Client Remotedesktop Verbindung Zertifikataussteller definieren
Hallo liebe Gemeinde.
Ich habe folgende Situtation. Umgebung ist AD-Domäne mit 2008R2 Std. als DC und Windows 7 Pro. 64-Bit Clients. Alle letztmöglichen Updatestand. Ich habe bereits eine Zertifizierungsstelle installiert die auch korrekt Computerzertifikate verteilt. Die automatische Erneuerung via GPO habe ich ebenfalls definiert. Soweit eigentlich alles in Ordnung. Keine Fehler im Eventlog.
Baue ich jetzt von einem System eine RDP Verbindung zu einem anderen auf, erhalte ich die wohlbekannte Zertifikatswarung von wegen "Zertifikat nicht vertrauenwürdig ...". Bei genauerer Betrachtung fällt mir auf, dass der Aussteller des Zertifikats der betroffene Remotecomputer ist und dieser für den Aufbau der RDP-Sitzung nicht das von der CA ausgestellte Zertifikat (dieses befindet sich jedoch im lokalen Zertifikatsspeicher) nimmt. Ich habe mittels MMC am Remotecomputer das Zertifizierungs-Snap-In geöffnet und mir die lokalen Zertifikate anzeigen lassen. Unter "Eigene Zertifikate ist das korrekte (von der CA ausgestellte) Zertifikat vorhanden. Im Punkte "Remotedesktop" jedoch ist das vom System eigens ausgestelle angeführt. Da es sich um einee Evaluierungsumgebung handelt, habe ich dies mal gelöscht - wird aber beim nächsten Verbindungsversuch wieder neu ausgestellt. Das von der CA ausgestellte Zertifikat zu importieren, hat auch nicht den gewünschten Effekt erzielt.
Leider habe ich momentan keine Ahnung woran das liegen könnte. Ich hoffe auf Eure Unterstützung.
Liebe Grüße.
Ich habe folgende Situtation. Umgebung ist AD-Domäne mit 2008R2 Std. als DC und Windows 7 Pro. 64-Bit Clients. Alle letztmöglichen Updatestand. Ich habe bereits eine Zertifizierungsstelle installiert die auch korrekt Computerzertifikate verteilt. Die automatische Erneuerung via GPO habe ich ebenfalls definiert. Soweit eigentlich alles in Ordnung. Keine Fehler im Eventlog.
Baue ich jetzt von einem System eine RDP Verbindung zu einem anderen auf, erhalte ich die wohlbekannte Zertifikatswarung von wegen "Zertifikat nicht vertrauenwürdig ...". Bei genauerer Betrachtung fällt mir auf, dass der Aussteller des Zertifikats der betroffene Remotecomputer ist und dieser für den Aufbau der RDP-Sitzung nicht das von der CA ausgestellte Zertifikat (dieses befindet sich jedoch im lokalen Zertifikatsspeicher) nimmt. Ich habe mittels MMC am Remotecomputer das Zertifizierungs-Snap-In geöffnet und mir die lokalen Zertifikate anzeigen lassen. Unter "Eigene Zertifikate ist das korrekte (von der CA ausgestellte) Zertifikat vorhanden. Im Punkte "Remotedesktop" jedoch ist das vom System eigens ausgestelle angeführt. Da es sich um einee Evaluierungsumgebung handelt, habe ich dies mal gelöscht - wird aber beim nächsten Verbindungsversuch wieder neu ausgestellt. Das von der CA ausgestellte Zertifikat zu importieren, hat auch nicht den gewünschten Effekt erzielt.
Leider habe ich momentan keine Ahnung woran das liegen könnte. Ich hoffe auf Eure Unterstützung.
Liebe Grüße.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192416
Url: https://administrator.de/forum/client-remotedesktop-verbindung-zertifikataussteller-definieren-192416.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
5 Kommentare
Neuester Kommentar
Du musst das ausgestellte Zertifikat noch im Zertifikatsmanager des Computerkontos in den Store Remote Desktop verschieben.
Wenn es dazu noch ein Terminalserver ist, musst Du das Zertifikat noch im Remote Desktop Session Host Configuration festlegen.
Das selbst erstellte Zertifikat kannst Du entfernen.
Wenn es dazu noch ein Terminalserver ist, musst Du das Zertifikat noch im Remote Desktop Session Host Configuration festlegen.
Das selbst erstellte Zertifikat kannst Du entfernen.
Dein Computerzertifikat muss als Funktion die Serverauthentifizierung beinhalten.
Normalerweise kopiert man sich eine Zertifikatsvorlage in der CA, passt diese entsprechend an und veröffentlicht die Vorlage anschließend. In Deinem Fall würde ich die bestehende Vorlage für Serverauthentifizierung wählen.
Idealerweise setzt du die Sicherheit auf Domänencomputer mit Lesen, anfordern und auto registrieren und im Verwendungszweck muss Du mindestens die Serverauthentifizierung eintragen.
Ob mann das Zertifikat per GPO nach RDP kopieren kann, weis ich grad nicht. Da bin ich auch grad auf der Suche und am testen.
Per Default gehen die lediglich in den Personal Store.
Leider habe ich gerade keine CA zur Hand. Daher können die Begriffe namentlich abweichen.
Normalerweise kopiert man sich eine Zertifikatsvorlage in der CA, passt diese entsprechend an und veröffentlicht die Vorlage anschließend. In Deinem Fall würde ich die bestehende Vorlage für Serverauthentifizierung wählen.
Idealerweise setzt du die Sicherheit auf Domänencomputer mit Lesen, anfordern und auto registrieren und im Verwendungszweck muss Du mindestens die Serverauthentifizierung eintragen.
Ob mann das Zertifikat per GPO nach RDP kopieren kann, weis ich grad nicht. Da bin ich auch grad auf der Suche und am testen.
Per Default gehen die lediglich in den Personal Store.
Leider habe ich gerade keine CA zur Hand. Daher können die Begriffe namentlich abweichen.
Schau mal hier.
Vielleicht hilft Dir das weiter.
http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-deskt ...
Grüße
Vielleicht hilft Dir das weiter.
http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-deskt ...
Grüße