Zertifikatsfehler bei einigen Usern auf einigen Maschinen bei RDP

Moin,

dazu habe ich noch nicht einmal eine Idee:

DC Server 2012 R2, auf dem DC ist auch die CA installiert.
TS Server 2012 R2, beide sind auf dem aktuellen Stand.
Verteilung der Zertifikate erfolgt via GPO. Alles korrekt installiert. Es wurden auch alle notwendigen Zertifikate von den beteiligten Instanzen korrekt angefordert und im entsprechenden Speicher gespeichert. Das lief auch bis gestern ohne Probleme.
Clients sind Windows 10. Per Skript werden die User automatisch am TS angemeldet. Per GPO ist eingerichtet, dass die Credentials übergeben werden. Auch das hat problemlos funktioniert.

Gestern meldete der Kollege vor Ort, dass neu eingerichtete User einen Zertifikatsfehler seit Montag oder Freitag (genau konnte er mir das nicht sagen) bei der Anmeldung am TS bekommen. Hmmmm. Dann wurde die Meldung erweitert: Es betrifft auch Bestandsuser. Allerdings nicht alle. Gestern und heute wurde das noch einmal getestet. Es betrifft tatsächlich nicht alle User. Einige bekommen die Meldung. Andere nicht. Es kann nicht daran liegen, dass der Haken "Nicht mehr anzeigen" angeklickt wurde. Ich habe das nie gemacht und habe gestern für die Einheit sieben Notebooks eingerichtet. Bei keinem hatte ich beim Testen mit meinem eingeschränkten User ein Zertifikatsproblem. Bei den Bestandsusern, bei denen der Fehler auftritt, hat es bis Ende letzter Woche funktioniert.

Lasse ich mir das Zertifikat anzeigen, dann stimmt alles. Die CA stimmt, der Pfad stimmt, Gültigkeit stimmt. Alles gut. Dennoch meldet Windows "Unbekannter Herausgeber". Es sind immer die gleichen User, bei denen der Fehler auftritt. Geändert wurde nichts. Die Installation ist seit ca. anderthalb Jahren unverändert. Sie hat auch die ganze Zeit ohne Probleme funktioniert. In den Protokollen auf dem TS kann ich auch nichts entdecken.

Hat jemand eine Idee, woran das liegen könnte?

Liebe Grüße

Erik

Content-Key: 554098

Url: https://administrator.de/contentid/554098

Ausgedruckt am: 23.09.2021 um 12:09 Uhr

Mitglied: 143127
Lösung 143127 04.03.2020 aktualisiert um 11:58:01 Uhr
Goto Top
Also ich halte mich bei RDS und SSO immer an die Anleitung
https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...

Ich würde mal überprüfen ob folgende GPO auf den Clients tatsächlich zieht und ob der Hash des Zertifikats der dort eingetragen ist noch stimmt.
Computer Configuration\Administrative Templates\Windows Desktop Services\Remote Desktop Connection Client.

Edit the policy ‘Specify SHA1 thumbprints of certificates representing RDP publishers’ and add the thumbprint of the RD Web Access certificate to the list.

Mitglied: erikro
erikro 04.03.2020 um 13:01:01 Uhr
Goto Top
Moin,

Zitat von :

Also ich halte mich bei RDS und SSO immer an die Anleitung
https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...

Die Anleitung kenne ich doch. ;-) face-wink Aber das hat geholfen. Tatsächlich waren die Zertifikate abgelaufen. Was mich allerdings wundert ist, dass nur ein paar User betroffen waren und nicht alle. Ich hätte da eher vermutet, dass dann alle den Fehler bekommen. Komisch. Außerdem wundert es mich, dass er sich zwar ein neues Zertifikat gezogen hat, es aber nicht für die RDP-Verbindung nutzte. Für nächstes Jahr steht jetzt eine Erinnerung im Kalender.

