12
RDS - Server : Vertrauen Sie dem Herausgeber dieses RemoteApp-Programms
Hallo zusammen,
ich komme mal wieder in der Windows Welt nicht weiter.
3x Server 2012
- Broker, Lizenzserver, Webaccess
- SessionHost01
- SessionHost02
Ich habe ein gekauftes SAN Zertifikat mit apps.firma.de in der Oberfläche eingespielt. Meine Sammlung nennt sich auch apps.firma.de
Auf meinem Client habe ich die Apps als WorkResources hinzugefügt. Das funktionierte mit dem Zertifikat schon mal super.
Beim Verbinden wird aber auf den Computernamen und leider nicht auf den Alias apps.firma.de zu gegriffen.
Was muss ich machen, damit nicht auf den Computernamen sondern auf "apps.firma.de" zugegriffen wird?
Ich hoffe ich habe alles ausreichend beschrieben. Vielen Dank!
Grüße
Leon
ich komme mal wieder in der Windows Welt nicht weiter.
3x Server 2012
- Broker, Lizenzserver, Webaccess
- SessionHost01
- SessionHost02
Ich habe ein gekauftes SAN Zertifikat mit apps.firma.de in der Oberfläche eingespielt. Meine Sammlung nennt sich auch apps.firma.de
Auf meinem Client habe ich die Apps als WorkResources hinzugefügt. Das funktionierte mit dem Zertifikat schon mal super.
Beim Verbinden wird aber auf den Computernamen und leider nicht auf den Alias apps.firma.de zu gegriffen.
Was muss ich machen, damit nicht auf den Computernamen sondern auf "apps.firma.de" zugegriffen wird?
Ich hoffe ich habe alles ausreichend beschrieben. Vielen Dank!
Grüße
Leon
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 390178
Url: https://administrator.de/contentid/390178
Printed on: April 27, 2024 at 23:04 o'clock
12 Comments
Latest comment
Moin,
na den Hostnamen mit ins SAN Zertifikat Aufnehmen lassen...
Frank
na den Hostnamen mit ins SAN Zertifikat Aufnehmen lassen...
Frank
Hi
Leider wird der Vorschlag von @Vision2015 nicht funktionieren da .local nicht zulässig ist in öffentlichen Zertifikaten und die meisten CA das auch gar nicht zulassen.
Wenn du den von extern erreichen willst kannst einen Proxy dazwischen setzen an dem du das Cert einbindest, wenn das System nur intern genutzt wird hast dein Geld umsonst ausgegeben, da hättest einfach eine AD integrierte CA installieren können und das Root Cert per GPO verteilen müssen und den Servern über die CA ein Zertifikat erstellen lassen.
Dann gibt es natürlich auch noch die Möglichkeit im DNS einfach Glue Record zu setzen in dem diese auf die Server setzt, aber ich habe keine Ahnung ob das mit einem Sessionbroker funktioniert.
Zu dem ist es mittlerweile eher unklug eine .local Domain zu verwenden, denn damit bekommst bei mDNS Probleme, selbst aktuelle MS Anleitungen raten davon aber - auch wenn ältere sagen das .local eine tolle Idee wäre
.
Gruß
@clSchak
Leider wird der Vorschlag von @Vision2015 nicht funktionieren da .local nicht zulässig ist in öffentlichen Zertifikaten und die meisten CA das auch gar nicht zulassen.
Wenn du den von extern erreichen willst kannst einen Proxy dazwischen setzen an dem du das Cert einbindest, wenn das System nur intern genutzt wird hast dein Geld umsonst ausgegeben, da hättest einfach eine AD integrierte CA installieren können und das Root Cert per GPO verteilen müssen und den Servern über die CA ein Zertifikat erstellen lassen.
Dann gibt es natürlich auch noch die Möglichkeit im DNS einfach Glue Record zu setzen in dem diese auf die Server setzt, aber ich habe keine Ahnung ob das mit einem Sessionbroker funktioniert.
