7
Terminal Server 2012 R2 - Zertifikatsfragen bei .local Domäne
Hi,
Ich habe eine Frage - wie macht Ihr das wenn ihr einen Terminal Server 2012 R2 habt und eine intern .local (SBS) Domäne.
Habe immer wieder Problemen mit den Zertfikaten für die externen Terminal Server Benutzer da ja kein Anbieter mehr die internen Domänen in die Zertifikate mit aufnimmt.
Danke, lg
Ich habe eine Frage - wie macht Ihr das wenn ihr einen Terminal Server 2012 R2 habt und eine intern .local (SBS) Domäne.
Habe immer wieder Problemen mit den Zertfikaten für die externen Terminal Server Benutzer da ja kein Anbieter mehr die internen Domänen in die Zertifikate mit aufnimmt.
Danke, lg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368805
Url: https://administrator.de/contentid/368805
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
7 Kommentare
Neuester Kommentar
Hi
was heisst externe Benutzer? HomeOffice Kollegen oder externe Personen? Sende denen euer CA Zertifikat zu, dass sollen die sich installieren dann erscheinen die Meldungen auch nicht.
Wir haben für unseren Exchange auch nur ein Zertifikat das wir durch unsere CA signiert haben, wenn wir Dienstleister haben die eine Mailadresse bekommen sollen, dann senden wir das CA Zertifikat zu das die sich dann installieren können oder mit der Meldung leben müssen. Da das CA Cert bei uns auf allen Geräten verteilt wird hat keiner das Problem intern und für 2-3 Dienstleister pro Jahr kaufen wir kein Zertifikat (vor allem nicht bei der Anzahl an Maildomains die wir haben ...)
Gruß
@clSchak
was heisst externe Benutzer? HomeOffice Kollegen oder externe Personen? Sende denen euer CA Zertifikat zu, dass sollen die sich installieren dann erscheinen die Meldungen auch nicht.
Wir haben für unseren Exchange auch nur ein Zertifikat das wir durch unsere CA signiert haben, wenn wir Dienstleister haben die eine Mailadresse bekommen sollen, dann senden wir das CA Zertifikat zu das die sich dann installieren können oder mit der Meldung leben müssen. Da das CA Cert bei uns auf allen Geräten verteilt wird hat keiner das Problem intern und für 2-3 Dienstleister pro Jahr kaufen wir kein Zertifikat (vor allem nicht bei der Anzahl an Maildomains die wir haben ...)
Gruß
@clSchak
OK danke, sind externe.
Aktuell verwende ich ein über den IIS selbstsigniertes Zertifikat.
Wäre zum überlegen ob ich hier nicht eine eigene CA dafür aufziehe.
Aktuell verwende ich ein über den IIS selbstsigniertes Zertifikat.
Wäre zum überlegen ob ich hier nicht eine eigene CA dafür aufziehe.
oder ein einfaches Zertifikat kaufen das auf den DNS Namen passt, das kostet nicht viel. Ggf. via Let's Encrypt.
Das Problem ist das ein externer DNS Anbieter KEINE lokalen DNS Namen in seine Zertifikate integriert.
Somit kann ich keines kaufen oder Lets Encrypt verwenden.
Somit kann ich keines kaufen oder Lets Encrypt verwenden.
Mach einfach Split DNS und dein Problem löst sich in nichts auf weil du keine internen URLs mehr brauchst.
Gruß Schnuffi
Gruß Schnuffi
Aber für den Terminal Server brauche ich für die Remote Apps den server fqdn im Cert, und dieser ändert sich leider auch nicht durch Split DNS
Zitat von @aschinnerl:
Aber für den Terminal Server brauche ich für die Remote Apps den server fqdn im Cert, und dieser ändert sich leider auch nicht durch Split DNS
Quatsch, wer hat dir den Mist erzählt?Aber für den Terminal Server brauche ich für die Remote Apps den server fqdn im Cert, und dieser ändert sich leider auch nicht durch Split DNS
Du machst dir eine neue Zone im DNS trägst dort für den Server einen neuen A-Record ein und sprichst den Server dann einfach mit dem neuen Namen an. Im Zertifikat braucht es dann nur einen fqdn der sowohl intern als auch externe genutzt wird, das ist der Sinn von SplitDNS.
Vergess also den Bullshit mit internen nicht öffentlichen Domains im Zertifikat das wurde aus gutem Grund abgeschafft und braucht man nun wirklich nicht mehr, da es genügend Alternativen gibt.
Wenn du das hier aufmerksam liest weist du warum und wie man sowas richtig macht:
http://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...
