6
RDS Zertifikatproblem Sitzungshosts unter zentralem Namen nutzen
Hallo zusammen,
ich stehe vor einem Problem mit meinen RDS-Sitzungshosts und hoffe, dass jemand eine Lösung hat.
Setup:
- 5 Sitzungshosts (TS1, TS2, TS3, usw.)
- 1 RDS-Broker
- Benutzer melden sich über den zentralen Namen `termsrv.domain.internal` an
- Dedizierter Windows Server als interne Zertifizierungsstelle (CA)
Problem:
Wenn sich Benutzer über `termsrv.domain.internal` verbinden, erhalten sie eine Zertifikatswarnung, da die Sitzungshosts tatsächlich TS1, TS2, TS3 usw. heißen und das Zertifikat nicht mit dem aufgelösten Namen übereinstimmt.
Was ich bereits versucht habe:
Ich habe verschiedene Ansätze aus dem Internet ausprobiert, aber bislang ohne Erfolg. Mein Ziel ist es, eine Lösung zu finden, mit der sich alle Clients ohne Zertifikatsfehler über den zentralen Namen anmelden können.
Hat jemand eine funktionierende Lösung oder eine Idee, wie man das Problem sauber löst?
Vielen Dank im Voraus!
ich stehe vor einem Problem mit meinen RDS-Sitzungshosts und hoffe, dass jemand eine Lösung hat.
Setup:
- 5 Sitzungshosts (TS1, TS2, TS3, usw.)
- 1 RDS-Broker
- Benutzer melden sich über den zentralen Namen `termsrv.domain.internal` an
- Dedizierter Windows Server als interne Zertifizierungsstelle (CA)
Problem:
Wenn sich Benutzer über `termsrv.domain.internal` verbinden, erhalten sie eine Zertifikatswarnung, da die Sitzungshosts tatsächlich TS1, TS2, TS3 usw. heißen und das Zertifikat nicht mit dem aufgelösten Namen übereinstimmt.
Was ich bereits versucht habe:
Ich habe verschiedene Ansätze aus dem Internet ausprobiert, aber bislang ohne Erfolg. Mein Ziel ist es, eine Lösung zu finden, mit der sich alle Clients ohne Zertifikatsfehler über den zentralen Namen anmelden können.
Hat jemand eine funktionierende Lösung oder eine Idee, wie man das Problem sauber löst?
Vielen Dank im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672027
Url: https://administrator.de/forum/rds-zertifikatproblem-sitzungshosts-unter-zentralem-namen-nutzen-672027.html
Ausgedruckt am: 18.03.2025 um 21:03 Uhr
6 Kommentare
Neuester Kommentar
Hi, der DNS termsrv.domain.internal sollte auf den Brocker verweisen.
Hast du Round robin auf die einzelnen TS ?
Haben ein ähnliches Konstrukt. Dort haben wir im Zertifikat nur den Namen des Brokers drin.
Hast du Round robin auf die einzelnen TS ?
Haben ein ähnliches Konstrukt. Dort haben wir im Zertifikat nur den Namen des Brokers drin.
Zitat von @Delta9:
Hi, der DNS termsrv.domain.internal sollte auf den Brocker verweisen.
Hast du Round robin auf die einzelnen TS ?
Haben ein ähnliches Konstrukt. Dort haben wir im Zertifikat nur den Namen des Brokers drin.
Hi, der DNS termsrv.domain.internal sollte auf den Brocker verweisen.
Hast du Round robin auf die einzelnen TS ?
Haben ein ähnliches Konstrukt. Dort haben wir im Zertifikat nur den Namen des Brokers drin.
Hallo,
ja, aktuell wird Round Robin auf die einzelnen TS verwendet. Dafür gibt es eine eigene Zone namens `termsrv.domain.internal`, in der mehrere A-Einträge hinterlegt sind. Zusätzlich existieren zwei NS-Einträge, die auf den AD-Server verweisen, der auch als DNS-Server fungiert. Die SOA-Einträge zeigen ebenfalls auf den primären DNS.
