Zertifikatsfehler bei einigen Usern auf einigen Maschinen bei RDP

erikro
Goto Top
Moin,

dazu habe ich noch nicht einmal eine Idee:

DC Server 2012 R2, auf dem DC ist auch die CA installiert.
TS Server 2012 R2, beide sind auf dem aktuellen Stand.
Verteilung der Zertifikate erfolgt via GPO. Alles korrekt installiert. Es wurden auch alle notwendigen Zertifikate von den beteiligten Instanzen korrekt angefordert und im entsprechenden Speicher gespeichert. Das lief auch bis gestern ohne Probleme.
Clients sind Windows 10. Per Skript werden die User automatisch am TS angemeldet. Per GPO ist eingerichtet, dass die Credentials übergeben werden. Auch das hat problemlos funktioniert.

Gestern meldete der Kollege vor Ort, dass neu eingerichtete User einen Zertifikatsfehler seit Montag oder Freitag (genau konnte er mir das nicht sagen) bei der Anmeldung am TS bekommen. Hmmmm. Dann wurde die Meldung erweitert: Es betrifft auch Bestandsuser. Allerdings nicht alle. Gestern und heute wurde das noch einmal getestet. Es betrifft tatsächlich nicht alle User. Einige bekommen die Meldung. Andere nicht. Es kann nicht daran liegen, dass der Haken "Nicht mehr anzeigen" angeklickt wurde. Ich habe das nie gemacht und habe gestern für die Einheit sieben Notebooks eingerichtet. Bei keinem hatte ich beim Testen mit meinem eingeschränkten User ein Zertifikatsproblem. Bei den Bestandsusern, bei denen der Fehler auftritt, hat es bis Ende letzter Woche funktioniert.

Lasse ich mir das Zertifikat anzeigen, dann stimmt alles. Die CA stimmt, der Pfad stimmt, Gültigkeit stimmt. Alles gut. Dennoch meldet Windows "Unbekannter Herausgeber". Es sind immer die gleichen User, bei denen der Fehler auftritt. Geändert wurde nichts. Die Installation ist seit ca. anderthalb Jahren unverändert. Sie hat auch die ganze Zeit ohne Probleme funktioniert. In den Protokollen auf dem TS kann ich auch nichts entdecken.

Hat jemand eine Idee, woran das liegen könnte?

Liebe Grüße

Erik

Content-Key: 554098

Url: https://administrator.de/contentid/554098

Ausgedruckt am: 10.08.2022 um 07:08 Uhr

Mitglied: 143127
Lösung 143127 04.03.2020 aktualisiert um 11:58:01 Uhr
Goto Top
Also ich halte mich bei RDS und SSO immer an die Anleitung
https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...

Ich würde mal überprüfen ob folgende GPO auf den Clients tatsächlich zieht und ob der Hash des Zertifikats der dort eingetragen ist noch stimmt.
Computer Configuration\Administrative Templates\Windows Desktop Services\Remote Desktop Connection Client.

Edit the policy ‘Specify SHA1 thumbprints of certificates representing RDP publishers’ and add the thumbprint of the RD Web Access certificate to the list.

Mitglied: erikro
erikro 04.03.2020 um 13:01:01 Uhr
Goto Top
Moin,

Zitat von @143127:

Also ich halte mich bei RDS und SSO immer an die Anleitung
https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...

Die Anleitung kenne ich doch. face-wink Aber das hat geholfen. Tatsächlich waren die Zertifikate abgelaufen. Was mich allerdings wundert ist, dass nur ein paar User betroffen waren und nicht alle. Ich hätte da eher vermutet, dass dann alle den Fehler bekommen. Komisch. Außerdem wundert es mich, dass er sich zwar ein neues Zertifikat gezogen hat, es aber nicht für die RDP-Verbindung nutzte. Für nächstes Jahr steht jetzt eine Erinnerung im Kalender.

Danke Dir und liebe Grüße

Erik
Mitglied: 143127
143127 04.03.2020 aktualisiert um 13:28:54 Uhr
Goto Top
Tatsächlich waren die Zertifikate abgelaufen.
Wenn du schon dabei bist prüfe auch deine Lets Encrypt Zertifikate, da werden heute einige Millionen wegen Fehlers zurückgezogen... face-wink
https://community.letsencrypt.org/t/revoking-certain-certificates-on-mar ...
Mitglied: DerWoWusste
DerWoWusste 04.03.2020 aktualisiert um 13:49:45 Uhr
Goto Top
Was mich allerdings wundert ist, dass nur ein paar User betroffen waren und nicht alle. Ich hätte da eher vermutet, dass dann alle den Fehler bekommen.
Das lässt sich evtl. wie folgt erklären: Windows aktualisiert im Hintergrund die Remoteapps, welche signiert wurden. Auf den Rechnern, wo die Aktualisierung noch nicht stattgefunden hat, wird noch mit dem alten Zertifikat Signiertes gestartet. Hat der User jemals ausgewählt, dass bei diesem Zertifikat auch bei Ungültigkeit nicht weiter gewarnt werden soll, dann wird nach wie vor keine Meldung kommen.

Prüfe bei denen also einmal, wann das letzte Update der RemoteApps stattgefunden hat.
Mitglied: erikro
erikro 05.03.2020 um 08:45:01 Uhr
Goto Top
Moin,

Zitat von @DerWoWusste:

Was mich allerdings wundert ist, dass nur ein paar User betroffen waren und nicht alle. Ich hätte da eher vermutet, dass dann alle den Fehler bekommen.
Das lässt sich evtl. wie folgt erklären: Windows aktualisiert im Hintergrund die Remoteapps, welche signiert wurden.

Es sind ja keine Remote-Apps, sondern ein vollständiger RDP.

Auf den Rechnern, wo die Aktualisierung noch nicht stattgefunden hat, wird noch mit dem alten Zertifikat Signiertes gestartet.

OK, aber warum denn dann mit nagelneuen Notebooks? Das ist es ja, was mich vollkommen auf die falsche Fährte gelockt hat. Wenn es nur bei neuen Usern bzw. neuen Maschinen passiert wäre, dann hätte ich das ja eingesehen. Aber es ist ja auf Rechnern aus dem Bestand und bei einigen Bestandsusern passiert. Und serverbasierte Profile gibt es für die Basismaschinen nicht, sondern nur auf dem TS.

Hat der User jemals ausgewählt, dass bei diesem Zertifikat auch bei Ungültigkeit nicht weiter gewarnt werden soll, dann wird nach wie vor keine Meldung kommen.

Das schließe ich aus, da ich das mit Sicherheit nie gemacht habe. Das würde ja meinen Testuser versauen. face-wink Und die User, bei denen das aufgetreten ist, die rufen sofort an, wenn was nicht so ist, wie es sein soll. Die sind gut erzogen und machen keine Haken ist so gefährlichen Masken. Und das ist gut so. face-wink

Prüfe bei denen also einmal, wann das letzte Update der RemoteApps stattgefunden hat.

Wie gesagt: Keine RemoteApps, sondern kompletter RDP. Naja, nun geht es ja wieder.

Liebe Grüße

Erik
Mitglied: erikro
erikro 09.03.2020 um 12:45:13 Uhr
Goto Top
Moin,

für alle noch die endgültige Lösung. Was ich noch vergessen hatte bei der Zertifikatserneuerung war, die rdp-Datei neu zu signieren.


Sowas macht man einfach zu selten. Jetzt steht alles in der TODO-Liste für abgelaufene Zertifikate.

Liebe Grüße

Erik