Win2012 RDS Zertifikate für Remote Apps
Hallo zusammen,
jetzt wo meine neue RDS-Farm endlich rund läuft soll ich sie noch per Internet erreichbar machen, weil es in der Firma den einen oder anderen Remoteuser gibt. Kurz nochmal zur Konfiguration:
- SRV1: RD-SH, RD-LIC, RD-WEB, RD-CB
- SRV2: nur RD-SH
Ich denke das sinnvollste wäre schon mal, die ganzen Mühlen dann über ein RD-GW laufen zu lassen. Das wird zwar Firewalltechnisch wieder ne Herausforderung, aber das ist noch ein anderes Thema. Wichtiger ist im Moment die Frage, wie man die Verbindungen mit "echten" Zertifikaten versehen muss, damit es auch von Nicht-Domain Clients von extern keine Fehlermeldungen mehr gibt (die ein über die AD-CA ausgestelltes Zertifikat also nicht verifizieren können. Zertifikatimport soll nicht manuell auf den Clients erfolgen)?
Genutzt werden sollen ausschließlich die RD-Apps, also weder über RD-Web, noch RDP-Client eine Verbindung aufgebaut werden, sprich nur die Anbindung über die Systemsteuerung seit Windows 7.
Aktuell läuft es intern noch ohne RD-GW, mit interner Round-Robin Config und einem auf die Farm ausgestellten AD-CA Zertifikat. Bringt leider im jetzigen Zustand schon immer eine Fehlermeldung, wenn der CB auf den RD-SH Server umleitet. Die Einrichtung in der Systemsteuerung klappt, dann kommt aber nach dem ersten "wollen Sie eine Remoteverbindung aufbauen" (blau, ohne Zertfehler) ein zweiter Popup, dass der Servername nicht zum Zertifikat passt (gelbe Meldung wie beim Verwenden des RDP-Clients).
Im Farm-Zertifikat sind (noch) keine Subject Alternative Names eingetragen, da das beim Erstellen des Zertifikats irgendwie nicht so recht wollte, bzw. es nicht akzeptiert wurde. Ich vermute aber mal, dass der Fehler daher rührt. Ohne "Farmnamen" klappte die Lastverteilung irgendwie nicht richtig, wenn der RD-SH vom RD-CB selbst auf "keine neuen Anmeldungen steht".
Meine Frage bezieht jetzt mehr auf den "Endzustand" der Umgebung. Die Rollen werden auf 2-3 Server (RD-GW evtl. auf anderen Server, der aktuell schon per Web erreichbar ist) verteilt laufen. DNS-Record sollte kein Thema sein. Wie viele "saubere" Zertifikate und in welcher Ausgestaltung benötige ich jetzt dafür?
Ich hätte gesagt auf jeden Fall 1x für das RD-GW, weil das ja extern in Verwendung ist. Wie sieht es danach mit dem RD-CB der Farm aus und im Anschluss mit den einzelnen Farmservern? Da die Apps über den Webserverteil laufen käme da u.U. auch nochmal eins dazu... schlimmstenfalls also irgendwas zwischen 1 und 5 Zertifikaten...
Wäre es da u.U. sinnvoller, gleich ein *.domain.com Zertifikat zu ordern und auf allen Servern/-rollen zu installieren? Muss man eigentlich bei der Beantragung auch schon irgendwelche "Zwecke" wie https oder rdp mit angeben? (Hab noch nie ein externes Zertifikat beantragt wie man unschwer merkt :D)
Danke Euch im voraus!
jetzt wo meine neue RDS-Farm endlich rund läuft soll ich sie noch per Internet erreichbar machen, weil es in der Firma den einen oder anderen Remoteuser gibt. Kurz nochmal zur Konfiguration:
- SRV1: RD-SH, RD-LIC, RD-WEB, RD-CB
- SRV2: nur RD-SH
Ich denke das sinnvollste wäre schon mal, die ganzen Mühlen dann über ein RD-GW laufen zu lassen. Das wird zwar Firewalltechnisch wieder ne Herausforderung, aber das ist noch ein anderes Thema. Wichtiger ist im Moment die Frage, wie man die Verbindungen mit "echten" Zertifikaten versehen muss, damit es auch von Nicht-Domain Clients von extern keine Fehlermeldungen mehr gibt (die ein über die AD-CA ausgestelltes Zertifikat also nicht verifizieren können. Zertifikatimport soll nicht manuell auf den Clients erfolgen)?
