majorx
Goto Top

Server 2012 Remote-App von aussen zugreifen + Zertifikat

Hallo Community,

Ich habe einen Server 2012 als Terminalserver aufgesetzt und zusätzlich Programme als Apps installiert. Der Zugriff innerhalb des Netzwerks funktioniert einwandfrei. Ausserdem kann ich auch problemlos von ausserhalb mit dem RDP-Client auf den Terminalserver arbeiten. Mein Problem liegt darin, dass ich gerne von Extern auf die Webapps des Terminalservers zugreifen möchte.
Der Server befindet sich an einem TDSL-Biz mit fester IP. Nun habe ich aber nicht verstanden, wie ich den Zugriff von extern auf die Apps herstellen soll. Zusätzlich möchte ich gerne ein SSL-Zertifikat verwenden um den Zugriff auf den Remotedesktop sowie die Apps einzuschränken. Zur Zeit greife ich noch mit der festen IP auf den Remotedesktop zu. Ein SSL-Zertifikat darf aber wohl keine IP mehr enthalten. Also wie muss denn dann die Adresse lauten?

Kann mir dabei jemand weiterhelfen?

Vielen Dank vorab,

Majo

Content-ID: 234320

Url: https://administrator.de/forum/server-2012-remote-app-von-aussen-zugreifen-zertifikat-234320.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

DerWoWusste
DerWoWusste 02.04.2014 um 15:51:43 Uhr
Goto Top
Hi.

Ich habe zwar noch keinen Zugriff von extern freigeschaltet, aber vielleicht kann ich dennoch helfen.
Fragen an Dich:
-Hast Du nicht bereits ein Zertifikat, mit dem die RemoteApps signiert sind?
-Was meinst Du mit "ssl-Zert. verwenden um den Zugriff einzuschränken"? Das schränkt doch nicht ein, es verschlüsselt nur und bestätigt dem Client die korrekte Identität des Servers. Willst Du den Nutzerkreis einschränken, dann hat das mit Zertifikaten herzlich wenig zu tun.
Auch sehe ich keinen Zusammenhang zwischen Zertifikat und IP - das Zertifikat, insofern Du es tatsächlich brauchst, wird auf einen Rechnernamen ausgestellt. Gibt man diesen Namen am Client in den Remotedesktopclient ein, muss dieser zunächst aufgelöst werden können, also kommt die IP im Zertifikat eh nicht vor. Du musst nur für die Namensauflösung sorgen, zur Not durch einen Eintrag in Deiner Hosts-Datei.
MajorX
MajorX 02.04.2014 um 16:00:05 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Ich habe zwar noch keinen Zugriff von extern freigeschaltet, aber vielleicht kann ich dennoch helfen.
Fragen an Dich:
-Hast Du nicht bereits ein Zertifikat, mit dem die RemoteApps signiert sind?
Doch, die Apps sind ja mit einem selbstdefinierten Zertifikat des Servers signiert.

-Was meinst Du mit "ssl-Zert. verwenden um den Zugriff einzuschränken"? Das schränkt doch nicht ein, es
verschlüsselt nur und bestätigt dem Client die korrekte Identität des Servers. Willst Du den Nutzerkreis
einschränken, dann hat das mit Zertifikaten herzlich wenig zu tun.
Man hat mir gesagt es gibt die Möglichkeit im RDP-Client zu sagen, nur wenn ein bestimmtes SSL.Zertifikat installiert ist kann man überhaut zugreifen. Das bedeutet natürlich, dass jeder der Zugriff haben möchte das Zertifikat in seine vertrauendswürdigen Zertifikate importiert haben muss...

Auch sehe ich keinen Zusammenhang zwischen Zertifikat und IP - das Zertifikat, insofern Du es tatsächlich brauchst, wird auf
einen Rechnernamen ausgestellt. Gibt man diesen Namen am Client in den Remotedesktopclient ein, muss dieser zunächst
aufgelöst werden können, also kommt die IP im Zertifikat eh nicht vor. Du musst nur für die Namensauflösung
sorgen, zur Not durch einen Eintrag in Deiner Hosts-Datei.
Aber wie und wo kann ich denn sagen, der Rechner ist jetzt von Aussen nicht über seine externe IP sondern über remote.server.local erreichebar und es wird doch dann tausende remote.server.local geben... oder bin ich hier völlig auf dem Holzweg?
DerWoWusste
DerWoWusste 02.04.2014 um 16:03:05 Uhr
Goto Top
Man hat mir gesagt es gibt die Möglichkeit im RDP-Client zu sagen, nur wenn ein bestimmtes SSL.Zertifikat installiert ist kann man überhaut zugreifen
Das Zertifikat als Eintrittskarte? Das ist falsch wiedergegeben, dafür ist es nicht gedacht.
Um den Nutzerkreis einzuschränken, reicht doch, die RemoteApp nicht pauschal allen freizugegen.
...wo kann ich denn sagen...
Wie beschrieben: DNS-Server bekannt machen, der den Eintrag kennt. Wenn nicht möglich, in die Hosts-Datei manuell eintragen.
MajorX
MajorX 02.04.2014 um 16:11:36 Uhr
Goto Top
Ok,
also brauche ich gar kein SSLZertifikat?
Muss ich zum Eintrag in einen DNS-Server nicht eine Domain verwenden? Was meinst du mit DNS-Server bekannt machen? Zur Zeit wäre da ja nur die externe IP und der interne Servername server.local.

Gruß,
Majo
DerWoWusste
DerWoWusste 02.04.2014 aktualisiert um 16:31:07 Uhr
Goto Top
Du solltest dringend eins benutzen, doch. Die Verschlüsselung schützt vor Abhören. Ohne das Zert. hast Du nur einfache Verschlüsselung, mit doppelte.
Nimm die Hosts-Datei. Eintrag wie folgt:
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.  
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost
173.194.112.55  rdpserver
rdpserver würdest Du dann in den RDPClient eingeben und fertig.
MajorX
MajorX 02.04.2014 um 16:28:33 Uhr
Goto Top
Ich werde das mal testen und dann weiter hier berichten.

Danke schonmal vorab.
MajorX
MajorX 04.04.2014 um 12:07:26 Uhr
Goto Top
Nur Zur Info. Das mit dem Hostseintrag hat nicht geholfen...
Problem also bis jetzt noch nicht gelöst.
DerWoWusste
DerWoWusste 04.04.2014 um 12:10:07 Uhr
Goto Top
Beschreibe bitte Dein Problem.