ghost4810
Goto Top

SSL oder TLS für Terminal Server erstellen

SSL für Terminal Server 2003 konfigurieren

163ec6dcbcc66cde3e4ac5851022d898-zeichnung1

In meiner Doku gehe ich von der Situation aus das, das AD schon vorhanden ist und ein Terminal Server hinzugefügt wird.
Weiteres möchte ich klar stellen das ich keine Haftung für sämtliche Angaben übernehme und diese Doku nur als Beispiel dienen soll. (Auch die Rechtschreibfehler bittte nicht beachten)

Inhalt:
- Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
- Terminal Lizenzserver auf DC01 Aktivieren
- Terminalserver und Tsweb auf TS01 installieren
- Tsweb umlegen
- Zertifikat für Terminalserver anfordernden
- Zertifikat in Terminal Dienste einbinden
- Remote Sitzung vom Client aufbauen
- Über Gruppenrichtlinen die max. Sicherheit zuweisen
- Fragen und Antworten

Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
1. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. IIS 6 (Unter Anwendungsserver -> Details…)
b. Terminalserverlizenzierung
c. Zertifikatsdienste

d3ce13f7ff4d5b089f9c6519438ec621-ts1
b2caf393518272d45e237f8090802186-neues_bild
ea1880198ebeefcbf66f608690ccb515-neues_bild_(1)

(mit „Ja“ bestätigen)
2. Da es nur eine Domain gibt habe ich hier die Gesamte Organisation ausgewählt

0c6048a4a429bc94ff947111ec1ab765-neues_bild_(2)
f828ee2b7e8dbf353d3eb29c86c1563a-neues_bild_(3)

3. Beim Zertifizierungsstellentyp sollte man die „Stammzertifizierungsstelle“ auswählen.
(Die Eigenständige Stammz. wäre die sicherste Lösung ist aber zu beachten das die Zertifikate dann nicht online beantragt werden können. Untergeordnete Zertifikatsstellen würden keinen Sinn ergeben.)
4. Bei Allgemeinen Namen Hostname des Lokalen Servers verwenden

f39219e6c75b0a720864e56af5685a38-neues_bild_(4)
bdaf51d58fb83f1adbd6096527d02975-neues_bild_(5)

5. Standard Einstellungen belassen und Weiter

7e684c9092db5c6887c9ba91ac9dc354-neues_bild_(6)


Terminal Lizenzserver auf DC01 Aktivieren

1. Unter Start-> Verwaltung die „Terminalserverlizenzierung“ öffnen und mit Rechten Mausklick auf den Server „Server Aktivierung“ starten, mit Weiter bestätigen.

8a9e8d86ce899d539e05ec214df4eddc-neues_bild_(7)

2. Auswählen ob man über Internet od. Telefon aktivieren möchte, ich hab mich für den Telefon Weg entschieden. (Für diejenigen die einige Lizenzen zu aktivieren haben empfehle ich die Internet Option)

c65a38b6d042e56d0eabc04d2ac6cec4-neues_bild_(8)
6a888bdfe844098301afab972541e755-neues_bild_(9)

3. Land auswählen, Hotline anrufen und Nummer eintragen. Das ganze nochmal pro Cals Lizenz

933d08f40c414e406d547c426a14ab11-neues_bild_(10)
9c989ffc6eef461605c62f29d0377e1c-neues_bild_(11)
b0dc14cb5d8f86fd2eed6b939c3f2c65-neues_bild_(12)


Terminalserver und Tsweb auf TS01 installieren

1. TS01 zur Domain hinzufügen (Rechter Mausklick „Arbeitsplatz“ -> Eigenschaften -> „Computername änderen“ und zur Domain hinzufügen)
2. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. Terminalserver
b. Remotedesktop-Webverbindung (Unter Anwendungsserver -> IIS -> WWW -> Details…)

acc255015f220bdaedf24f40c4b1906a-neues_bild_(13)
9f3eb22e9461f3b7de1ad29b73b7488c-neues_bild_(14)

3. Die nächsten Fenster mit „Weiter“ bestätigen

c70c123eb523b3fdad4bb7f01267183a-neues_bild_(15)
ee753fedc83b4a8d577080260da941eb-neues_bild_(16)

4. Lizenzserver am besten gleich eintragen ist aber nicht notwendig

da946f0ce63468933caee4fba8449c0a-neues_bild_(17)

5. Jetzt kommt es drauf an welche Lizenzen man erworben hat

9ca9490a35d69ad19f3837469f642aee-neues_bild_(18)
c7c10f0a5665da44040814cf31b73ed3-neues_bild_(19)


Tsweb umlegen

1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Aktion -> Neu -> Website….

