11
RDWeb Zertifikatsfehler
Hallo zusammen,
kurz vorm Wochenende kam bei uns nochmal eins der bekannten "Warum?!" Themen rein.
Wir verwenden auf einer RDS Farm (Connection Broker + Gateway mit 2 RDS Hosts, alles Server 2022) das HTML5 Webportal zum Zugriff . Das Ganze hat nun auch ca. ein halbes Jahr funktioniert. Seit heute bekommen die Benutzer beim Versuch die Verbindung zu starten den Hinweis, dass das Zertifikat nicht passt.
An dem Aufbau wurde seit Inbetriebnahme nichts verändert. Das genannte Zertifikat habe ich mir auch angesehen, das ist auch noch gültig
Der "normale" Zugriff per aus dem RDWeb geladener RDP Datei funktioniert problemlos - auch ohne Zertifikatsmeldung. Das Zertifikat stammt aus der internen Domänen CA und ist dort ebenfalls noch als gültig klassifiziert.
Das Thema Reverse Proxy konnten wir schon ausschließen, da es intern (externer DNS Eintrag löst auch intern direkt auf die interne IP auf) mit der gleichen Fehlermeldung nicht läuft.
Jemand noch einen Tipp für mich?
Danke und Grüße!
kurz vorm Wochenende kam bei uns nochmal eins der bekannten "Warum?!" Themen rein.
Wir verwenden auf einer RDS Farm (Connection Broker + Gateway mit 2 RDS Hosts, alles Server 2022) das HTML5 Webportal zum Zugriff . Das Ganze hat nun auch ca. ein halbes Jahr funktioniert. Seit heute bekommen die Benutzer beim Versuch die Verbindung zu starten den Hinweis, dass das Zertifikat nicht passt.
An dem Aufbau wurde seit Inbetriebnahme nichts verändert. Das genannte Zertifikat habe ich mir auch angesehen, das ist auch noch gültig
Thumbprint : 71XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
FriendlyName :
NotBefore : 14.12.2023 10:49:59
NotAfter : 14.12.2025 10:59:59Der "normale" Zugriff per aus dem RDWeb geladener RDP Datei funktioniert problemlos - auch ohne Zertifikatsmeldung. Das Zertifikat stammt aus der internen Domänen CA und ist dort ebenfalls noch als gültig klassifiziert.
Das Thema Reverse Proxy konnten wir schon ausschließen, da es intern (externer DNS Eintrag löst auch intern direkt auf die interne IP auf) mit der gleichen Fehlermeldung nicht läuft.
Jemand noch einen Tipp für mich?
Danke und Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81471851963
Url: https://administrator.de/contentid/81471851963
Printed on: April 27, 2024 at 22:04 o'clock
11 Comments
Latest comment
Moin,
Uhrzeit des RDSHosts ist korrekt?
Uhrzeit des RDSHosts ist korrekt?
Passen alle Namen im Zertifikat?
Datum an den Clients/ Hosts auch korrekt?
Mal den IIS auf dem RDSHost neugestartet?
Irgendwas im Eventlog entdeckt?
Datum an den Clients/ Hosts auch korrekt?
Mal den IIS auf dem RDSHost neugestartet?
Irgendwas im Eventlog entdeckt?
Ja. Hosts, sowie Broker passen. Clients passen auch.
Ja. Leider ohne besserung
Leider nein. Im IIS Log finden sich nur die Errors beim Aufbau der Verbindung.
Vermutlich Doofe frage: Welche Namen müssen da rein? Aktuell stehen die internen und externen DNS Namen vom RD Broker drin.
Ja. Leider ohne besserung
Leider nein. Im IIS Log finden sich nur die Errors beim Aufbau der Verbindung.
2024-02-16T15:45:37.822Z OSSLTransport(NORM): Initiating the TLS handshake.
2024-02-16T15:45:37.842Z OSSLTransport(NORM): Validating the server certificate using an expected certificate...
2024-02-16T15:45:37.847Z OSSLTransport(NORM): Certificate validation failed for a TLS certificate with SHA1 fingerprint='71XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
2024-02-16T15:45:37.849Z Connection(ERR): The connection generated an internal exception with disconnect code=CertMismatch(7), extended code=<null>, reason=The cert from the remote server did not match the expected certificate (length mismatch).
