Terminalserver über DynDNS mit Zertifikaten geht nicht
Hallo!
Bevor ich mit meiner Frage beginne, muss ich sagen, dass ich schon das ganze Forum und Google abgegrast habe. Keine Lösung gefunden.
Nun zu meinem Problem:
Hintergrund: Ich möchte über eine DynDNS-Adresse (WAN-IP) einen Terminalserver innerhalb eines Windows 2003 Netzwerkes
erreichen. Dazu wurde Port 3389 auf dem Router an den Terminalserver weitergeleitet. Funktioniert wunderbar, aber nicht sicher.
Jetzt habe ich auf dem Terminalserver die Zertifikatedienste installiert. Danach über die Adresse: localhost\certsrv
ein Zertifikat erstellt. Als Auswahl habe ich "Webserver" gewählt.
Das ausgestellte Zertifikat wurde installiert. Jetzt habe ich die Terminaldienstekonfiguiration auf dem Terminalserver aufgerufen,
und bei Verbindungen ->RDP Verbindungen -> die Eigenschaftsseite aufgerufen. Dort habe ich bei "Allgemein"
ganz unten das vorher erstellte Zertifikat ausgewählt, und bei Sicherheitsstufe "SSL" ausgewählt.
Nun kam der Test. Auf einem PC ausserhalb des Netzwerkes habe ich den RDP Client aufgerufen, (habe hier keinerlei
Zertifikate installiert, ich will nur testen, ob die Verbindung abgelehnt wird) und als Zieladresse die "DynDNS" ADresse eingetragen. Dann kam eine Meldung, dass die Identität des
Computers nicht überprüft werden kann, und ob ich die Verbindung trotzdem hertsellen will.
Wenn ich jetzt "Ja" sage, bekomme ich eine Verbindung.
Nun meine Fragen:
Wieso bekomme ich eine Verbindung. Ich dachte, durch die Auswahl eines Zertifikatzes auf der Terminalserverseite-RDP,
können nur Clients eine Verbindung aufnehmen, die bei sich das Zertifikat installiert haben !
Was mache ich falsch? Alle Beschreibungen im Internet über das Thema, erkären es so wie ich es gemacht habe.
Hier noch eine Übersicht was ich alles schon probiert habe:
1. Habe bei der Erstellung des Zertifikates auf der Terminalserverseite, statt die Vorlage "Webserver" auch noch andere probiert.
Kein Erfolg. Anscheinend ist so, dass nur Zertifikate die als Vorlage "Webserver" haben, auf der Eigenschaftsseite
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate" erscheinen.
2.Ich habe bei der Installation der Zertifizierungsstelle, als Option "Stammzertifizierungsstelle des Unternehmens",
als auch mal "Eigene Stammzertifizierungsstelle" ausgewählt. Wählt man das Zweite, hat man eine andere Vorlagenauswahl
wie z.B. Computerauthentifizierung oder IPSEC ... Wählt man aber z.B. "Computerauthentifizierung", wird das Zertifikat
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate" nicht angezeigt.
Wie schon erwähnt, nur über "Webserverzertifikatsvorlagen" erstellte Zertifikate, werden bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate"
angezeigt.
Hat jemand eine Idee wie ich mein Problem lösen kann. (Terminalserver über DynDNS mit Zertifikate absichern.
Wenn auf dem Client das Zertifikat nicht installiert ist, gibt es keine Verbindung).
Ich weiss, dass das was ich vorhabe nicht 100% sicher ist, wird aber so gewünscht.
Umgebung: Windows 2003 Server (DC) + 1 x Windows 2003 Terminalserver + 1 x Windows 2003 Server inkl. Exchange (2003)
Grüße
Stefan
Bevor ich mit meiner Frage beginne, muss ich sagen, dass ich schon das ganze Forum und Google abgegrast habe. Keine Lösung gefunden.
Nun zu meinem Problem:
Hintergrund: Ich möchte über eine DynDNS-Adresse (WAN-IP) einen Terminalserver innerhalb eines Windows 2003 Netzwerkes
erreichen. Dazu wurde Port 3389 auf dem Router an den Terminalserver weitergeleitet. Funktioniert wunderbar, aber nicht sicher.
Jetzt habe ich auf dem Terminalserver die Zertifikatedienste installiert. Danach über die Adresse: localhost\certsrv
ein Zertifikat erstellt. Als Auswahl habe ich "Webserver" gewählt.
Das ausgestellte Zertifikat wurde installiert. Jetzt habe ich die Terminaldienstekonfiguiration auf dem Terminalserver aufgerufen,
und bei Verbindungen ->RDP Verbindungen -> die Eigenschaftsseite aufgerufen. Dort habe ich bei "Allgemein"
ganz unten das vorher erstellte Zertifikat ausgewählt, und bei Sicherheitsstufe "SSL" ausgewählt.
Nun kam der Test. Auf einem PC ausserhalb des Netzwerkes habe ich den RDP Client aufgerufen, (habe hier keinerlei
Zertifikate installiert, ich will nur testen, ob die Verbindung abgelehnt wird) und als Zieladresse die "DynDNS" ADresse eingetragen. Dann kam eine Meldung, dass die Identität des
Computers nicht überprüft werden kann, und ob ich die Verbindung trotzdem hertsellen will.
Wenn ich jetzt "Ja" sage, bekomme ich eine Verbindung.
Nun meine Fragen:
Wieso bekomme ich eine Verbindung. Ich dachte, durch die Auswahl eines Zertifikatzes auf der Terminalserverseite-RDP,
können nur Clients eine Verbindung aufnehmen, die bei sich das Zertifikat installiert haben !
Was mache ich falsch? Alle Beschreibungen im Internet über das Thema, erkären es so wie ich es gemacht habe.
Hier noch eine Übersicht was ich alles schon probiert habe:
1. Habe bei der Erstellung des Zertifikates auf der Terminalserverseite, statt die Vorlage "Webserver" auch noch andere probiert.
Kein Erfolg. Anscheinend ist so, dass nur Zertifikate die als Vorlage "Webserver" haben, auf der Eigenschaftsseite
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate" erscheinen.
2.Ich habe bei der Installation der Zertifizierungsstelle, als Option "Stammzertifizierungsstelle des Unternehmens",
als auch mal "Eigene Stammzertifizierungsstelle" ausgewählt. Wählt man das Zweite, hat man eine andere Vorlagenauswahl
wie z.B. Computerauthentifizierung oder IPSEC ... Wählt man aber z.B. "Computerauthentifizierung", wird das Zertifikat
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate" nicht angezeigt.
Wie schon erwähnt, nur über "Webserverzertifikatsvorlagen" erstellte Zertifikate, werden bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate"
angezeigt.
Hat jemand eine Idee wie ich mein Problem lösen kann. (Terminalserver über DynDNS mit Zertifikate absichern.
Wenn auf dem Client das Zertifikat nicht installiert ist, gibt es keine Verbindung).
Ich weiss, dass das was ich vorhabe nicht 100% sicher ist, wird aber so gewünscht.
Umgebung: Windows 2003 Server (DC) + 1 x Windows 2003 Terminalserver + 1 x Windows 2003 Server inkl. Exchange (2003)
Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124627
Url: https://administrator.de/contentid/124627
Ausgedruckt am: 26.11.2024 um 01:11 Uhr