Meinst du, dass ich stattdessen einen einzelnen A-Eintrag erstellen soll, der direkt auf den Broker verweist, und die bestehende Zone dann nicht mehr verwenden sollte? Oder hast du eine andere Lösung im Sinn?
Genau das meine ich.
Wir haben einen Generischen Namen für den Broker z.B. Broker1.firma.de genommen. Dann einen CNAME auf den FQDN des Servers.
In dem Zertifikat steht der Generische und der Computername als FQDN drin.
Kannst auch direkt den Computernamen nehmen.
Die TS tauchen gar nicht auf und werden auch nicht direkt angesprochen.
Die passende rdp Datei für die Sammlung bekommst du ja im Portal des Brokers.
Sinn des Broker ist die Verwaltung von verschiedenen Sammlungen und diese je nach berechtigung des Benutzers anzubieten.
Wir haben einen Generischen Namen für den Broker z.B. Broker1.firma.de genommen. Dann einen CNAME auf den FQDN des Servers.
In dem Zertifikat steht der Generische und der Computername als FQDN drin.
Kannst auch direkt den Computernamen nehmen.
Die TS tauchen gar nicht auf und werden auch nicht direkt angesprochen.
Die passende rdp Datei für die Sammlung bekommst du ja im Portal des Brokers.
Sinn des Broker ist die Verwaltung von verschiedenen Sammlungen und diese je nach berechtigung des Benutzers anzubieten.
Moin
das Zertifikat muss für alle Hosts gültig sein. Entweder verwendest Du also ein SAN-Zertifikat oder ein Wildcard-Zertifikat. Vgl. z.B. hier: https://www.windowspro.de/wolfgang-sommergut/terminal-server-farmen-zert ...
Gruß
das Zertifikat muss für alle Hosts gültig sein. Entweder verwendest Du also ein SAN-Zertifikat oder ein Wildcard-Zertifikat. Vgl. z.B. hier: https://www.windowspro.de/wolfgang-sommergut/terminal-server-farmen-zert ...
Gruß
Zitat von @Delta9:
Genau das meine ich.
Wir haben einen Generischen Namen für den Broker z.B. Broker1.firma.de genommen. Dann einen CNAME auf den FQDN des Servers.
In dem Zertifikat steht der Generische und der Computername als FQDN drin.
Kannst auch direkt den Computernamen nehmen.
Die TS tauchen gar nicht auf und werden auch nicht direkt angesprochen.
Die passende rdp Datei für die Sammlung bekommst du ja im Portal des Brokers.
Sinn des Broker ist die Verwaltung von verschiedenen Sammlungen und diese je nach berechtigung des Benutzers anzubieten.
Genau das meine ich.
Wir haben einen Generischen Namen für den Broker z.B. Broker1.firma.de genommen. Dann einen CNAME auf den FQDN des Servers.
In dem Zertifikat steht der Generische und der Computername als FQDN drin.
Kannst auch direkt den Computernamen nehmen.
Die TS tauchen gar nicht auf und werden auch nicht direkt angesprochen.
Die passende rdp Datei für die Sammlung bekommst du ja im Portal des Brokers.
Sinn des Broker ist die Verwaltung von verschiedenen Sammlungen und diese je nach berechtigung des Benutzers anzubieten.
Und damit der Broker die Verbindungen an die entsprechenden Sitzungshosts weiterleitet und nicht direkt zu ihm selbst, was muss zusätzlich konfiguriert werden? Muss ich eine spezielle Konfig im Broker vornehmen bzw eine Weiterleitung konfigurieren?
Mal eine Frage am Rande:
Wenn du eine eigene CA hast, kannst du doch auch für jeden RD-SH ein eigenes Zertifikat ausstellen, was spricht dagegen?
DNS Round Robin fand ich immer etwas unschön.
Wenn du eine eigene CA hast, kannst du doch auch für jeden RD-SH ein eigenes Zertifikat ausstellen, was spricht dagegen?
DNS Round Robin fand ich immer etwas unschön.
