Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Terminalserver 2008 R2 RDWeb Aufruf ohne Zertifikatsabfrage möglich?

Mitglied: Confix

Confix (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 14:37 Uhr, 14898 Aufrufe, 3 Kommentare

Hintergrund:
Ein Kunde von uns besitzt 8 Terminalserver (2008 R2) diese werden mit unterschiedlicher Software bestückt und zu Farmverbunden zusammen geschnürrt.
Als Beispiel:
- Farm01 bestehend aus Trmsrv01-04 -> Applikationen -> Office 2010 und allgemein verwendete Programme
- Farm02 bestehend aus Trmsrv 05+06 -> andere wichtige Programme
- Trmsrv 07 -> Ausnahme-Programme (Verwendung von einigen wenigen)
- Trmsrv 08 -> "

Bei Kunden sind alle Workstation leider nicht in der Domäne, was sich vorerst leider auch nicht ändern wird.
Hinsichtlich würde die Verteilung über das Webinterface gehen.

Als Beispiel:
- User geht auf die Seite http://farm01.domain.local/rdweb
- Login mit AD Benutzer
- App wird ausgewählt und gestartet

Folgende Probleme tun sich auf:

Man öffnet das Webinterface der Farm z.B. der Farm01 dieser entscheidet über DNS-Round-Robin wo er hinzeigt z.B. in unserem Fall auf den Trmsrv03.
Dieser hat sein eigenes Zertifikat in sich. (Bild 0)
68059889cd1cdd4aab95490a42589282 - Klicke auf das Bild, um es zu vergrößern

Dort klickt man dann auf: "Laden dieser Website fortsetzen (nicht empfohlen)." (Bild 1)
1489393393fbfc9085571f12c69a8856 - Klicke auf das Bild, um es zu vergrößern

Dann wird man ungwollt weitergeleitet von HTTP auf eine HTTPS-Site (Bild 2)
und meldet sich mit dem Domain-User an
cf2f42030a8181812e98fe969d298f0c - Klicke auf das Bild, um es zu vergrößern

Dort öffnet man eines der freigegebenen Apps (Bild 3)
Könnte man evtl. das "Remotedesktop" Anzeigefeld ausblenden?
7997e87a70e016dee07649c831b4e404 - Klicke auf das Bild, um es zu vergrößern

Man erhält dann den Hinweis das der Herausgeber unbekannt ist. (Bild 4)
Die Ressourcen-Zuteilung scheint auch nicht angenommen zu werden sprich das die Mitarbeiter z.B. ihre Zwischenablage und lokale Drucker verwenden können.
Bzgl. des Hinweises kann man es über eine GPO so ändern, dass man Unbekannte Herausgeber erlaubt, diese Regel greift aber nicht, wenn der Client nicht selbst in der Domaine ist, wie es nun mal der Fall ist.
33804a6cc237eef01bcfd56f5dc3aa54 - Klicke auf das Bild, um es zu vergrößern

Dann wird man aufgefodert sich nochmals anzumelden (Bild 5)
Danach startet sich das App dann wie gewohnt.
1d5377129f57dc8d674aac9f9ea25161 - Klicke auf das Bild, um es zu vergrößern

Im idialsten Fall öffnet der Mitarbeiter die Website, logt sich ein, wählt sein Programm und kann mit arbeiten.
Das die Verteilung genauso gut über geschnürrte MSI-Pakete erfolgen kan ist uns auch bewusst.
Dennoch wäre die Verteilung relativ kompliziert ohne eine Domaine.
Gut besteht noch die Möglichkeit der Netzwerkfreigabe. Überall herum gehen und an mehr als 200 Clients ausführen.
Das eine Domäne in jeglicher Hinsicht von Vorteil wäre ist auch dem Kunden bekannt.
Er will es nur nicht umsetzen.

Hoffe ihr könnt helfen. Danke
Mitglied: lenny4me
24.11.2011 um 07:53 Uhr
Hallo,

du kannst mal schauen ob du auf dem TS bzw. Gatewayserver (wenn Ihr sowas habt) eine Zertifikat eingetragen ist, und dieses dann löschen. (Müsste irgendwo unter RemoteApp auswählbar sein. Wahlweise im IIS unter der Seite.

Falls das ned fruchtet müssen die Zertifikate in den Speicher der Clients (meine Meinung) ob Ihr das mit der Softwareverteilung macht (die gibts auch ohne AD beispielsweise OPSI von UIB. Ist sogar Freeware aber ein ziemliches Gefrickel).