Thrown in thread 1136492 at:
tls/ossltransport.cpp(512)
Call Stack:
at invoke_iiiiiii
at https://homeportal.mydomain.de/rdweb/webclient/librdp/html/librdphtml.a2d54375.wasm:wasm-function[7914]:0x3ddcac
at invoke_iii
at https://homeportal.mydomain.de/rdweb/webclient/librdp/html/librdphtml.a2d54375.wasm:wasm-function[7918]:0x3e175a
connection.cpp(1801): OnException()Vermutlich Doofe frage: Welche Namen müssen da rein? Aktuell stehen die internen und externen DNS Namen vom RD Broker drin.
Und woran lag es jetzt?
Hast den Thread als gelöst markiert…
Hast den Thread als gelöst markiert…
Hatte mich vorher beim zitieren verklickt. Ist bereinigt.
The cert from the remote server did not match the expected certificate (length mismatch)
Die Fehlermeldung besagt es eigentlich schon.Der HTML 5 Client hat eine separate Zertifikats-Definition wenn dort das Cert nicht mit dem des RDS-Hosts/GW übereinstimmt, knallt es, lass es dir mit
Get-RDWebClientBrokerCertDas neue dann importieren mittels
Import-RDWebClientBrokerCert C:\temp\mycert.cer
Publish-RDWebClientPackage -Type Production -LatestEinrichten des Remotedesktop-Webclients für Ihre Benutzer
Am besten gleich für die nächste Zertifikatserneuerung notieren oder ein Skript schreiben das einen das beim nächsten mal nicht vergessen lässt. 😉
☠️
1Zitat von @11078840001:
lass es dir mit
anzeigen, da liegt sicher noch ein altes Cert.
lass es dir mit
Get-RDWebClientBrokerCertDas hinterlegte Zertifikat ist noch bis 2025 gültig. Da das Zertifikat noch nie gewechselt wurde "kann" dort kein altes Zertifikat liegen.
Zitat von @TuberPlays:
Das hinterlegte Zertifikat ist noch bis 2025 gültig. Da das Zertifikat noch nie gewechselt wurde "kann" dort kein altes Zertifikat liegen.
Das hinterlegte Zertifikat ist noch bis 2025 gültig. Da das Zertifikat noch nie gewechselt wurde "kann" dort kein altes Zertifikat liegen.
Genau das sagt der Fehler aber aus.
Prüfen heißt die Mutter der Porzelankiste ...
Hatte ich erst vor ner Woche bei einem Kunden, genau das selbe Problem. Der Webclient verliert auch gerne ohne Anlass seine Config, zwar selten, ist mir aber schon mal unter gekommen, weiß der Geier wenn MS mal wieder meint mit Updates die Chose zum Abkacken bewegen zu müssen.
1
Yo, kann das von abramakabra nur bestätigen.
Ist uns auch schon 2x passiert.
Alle Zertifikate in der RD-Deployment zu aktualisieren / neu einzuspielen kann helfen.
VG
Ist uns auch schon 2x passiert.
Alle Zertifikate in der RD-Deployment zu aktualisieren / neu einzuspielen kann helfen.
VG
Hallo zusammen,
ich habe heute das Wartungsfenster mal genutzt, um etwas an dem Teil "rumzuwerkeln".
Das vorhandene Zertifikat nochmal einzuspielen hat keine Besserung gebracht. Habe ich mir dann von der CA ein neues Zertifikat ausstellen lassen und hinterlegt. Seither klappt auch der Zugriff wieder.
Testweise auch nochmal das alte - aber noch gültige - Zertifikat hinterlegt -> Fehlermeldung wieder da.
Würde ich es nicht besser wissen, würde ich sagen "Zertifikat kaputt", was aber eigentlich nicht sein dürfte, da das selbe Zertifikat im "normalen" RDweb problemlos funktioniert.
Danke für eure Unterstützung und schönes Restwochenende.
ich habe heute das Wartungsfenster mal genutzt, um etwas an dem Teil "rumzuwerkeln".
Das vorhandene Zertifikat nochmal einzuspielen hat keine Besserung gebracht. Habe ich mir dann von der CA ein neues Zertifikat ausstellen lassen und hinterlegt. Seither klappt auch der Zugriff wieder.
Testweise auch nochmal das alte - aber noch gültige - Zertifikat hinterlegt -> Fehlermeldung wieder da.
Würde ich es nicht besser wissen, würde ich sagen "Zertifikat kaputt", was aber eigentlich nicht sein dürfte, da das selbe Zertifikat im "normalen" RDweb problemlos funktioniert.
Danke für eure Unterstützung und schönes Restwochenende.
