Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Terminalserververbindung über RDP. Sicherung über Zertifikate und SSL. Anbindung über Dyndns und Inhouse aber wie?

Mitglied: berlinpower

Hintergrund:
Es existiert eine kleines Netzwerk mit einem Windows 2003 Server (Anmeldung und Dateiablage) und zusätzlich noch ein Windows 2003 Terminalserver. Über RDP von Microsoft arbeiten die Inhouse Benutzer, als auch Benutzer von außen über einen VPN Tunnel. (zwei Router sind mit einander verbunden; DynDns Dienst wird genutzt, und zusätzlich wird noch TheGreenBow als VPN Software eingesetzt).

Einige Mitarbeiter möchten nun von unterwegs auch auf den TS zugreifen und zwar ohne, dass ein VPN Tunnel aufgebaut werden muss (hat konfigurationstechnische Hintergründe). Ich habe den Port 3389 auf den TS umgebogen, und am RDP Client trage ich als Name die xxx.dyndns.org Adresse ein. Klappt alles wunderbar.

Da das alles nicht so sicher ist, habe ich auf dem TS den Zertifikatesever installiert, und über die lokale Adresse http://servername/certsrv/default.asp ein Zertifikat erstellt. Als Vorlage habe ich "Webserver" ausgewählt, und im Feld Namen, den Namen des TS eingetragen.

Dieses Zertifikat habe ich unter Start - Programme - Verwaltung - Terminaldienstkonfiguration - Verbindungen - RDP-TCP – Zertifikate ausgewählt, und zusätzlich noch SSL aktiviert.

Danach habe ich über http://servername/certsrv/default.asp das Zertifikat exportiert
und bei den Clients importiert.

Nun zu meinem Problem:
Problem ist, dass eine Gruppe von Benutzern über DYNDNS eine Verbindung aufnehmen,
eine andere Benutzergruppe einen VPN Tunnel hat (könnte man abstellen will ich aber nicht unbedingt), und die dritte Benutzergruppe sich Inhouse befindet (Intranet).

Immer wenn ich ein Zertifikat anlege, muss der eingegebene Name dem Servernamen entsprechen (habe ich so gelesen). Wenn ich nun den Namen des Servers angebe, z.B. WTS, dieses Zertifikat in der Terminaldienstekonfiguration auswähle, können sich nur die Intranet Benutzer und die die einen VPN Tunnel benutzen authentifizieren.
Hintergrund: Beim RDP Client muss man einen Namen oder eine IP-Adresse eingeben. Dieser Namen muss dem Namen des ausgestellten Zertifikates entsprechen (Servernamen des Terminalservers)

Wenn sich nun die Benutzer über DYNDNS einwählen, ist der eingetragene Name xxx.dyndns.org. Dies entspricht aber nicht dem Namen der im Zertifikat hinterlegt ist.
Lege ich ein Zertifikat mit dem Namen xxx.dyndns.org an, funktioniert alles wunderbar.
Nur bei VPN und Intranet Benutzern klappt es nun wieder nicht mehr.

Bis jetzt konnte ich nur Serverauthentifizierungszertifikate anlegen, die auf dem Terminalserver unter Start - Programme - Verwaltung - Terminaldienstkonfiguration - Verbindungen - RDP-Tcp – Zertifikate zu sehen waren.

Ideal wäre ein Zertifikat dass:
a) In der Terminaldienstkonfiguration auswählbar ist
b) Dass unabhängig vom Servernamen funktioniert (egal was ich beim RDP Client eintrage)

Das muss es doch geben. Habe leider keinerlei Zertifikatserfahrung bzw. kenne mich mit den ganzen Einstellungen nicht so aus.

Vielleicht weiß jemand von Euch was ich tun muss. Über detaillierte Hilfe wäre ich sehr dankbar.

Grüße aus Berlin
Stefan

Content-Key: 67465

Url: https://administrator.de/contentid/67465

Ausgedruckt am: 06.12.2021 um 06:12 Uhr

Mitglied: berlinpower
berlinpower 07.09.2007 um 09:42:35 Uhr
Goto Top
Ich habe selber eine Lösung gefunden.

Falls es jemand interessiert:
1. Ich stelle ein Zertifikat mit dem Namen: xxx.dyndns.org aus.
2. Das heisst, bei allen Clients die von aussen auf den TS zugreifen wollen funktioniert das wunderbar.
3. Bei allen Clients die den TS über den richtigen Namen ansprechen, erstelle ich lokal einen Eintrag in der hosts Datei und zwar so, dass die IP Adresse des TS mit dem Name xxx.dyndns.org verknüpft ist.

Ich weiss gar nicht wieso ich nicht schneller darauf gekommen bin!

Grüße aus Berlin
Stefan
Mitglied: Wysmaster
Wysmaster 16.07.2009 um 18:56:44 Uhr
Goto Top
Hallo berlinpower,

ich habe mal eine Frage zu deiner Lösung:

Die hosts-Datei legt ja quasi den DNS Eintrag fest, d.h. wenn ich die interne Adresse des Servers angebe, werde ich dann nicht nur nach außen umgeleitet?

Viele Grüße,
Wysmaster
Heiß diskutierte Beiträge
question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 1 TagFrageE-Mail14 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Einstreuung - Fremdspannung im Netzwerkkabel kompensieren2U1C1D3Vor 1 TagFrageNetzwerkgrundlagen14 Kommentare

Hallo zusammen! Ich muss bei einer Netzwerkinstallation zu einem Client ein Spezialkabel mit einbinden. Die vollständige Installation ist CAT6, 1000BaseT, das Spezialkabel ist aber nur ...

general
Downloadportal gesuchtdeethreeVor 23 StundenAllgemeinCloud-Dienste4 Kommentare

Guten Morgen, hat jemand eine kostenfreie / kostenfplichtige Empfehlung für diese Anforderung: Im Zuge von Corona müssen wir pro Kunde zwei Dokumente bereitstellen und dieser ...

question
Namen für Patchfeld Jacks als Kupplung gesucht gelöst StefanKittelVor 19 StundenFrageNetzwerke5 Kommentare

Hallo, bei einem Kunden kommt man bei einem 19" NetzwerkSchrank weder über die Rückseite noch üer die Seiten an die Rückseite der Geräte. Nun suche ...

general
Ticket System Open Source SolutionmannixdVor 1 TagAllgemeinWebentwicklung4 Kommentare

Hallo zusammen, ich stehe vor folgendem Problem, bzw. hätte gern ein paar Ratschläge. Unser Kunde möchte ein Ticket-System (Help-Desk) Solution. Das ganze möchte der Kunde ...

question
WLAN Lösung mit 2 APs gesuchtEDVMan27Vor 11 StundenFrageLAN, WAN, Wireless9 Kommentare

Hallo, sorry, wenn das schon wieder Jemand fragt Welche WLAN Lösungen mit Roaming gibt es? Der Router soll eine PFSense werden. Switche folgen dem WLAN-Konzept. ...

general
Empfehlung Voip ProviderdeethreeVor 23 StundenAllgemeinInformationsdienste7 Kommentare

Guten Morgen, hat jemand eine Empfehlung für einen guten Voip Anbieter ? Ich möchte meinen bestehenden DSL Vertrag bei Vodafone lösen und ggf. zu Pyur ...

question
Docker: php: entrypoint not foundUmschuelerThsVor 21 StundenFrageApache Server9 Kommentare

Moin zusammen, ich bastle gerade an einem Custom Image für Processwire und habe das Problem, wenn ich meinen Container Builde, dass der Web Container mit ...