Danke Dir und liebe Grüße

Erik
Mitglied: 143127
143127 04.03.2020 aktualisiert um 13:28:54 Uhr
Goto Top
Tatsächlich waren die Zertifikate abgelaufen.
Wenn du schon dabei bist prüfe auch deine Lets Encrypt Zertifikate, da werden heute einige Millionen wegen Fehlers zurückgezogen... ;-) face-wink
https://community.letsencrypt.org/t/revoking-certain-certificates-on-mar ...
Mitglied: DerWoWusste
DerWoWusste 04.03.2020 aktualisiert um 13:49:45 Uhr
Goto Top
Was mich allerdings wundert ist, dass nur ein paar User betroffen waren und nicht alle. Ich hätte da eher vermutet, dass dann alle den Fehler bekommen.
Das lässt sich evtl. wie folgt erklären: Windows aktualisiert im Hintergrund die Remoteapps, welche signiert wurden. Auf den Rechnern, wo die Aktualisierung noch nicht stattgefunden hat, wird noch mit dem alten Zertifikat Signiertes gestartet. Hat der User jemals ausgewählt, dass bei diesem Zertifikat auch bei Ungültigkeit nicht weiter gewarnt werden soll, dann wird nach wie vor keine Meldung kommen.

Prüfe bei denen also einmal, wann das letzte Update der RemoteApps stattgefunden hat.
Mitglied: erikro
erikro 05.03.2020 um 08:45:01 Uhr
Goto Top
Moin,

Zitat von @DerWoWusste:

Was mich allerdings wundert ist, dass nur ein paar User betroffen waren und nicht alle. Ich hätte da eher vermutet, dass dann alle den Fehler bekommen.
Das lässt sich evtl. wie folgt erklären: Windows aktualisiert im Hintergrund die Remoteapps, welche signiert wurden.

Es sind ja keine Remote-Apps, sondern ein vollständiger RDP.

Auf den Rechnern, wo die Aktualisierung noch nicht stattgefunden hat, wird noch mit dem alten Zertifikat Signiertes gestartet.

OK, aber warum denn dann mit nagelneuen Notebooks? Das ist es ja, was mich vollkommen auf die falsche Fährte gelockt hat. Wenn es nur bei neuen Usern bzw. neuen Maschinen passiert wäre, dann hätte ich das ja eingesehen. Aber es ist ja auf Rechnern aus dem Bestand und bei einigen Bestandsusern passiert. Und serverbasierte Profile gibt es für die Basismaschinen nicht, sondern nur auf dem TS.

Hat der User jemals ausgewählt, dass bei diesem Zertifikat auch bei Ungültigkeit nicht weiter gewarnt werden soll, dann wird nach wie vor keine Meldung kommen.

Das schließe ich aus, da ich das mit Sicherheit nie gemacht habe. Das würde ja meinen Testuser versauen. ;-) face-wink Und die User, bei denen das aufgetreten ist, die rufen sofort an, wenn was nicht so ist, wie es sein soll. Die sind gut erzogen und machen keine Haken ist so gefährlichen Masken. Und das ist gut so. ;-) face-wink

Prüfe bei denen also einmal, wann das letzte Update der RemoteApps stattgefunden hat.

Wie gesagt: Keine RemoteApps, sondern kompletter RDP. Naja, nun geht es ja wieder.

Liebe Grüße

Erik
Mitglied: erikro
erikro 09.03.2020 um 12:45:13 Uhr
Goto Top
Moin,

für alle noch die endgültige Lösung. Was ich noch vergessen hatte bei der Zertifikatserneuerung war, die rdp-Datei neu zu signieren.


Sowas macht man einfach zu selten. Jetzt steht alles in der TODO-Liste für abgelaufene Zertifikate.

Liebe Grüße

Erik
Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 18 StundenFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Einarbeitung VPN und entsprechende RouterFrankNVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, ich bin am Einarbeiten in das Thema VPN-Router. Ich suche ein Gerät, das es ermöglicht, ca. 50 VPN-Tunnel zu verwalten für eine Zentrale ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 12 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...