Client konfigurieren
->Keine Verbindung, wenn Authentifizierung fehlschlägt

Tut man das, ist keine Verbindung mehr zu auf Win10 20H2 lokal gehaltenen Hyper-V-Maschinen möglich, siehe Bild:
capture
Das passiert auch noch bevor die Maschine ins Windows gebootet hat, sprich: das hat mit dem Gast-OS gar nichts zu tun!
Hyper-V präsentiert einfach ein Zertifikat, dass er irgendwo herzaubert (selbstsigniert, Gültigkeit 1000 Jahre!), welches aber auf den FQDN des Hosts ausgestellt ist und mit dem Namen des Gastes nichts zu tun hat. Die Hyper-V-Konsole nutzt den FQDN nicht einmal, sondern nur den netbios-Namen des Hosts, was natürlich zu einem Zertifikatsfehler führt.

Wo kann ich einstellen, dass hier von der VM ein ordentliches Zertifikat präsentiert wird?
---

PS: Man sieht mal wieder: MS fordert dazu auf zu härten, aber niemand macht es. Andernfalls würde ja bei niemandem mehr Zugriff auf die lokalen Hyper-Vs möglich sein, wie mir scheint.

Content-Key: 1068198402

Url: https://administrator.de/contentid/1068198402

Ausgedruckt am: 05.08.2021 um 01:08 Uhr

Mitglied: DerWoWusste
Lösung DerWoWusste 21.07.2021 um 14:03:57 Uhr
Goto Top
Lösung gefunden. Microsoft ist echt eine Bastelbude.
Doppelklickt man in Hyper-V auf eine VM, dann öffnet sich vmconnect und das beschriebene Problem stellt sich.
Starte ich jedoch vmconnect.exe manuell und gebe als Server den FQDN meines Hosts ein, dann läuft alles.
untitled

Ergo: aus Hyper-V heraus wird vmconnect automatisch mit unpassenden Optionen (nämlich dem netbios-Namen als Hostname) gestartet. Tja, was soll der Quatsch, Microsoft?
Mitglied: samrein
samrein 21.07.2021 um 14:13:45 Uhr
Goto Top
Großartig und danke fürs teilen...

Grüße
Stefan
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 21.07.2021 um 14:23:36 Uhr
Goto Top
Zitat von @DerWoWusste:

Lösung gefunden. Microsoft ist echt eine Bastelbude.
Doppelklickt man in Hyper-V auf eine VM, dann öffnet sich vmconnect und das beschriebene Problem stellt sich.
Starte ich jedoch vmconnect.exe manuell und gebe als Server den FQDN meines Hosts ein, dann läuft alles.
untitled

Ergo: aus Hyper-V heraus wird vmconnect automatisch mit unpassenden Optionen (nämlich dem netbios-Namen als Hostname) gestartet. Tja, was soll der Quatsch, Microsoft?

Hast Du noch WINS im Einsatz?

Es wäre doch auch über zwei andere Wege kompensierbar:

1)
Die Computer bekommen Zertifikate, die ihren Gerätenamen und den vollständigen Gerätenamen (FQDN) abbilden.

2)
Es müsste auch gehen, wenn man das Domänen-Suffix über die Netzwerkverbindung mit gibt.

Gruß
bdmvg
Mitglied: DerWoWusste
DerWoWusste 21.07.2021 aktualisiert um 14:37:17 Uhr
Goto Top
@samrein gerne!
@beidermachtvongreyscull Nee, die Zertifikate erstellt Windows automatisch und daran ist nichts zu ändern.
Zu 2) das mache ich doch mittels vmconnect! Aber aus der Hyper-V-GUI geht es nicht.
Nein, WINS ist nicht im Einsatz und spielt hierbei nicht mit rein.
Thema durch, mein Workaround reicht mir. Es ist ja auch nur dann wichtig, wenn die VM

A kein Windows-OS ist
oder
B Windows OS ist, aber noch nicht gebootet ist.