Und trete deinem Kunden auf die Füße wegen der Domain... sowas ist ja grob fahrlässig. Wofür macht Microsoft sonst den Terz mit DCs, GPOs etc...


Grüße Lenny
Bitte warten ..
Mitglied: Confix
24.11.2011 um 14:02 Uhr
Hi Lenny,

also gemacht getan

Serverseitig:

Unter jedem Terminalserver unterm Server Manager -> Remotedesktopdienste -> RemoteApp-Manager -> Einstellungen dür digitale Signatur
auf Ändern gegangen und den Harken bei "Mit Digitalem Zertifikate anmelden" raus genommen.

Unter dem Webserver (IIS) -> Internetinformationsdineste (IIS) Manager unter Sites -> Default Web Site -> RDWeb -> SSL-Einstellungen
kein Harken bei "SSL erforderlich" und Clientzertifikate "Ignorieren"

Neue MMC erstellen -> Snap-In hinzufügen -> Zertifikate -> Computerkonto -> Lokalen Computer
Unter Zertifikate -> Eigene Zertifikate -> "Terminalserver Zertifikat" kopieren und in den Ordner
"Vertrauenswürdige Stammzertifizierungsstellen" im Unterordner "Zertifikate" einfügen
= Dieses Zertifikat ist gültig

Soweit so gut ...

Clientseitig:
Per Webinterface z.B. http://trmsrv01.domaine.local/RDWeb aufgerufen
Siehe gleiche Meldung wie Screens oben
Dann auf den Zertifikatsfehler im IE -> "Zertifikate anzeigen" -> Register "Allgemein" -> Zertifikat installieren ... -> weiter -> Alle Zertifikate in folgenden Speicher speichern -> Durchsuchen -> Vertrauenswürdige Stammzertifizierungsstellen -> OK -> weiter -> Fertigstellen

MMC erstellen nochmals überprüfen -> Zertifikate -> Vertrauenswürdige Stammzertifizierungsstellen ob sie auch dort vorhanden sind.

Browser neustarten Webinterface aufrufen -> sie da Zertifikat i.O.
Weiterleitung von HTTP auf HTTPS ohne Probleme wenn man den Server direkt anspricht.
Wenn man aber die Farm anspricht bekommt man immer noch die selbe Meldung gut da müsste man ein neues Zertifikat erstellen welches dann auf farm01.domain.local zugelassen ist. Muss ich dieses dann auf dem Server oder auf dem Client importieren?

Dann schaut es jetzt so aus:
User geht auf die Website -> meldet sich an -> öffnet App -> Bild 4 (siehe oben) dann Bild 5 und das App öffnet sich.

Wie bezwingen wir den Rest?

Gruß

Confix
Bitte warten ..
Mitglied: lenny4me
25.11.2011 um 13:51 Uhr
hallo ich glaube das cert muss man auf dem client installieren.

grüße
Bitte warten ..
Ähnliche Inhalte
Windows Server
RDWeb "Probleme"
Frage von DerWindowsFreak2Windows Server3 Kommentare

Hallo, erstmal entschuldigung das ich auf einen Samstag störe. Aber samstag is des Admins Montag :-) Es geht darum, ...

Windows Server
RDWeb Kennwortrichtlinie
gelöst Frage von teggerWindows Server12 Kommentare

Hallo, ich habe einen merkwürdigen Fall der Kennwortrichtlinien bei RDweb. Wenn ich über das Passwort ändern möchte, kommt bei ...

Windows Server
RDWeb Zugriff von Extern
Frage von GrueneSosseMitSpeckWindows Server6 Kommentare

Hi, ich hab gerade ein RD Web Deployment ausprobiert. Ziel des ganzen ist daß ein Webinterface zum Anmelden an ...

Windows Server
Server 2012 rdweb .rdp Parameter
gelöst Frage von bGnWindows Server1 Kommentar

Hallo zusammen, wenn ich über das RDWeb eine rdp Verknüpfung zu einem Remoteapp öffne ist immer der FQDN vom ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 1 TagInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 2 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 2 TagenSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell25 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Microsoft
Übertragung von MS Volumenlizenzen
Frage von SherlockineMicrosoft20 Kommentare

Ich bin Angestellte in einer kleinen 10-köpfigen IT-Firma, die Netzwerklösungen, Telefonielösungen und Ähnliches anbietet. Im Sommer hatten wir einen ...

Windows 10
Robocopy Quelle und Ziel vertauscht Daten gelöscht ?
Frage von eastclintwoodWindows 1020 Kommentare

Hallo, ich wollte Daten von einer extrernen Festplatte (USB) auf eine interne Platte per robocopy sichern. Leider habe ich ...