aschinnerl
Goto Top

Terminal Server 2012 R2 - Zertifikatsfragen bei .local Domäne

Hi,

Ich habe eine Frage - wie macht Ihr das wenn ihr einen Terminal Server 2012 R2 habt und eine intern .local (SBS) Domäne.
Habe immer wieder Problemen mit den Zertfikaten für die externen Terminal Server Benutzer da ja kein Anbieter mehr die internen Domänen in die Zertifikate mit aufnimmt.

Danke, lg

Content-ID: 368805

Url: https://administrator.de/forum/terminal-server-2012-r2-zertifikatsfragen-bei-local-domaene-368805.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

clSchak
clSchak 21.03.2018 um 22:35:55 Uhr
Goto Top
Hi

was heisst externe Benutzer? HomeOffice Kollegen oder externe Personen? Sende denen euer CA Zertifikat zu, dass sollen die sich installieren dann erscheinen die Meldungen auch nicht.

Wir haben für unseren Exchange auch nur ein Zertifikat das wir durch unsere CA signiert haben, wenn wir Dienstleister haben die eine Mailadresse bekommen sollen, dann senden wir das CA Zertifikat zu das die sich dann installieren können oder mit der Meldung leben müssen. Da das CA Cert bei uns auf allen Geräten verteilt wird hat keiner das Problem intern und für 2-3 Dienstleister pro Jahr kaufen wir kein Zertifikat (vor allem nicht bei der Anzahl an Maildomains die wir haben ...)

Gruß
@clSchak
aschinnerl
aschinnerl 21.03.2018 um 22:47:21 Uhr
Goto Top
OK danke, sind externe.

Aktuell verwende ich ein über den IIS selbstsigniertes Zertifikat.
Wäre zum überlegen ob ich hier nicht eine eigene CA dafür aufziehe.
clSchak
clSchak 21.03.2018 um 22:58:45 Uhr
Goto Top
oder ein einfaches Zertifikat kaufen das auf den DNS Namen passt, das kostet nicht viel. Ggf. via Let's Encrypt.
aschinnerl
aschinnerl 23.03.2018 um 17:44:39 Uhr
Goto Top
Das Problem ist das ein externer DNS Anbieter KEINE lokalen DNS Namen in seine Zertifikate integriert.

Somit kann ich keines kaufen oder Lets Encrypt verwenden.
135799
135799 23.03.2018 aktualisiert um 17:52:17 Uhr
Goto Top
Mach einfach Split DNS und dein Problem löst sich in nichts auf weil du keine internen URLs mehr brauchst.

Gruß Schnuffi
aschinnerl
aschinnerl 24.03.2018 um 22:04:19 Uhr
Goto Top
Aber für den Terminal Server brauche ich für die Remote Apps den server fqdn im Cert, und dieser ändert sich leider auch nicht durch Split DNS
135799
135799 25.03.2018 aktualisiert um 09:11:32 Uhr
Goto Top
Zitat von @aschinnerl:

Aber für den Terminal Server brauche ich für die Remote Apps den server fqdn im Cert, und dieser ändert sich leider auch nicht durch Split DNS
Quatsch, wer hat dir den Mist erzählt?
Du machst dir eine neue Zone im DNS trägst dort für den Server einen neuen A-Record ein und sprichst den Server dann einfach mit dem neuen Namen an. Im Zertifikat braucht es dann nur einen fqdn der sowohl intern als auch externe genutzt wird, das ist der Sinn von SplitDNS.

Vergess also den Bullshit mit internen nicht öffentlichen Domains im Zertifikat das wurde aus gutem Grund abgeschafft und braucht man nun wirklich nicht mehr, da es genügend Alternativen gibt.

Wenn du das hier aufmerksam liest weist du warum und wie man sowas richtig macht:
http://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...