23775ddf99aa1ae7896f9d5b3f61b1b6-neues_bild_(20)

3. Hier kann ein beliebiger Name vergeben werden und mit Weiter fortsetzen

fa2dca0839e6ff8906553a9cd394efce-neues_bild_(21)


4. Standard Einstellungen belassen

da6512269fedfe179175901fa7bcee78-neues_bild_(22)

5. Pfad für die Homepage auswählen (Standard Pfad von Windows)

caa178fef955fba5a058e6cd9ef00084-neues_bild_(23)
(wenn man einen anderen Pfad will muss man nur den Inhalt von Tsweb in den Neuen Ordner kopieren)

6. Nach dem erstellen der Website muss die Standard Website Beendet und die neue Website gestartet werden.

ecd592dac56b56ab0524a40f4b2385ab-neues_bild_(24)



Zertifikat für Terminalserver anfordernden

1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Rechter Mausklick auf die neue Website und unter Eigenschaften -> Verzeichnissicherheit -> Serverzertifikat wechseln

cf717530a8fde691dee4d66a8da01846-neues_bild_(25)
6daced83ce7000af335ea43c3242523f-neues_bild_(26)

3. Neues Zertifikat beantragen

3d456e8acc45a9a2f45b407d21939090-neues_bild_(27)


4. Anforderung sofort senden

e6735f67af2d8e553f3549b9a10ce4d6-neues_bild_(28)


5. Standard Einstellungen belassen

dfa90f4885bd03dc7f439f97539063a2-neues_bild_(29)

6. Firmenname und Abteilung eingeben (Abteilung ist nicht notwendig)

e6efa3e36be8f2984c3187c9c7311373-neues_bild_(30)

7. Achtung hier muss man auf passen, wird der Terminal Server Firmenintern verwendet muss man nur den Hostnamen eingeben. Wird aber auch von Extern zugegriffen muss man die volle Domain Bezeichnung eingeben (www.terminaltest.at) und auf dem internen DNS Server einen Alias Eintrag setzen.

24761758115561df8f7fe88dffa951c6-neues_bild_(31)

8. Hier braucht man eigentlich nur das Land anzugeben

ce3ce126d1392499f6c6c0e819734335-neues_bild_(32)

9. Standard Einstellungen belassen

7d7d2888279f8a4d43920d6e33ddda16-neues_bild_(33)
10b36d413ad2658f8056d06cd8f47ae6-neues_bild_(34)
9f6edd7475ca56b07d09407f750b0787-neues_bild_(35)

10. Nach dem Fertigstellen SSL für die Website unter Bearbeiten aktivieren

2e985656a1328d67c5c6f5d280f8b831-neues_bild_(36)


Zertifikat in Terminal Dienste einbinden

1. Terminal Dienste öffnen (Start -> Verwaltung -> Terminaldienstkonfiguration)

6410d7736b7b51cf1e0ad796e41b0bef-neues_bild_(37)

2. Rechter Mausklick auf RDP-Tcp und Eigenschaften

a8a0b4b06fe68409de5dc344ccb364d0-neues_bild_(38)

3. Bei Zertifikat auf Bearbeiten und Zertifikat auswählen.

6bd13252e53a6f2501914bdb278093a0-neues_bild_(39)

4. Sicherheitsstufe noch „SSL“ und Verschlüsselungsstufe „FIPS-konform“ und das wars


Remote Sitzung vom Client aufbauen

1. Unter Windows XP od. Vista Remote Desktop starten (min. RDP v5.2 und bei Computernamen, den Namen eintragen der bei der Zertifikats Angabe verwendet wurde)

94c09807c34a59ff486b0b70cefb58a1-neues_bild_(40)
e94e9f9d537893aa4eeca260f1d39127-neues_bild_(41)