Andernfalls kann man sich ja mit dem Gast direkt verbinden über normales RDP (wenn man's denn zulässt).
Mitglied: C.R.S.
C.R.S. 22.07.2021 um 00:40:36 Uhr
Goto Top
Hallo DWW,

die Zertifikate lassen sich schon ändern, das Verfahren ist dem Prinzip nach weiterhin gültig: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Die Registry-Einträge kann man sich gut sparen, da der Computer-Store ohnehin ggü. dem VMMS-Konto bevorzugt wird und ein Betrieb mit selbstsignierten Zertifikaten unter der RDP-Policy leicht auffällt.
Weil ich noch nicht dahinter gekommen bin, wie man von den AD CS ein Zertifikat mit der (zumindest heute unter Server 2016 und 2019) nötigen Erweiterung 1.3.6.1.4.1.311.62.1.1.1 anfordert, pflege ich diese Zertifikate aber trotzdem noch manuell.

Grüße
Richard
Mitglied: DerWoWusste
DerWoWusste 22.07.2021 um 09:29:38 Uhr
Goto Top
Hallo Richard.

Interessant.
Leider gelingt mir die Umsetzung nicht, aber da vertiefe ich mich jetzt nicht rein, dazu ist der Workaround schon gut genug.

Danke
Heiß diskutierte Beiträge
general
Einprügeln auf Fax als AblenkungsmanöveritebobVor 23 StundenAllgemeinOff Topic16 Kommentare

Moin, Im Interview mit dem Unionsfraktionschef Ralph Brinkhaus im Deutschlandfunk heute 07:15 hat der Journalist nebenbei erwähnt, dass über die Hochwasserkatastrophe per Fax gewarnt wurde. ...

general
2D DXF DWG Viewer für Verkauf?dertowaVor 1 TagAllgemeinOff Topic6 Kommentare

Guten Morgen allerseits, wir missbrauchen bei uns bislang das CAM Programm im Verkauf als DXF/DWG Viewer. Die Kollegen haben sich über Jahrzehnte daran gewöhnt, allerdings ...

question
Server 2019 std. auf deutsch umstellenBender999Vor 1 TagFrageWindows Server28 Kommentare

Hallo, kann mir einer erklären wie um alles in der Welt ich meinen Server 2019 std. auf deutsch umstellen kann? ...

question
Angebot annehmen? Gehalt OK?xsheynVor 19 StundenFrageOff Topic10 Kommentare

Hallo zusammen, ich bin nun seit knapp einem Jahr im Bewerbungsprozess und versuche in die "richtige" IT zu kommen. Momentan bin ich nur Knöpfchendrücker, also ...

question
Fehler beim Kopieren von einer CDHeinHeiopeiVor 1 TagFragePeripheriegeräte6 Kommentare

Moin, moin, ich habe dieser Tage versucht eine alte Datenbank, die ich im Jahre 2012 für einen Kunden entwickelt hatte, für eigene Zwecke zu adaptieren. ...

question
Ecosia Suchmaschine die Bäume pflanzt (80 Prozent fürnachgefragtVor 1 TagFrageWebbrowser5 Kommentare

Mahlzeit. Wir wurden darauf angesprochen, ob wir Ecosia bei div. Arbeitsplätzen als Suchmaschine anstatt Google implementieren könnten, quasi die Startseite der Browser, als Add In, ...

question
Subnetting FrageAuDavidVor 15 StundenFrageNetzwerke21 Kommentare

Hallo, ich hätte mal eine Frage zu dem Subnetting, ich sitze schon länger an dieser Aufgabe und bin mir mit der Lösung sehr unsicher. Ich ...

question
Dynamisch MAC-Adresse je nach WiFi-Netzwerk. Wie ist das möglich? gelöst Oliver16Vor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Mir ist heute etwas aufgefallen, von dem mir nicht bekannt war, dass es möglich ist. Ein Notebook (Lenovo) von mir verändert die MAC-Adresse des WiFi-Adapters ...