Zu dem ist es mittlerweile eher unklug eine .local Domain zu verwenden, denn damit bekommst bei mDNS Probleme, selbst aktuelle MS Anleitungen raten davon aber - auch wenn ältere sagen das .local eine tolle Idee wäre
.Gruß
@clSchak
Moin,
ich meine es reicht, wenn du den Fingerprint des Zertifiakts noch den Clients mitteilst. Dafür gibt es einen Gruppenrichtlinienobjekt und eine Anleitung.
Gruß,
Dani
ich meine es reicht, wenn du den Fingerprint des Zertifiakts noch den Clients mitteilst. Dafür gibt es einen Gruppenrichtlinienobjekt und eine Anleitung.
Gruß,
Dani
Danke für die Antworten!
Ich kann der RDS Verbindung nicht irgendwie mitteilen, der soll anstatt auf hw-srv03-tb01 (was ja der broker ist) auf app.firma.de zugreifen?
Ich find dazu leider auch nichts passendes im Netz.
Zugriff über Extern soll irgendwann mal kommen.
Ich kann der RDS Verbindung nicht irgendwie mitteilen, der soll anstatt auf hw-srv03-tb01 (was ja der broker ist) auf app.firma.de zugreifen?
Ich find dazu leider auch nichts passendes im Netz.
Zugriff über Extern soll irgendwann mal kommen.
Moin.
Danis Kommentar lässt Du unkommentiert? Das würde diese Abfrage wegbekommen und gut ist - wozu da noch den Namen umstellen, es ist doch alles ok.
Danis Kommentar lässt Du unkommentiert? Das würde diese Abfrage wegbekommen und gut ist - wozu da noch den Namen umstellen, es ist doch alles ok.
Ich empfehle dir folgenden Artikel, der ist super verständlich beschrieben und behandelt das Thema im Detail in allen Facetten:
https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...
Danach freust du dich über die gewonnene Erkenntnis und eine meldungsfreie Verbindung in allen Verbindungs-Lagen
Gruß l.
https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...
Danach freust du dich über die gewonnene Erkenntnis und eine meldungsfreie Verbindung in allen Verbindungs-Lagen
Gruß l.
Jetzt ist die Frage welcher Weg richtiger ist.
Danis weg und den Fingerprint per GPO zu verteilen oder von lummel der weg und das über das komplizierte CMDLET Set-RDPublishedName.ps1, der soweit ich es verstanden genau das macht was ich am Anfang vor hatte.
Set-RDClientAccessName geht wohl nur wenn der RD-Verindugnsbroker für hohe Verfügbarkeit konfiguriert ist...
Danis weg und den Fingerprint per GPO zu verteilen oder von lummel der weg und das über das komplizierte CMDLET Set-RDPublishedName.ps1, der soweit ich es verstanden genau das macht was ich am Anfang vor hatte.
Set-RDClientAccessName geht wohl nur wenn der RD-Verindugnsbroker für hohe Verfügbarkeit konfiguriert ist...
Danis weg und den Fingerprint per GPO zu verteilen
Machen wir auch so, ist ja ebenfalls im Link ersichtlich.
Also nach langer Überlegungen sollte ich einfach ne eigene Zertifizierungsstelle hoch ziehen und ein computerzertifikat für den Broker erstellen, dem die Clients vertrauen..
Ich habe es immer noch nicht geschafft die Meldung weg zu bekommen...
Wie finde ich den heraus welchen Fingerprint ich da jetzt angeben muss? Es scheint fast so als ob er irgendein anderes Zertifikat benutzt weil es eben nicht hilft den Fingerprint anzugeben.
Wie finde ich den heraus welchen Fingerprint ich da jetzt angeben muss? Es scheint fast so als ob er irgendein anderes Zertifikat benutzt weil es eben nicht hilft den Fingerprint anzugeben.
https://www.gruppenrichtlinien.de/artikel/remoteapp-zertifikatsfehler-sh ... beschreibt das doch ganz genau.