Über Gruppenrichtlinen die max. Sicherheit zuweisen

1. Neues GPO auf die Domain erstellen und Zertifikate in VertrauenswürdigeStamm. importieren

e18cdff29e74051b70d3e696813500df-neues_bild_(42)
a77e8ec3f983d7f9dc3c39276c975114-neues_bild_(43)

2. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste „Verschlüsselungsstufe der Clientverbindung“ Aktivieren und Höchste Stufe einstellen

7bb302367610938186d8531092b6adcf-neues_bild_(44)

3. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste -> RPC Sicherheit Richtlinien „Sicherer Server“ aktivieren

e78dda522293225933befb5d6018182a-neues_bild_(45)

4. Unter Computer -> Windows Einstellungen -> Sicherheit Einstellungen -> Lokale Richtlinien -> Sicherheit Optionen „FIPS-konform …“ Aktivieren

940916e33993d8abe4fc585db7fa53a6-neues_bild_(46)



Fragen und Antworten

Warum 2 Server und warum nicht alles auf ein Server installieren?
Es gibt zwei relative einfache Antworten drauf:
- Microsoft empfiehlt Terminal Server auf einen eigenen Server zu betreiben da auf diesen nur die Anwendungen für die Benutzer laufen sollen und keine Server Dienste (AD, SQL, IIS,..)
- Weiteres wird AD und Terminal auf ein Server von Microsoft nicht Supportet

Was ist Tsweb und für was wird es Eigesetzt?
- Tsweb ist eine kleine HTML basierende Website die über eine ActiveX Komponente eine Remote Desktop Sitzung startet ohne das man RDP lokal installiert ist. (IE und Aktiviertes Addon ist Voraussetzung)

Wie passt Tsweb in dieses Szenario?
- Für die einfache und schnelle Anforderung eines Zertifikats ist eine Webseite notwendig und dies schien mir eine gute Wahl zu sein.

Warum Tsweb umlegen?
- Auf die Default Einstellungen wird gerne Attacken durchgeführt (siehe Google Suche „hacke tsweb“)

Wenn ich versuche Tsweb nach dieser Anleitung zuöffnen bekomme ich eine Fehlermeldung?

efa266a24482241fb29a15e0c42679c3-neues_bild_(47)
- Das liegt daran das AktiveX die Option "SSL" nicht unterstützt

Wer aber trotzdem Tsweb verwenden will muss nur in den Terminalverbindungsdiensten auf "Aushandeln" einstellen. (Achtung bei dieser Option kann sich jeder RDP Client verbinden)

a8e96f796ee90d01ada57fb8a9525c6b-neues_bild_(48)



Nach dem Verbindungsaufbau wird mir trotzdem nicht das Gelbe Schloss angezeigt??
Tja das kann drei Gründe haben:
- Falscher Hostname od. UPN (keine IP Adressen verwenden)
- man hat Aushandeln eingestellt und es wird ein alter RDP Client verwendet
(Cert. wird erst unter RDP v5.2 unterstützt)
- Zertifikatsfehler (Im RDP Client Cert Warnung einstellen, siehe Bilder unten)
Die Default Einstellung "Deaktiviert"

RDP 5.2

e15fc0081f2c349afb6badafe2004df8-neues_bild_(49)

RDP 6.1

31a3dc39802638d0405f4ebe15b68d18-neues_bild_(50)

Fehler Anzeigebei Falschen Cert od. Hostnamen:

c1a039ea4445ef984a53b30b1286cad7-neues_bild_(51)

Wenn ich Tsweb für das Internet freigebe komme ich zwar auf die Website bekomme aber keine Verbindung zum Server ??
- Port Weiterleitung auf der Firewall kontrollieren (HTTPS TCP 443 + RDP TCP 3389)
Bitte nicht Tsweb mit TS Gateway im Windows Server 2008 vergleichen, hier muss sehr wohl noch der RDP Port 3389 freigeben werden.


So das wars jetzt.
MFG Ghost4810

Content-ID: 115079

Url: https://administrator.de/contentid/115079

Ausgedruckt am: 05.11.2024 um 15:11 Uhr