Genutzt werden sollen ausschließlich die RD-Apps, also weder über RD-Web, noch RDP-Client eine Verbindung aufgebaut werden, sprich nur die Anbindung über die Systemsteuerung seit Windows 7.
Aktuell läuft es intern noch ohne RD-GW, mit interner Round-Robin Config und einem auf die Farm ausgestellten AD-CA Zertifikat. Bringt leider im jetzigen Zustand schon immer eine Fehlermeldung, wenn der CB auf den RD-SH Server umleitet. Die Einrichtung in der Systemsteuerung klappt, dann kommt aber nach dem ersten "wollen Sie eine Remoteverbindung aufbauen" (blau, ohne Zertfehler) ein zweiter Popup, dass der Servername nicht zum Zertifikat passt (gelbe Meldung wie beim Verwenden des RDP-Clients).
Im Farm-Zertifikat sind (noch) keine Subject Alternative Names eingetragen, da das beim Erstellen des Zertifikats irgendwie nicht so recht wollte, bzw. es nicht akzeptiert wurde. Ich vermute aber mal, dass der Fehler daher rührt. Ohne "Farmnamen" klappte die Lastverteilung irgendwie nicht richtig, wenn der RD-SH vom RD-CB selbst auf "keine neuen Anmeldungen steht".
Meine Frage bezieht jetzt mehr auf den "Endzustand" der Umgebung. Die Rollen werden auf 2-3 Server (RD-GW evtl. auf anderen Server, der aktuell schon per Web erreichbar ist) verteilt laufen. DNS-Record sollte kein Thema sein. Wie viele "saubere" Zertifikate und in welcher Ausgestaltung benötige ich jetzt dafür?
Ich hätte gesagt auf jeden Fall 1x für das RD-GW, weil das ja extern in Verwendung ist. Wie sieht es danach mit dem RD-CB der Farm aus und im Anschluss mit den einzelnen Farmservern? Da die Apps über den Webserverteil laufen käme da u.U. auch nochmal eins dazu... schlimmstenfalls also irgendwas zwischen 1 und 5 Zertifikaten...
Wäre es da u.U. sinnvoller, gleich ein *.domain.com Zertifikat zu ordern und auf allen Servern/-rollen zu installieren? Muss man eigentlich bei der Beantragung auch schon irgendwelche "Zwecke" wie https oder rdp mit angeben? (Hab noch nie ein externes Zertifikat beantragt wie man unschwer merkt :D)
Danke Euch im voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265731
Url: https://administrator.de/contentid/265731
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
1 Kommentar
Moin kerobra,
diese Seite hält Antworten auf alle deine Fragen bereit:
https://technet.microsoft.com/en-us/library/dn781533.aspx / Abschnitt: "Certificate contents"
Es reicht also ein einzelnes Zertifikat mit allen entsprechend benutzten FQDNs im SAN oder ein Wildcard-Cert das man auf allen beteiligten Maschinen installiert.
Gruß jodel32
diese Seite hält Antworten auf alle deine Fragen bereit:
https://technet.microsoft.com/en-us/library/dn781533.aspx / Abschnitt: "Certificate contents"
Es reicht also ein einzelnes Zertifikat mit allen entsprechend benutzten FQDNs im SAN oder ein Wildcard-Cert das man auf allen beteiligten Maschinen installiert.
Gruß jodel32