0
SSL oder TLS für Terminal Server erstellen
SSL für Terminal Server 2003 konfigurieren
In meiner Doku gehe ich von der Situation aus das, das AD schon vorhanden ist und ein Terminal Server hinzugefügt wird.
Weiteres möchte ich klar stellen das ich keine Haftung für sämtliche Angaben übernehme und diese Doku nur als Beispiel dienen soll. (Auch die Rechtschreibfehler bittte nicht beachten)
Inhalt:
- Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
- Terminal Lizenzserver auf DC01 Aktivieren
- Terminalserver und Tsweb auf TS01 installieren
- Tsweb umlegen
- Zertifikat für Terminalserver anfordernden
- Zertifikat in Terminal Dienste einbinden
- Remote Sitzung vom Client aufbauen
- Über Gruppenrichtlinen die max. Sicherheit zuweisen
- Fragen und Antworten
Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
1. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. IIS 6 (Unter Anwendungsserver -> Details…)
b. Terminalserverlizenzierung
c. Zertifikatsdienste
(mit „Ja“ bestätigen)
2. Da es nur eine Domain gibt habe ich hier die Gesamte Organisation ausgewählt
3. Beim Zertifizierungsstellentyp sollte man die „Stammzertifizierungsstelle“ auswählen.
(Die Eigenständige Stammz. wäre die sicherste Lösung ist aber zu beachten das die Zertifikate dann nicht online beantragt werden können. Untergeordnete Zertifikatsstellen würden keinen Sinn ergeben.)
4. Bei Allgemeinen Namen Hostname des Lokalen Servers verwenden
5. Standard Einstellungen belassen und Weiter
Terminal Lizenzserver auf DC01 Aktivieren
1. Unter Start-> Verwaltung die „Terminalserverlizenzierung“ öffnen und mit Rechten Mausklick auf den Server „Server Aktivierung“ starten, mit Weiter bestätigen.
2. Auswählen ob man über Internet od. Telefon aktivieren möchte, ich hab mich für den Telefon Weg entschieden. (Für diejenigen die einige Lizenzen zu aktivieren haben empfehle ich die Internet Option)
3. Land auswählen, Hotline anrufen und Nummer eintragen. Das ganze nochmal pro Cals Lizenz
Terminalserver und Tsweb auf TS01 installieren
1. TS01 zur Domain hinzufügen (Rechter Mausklick „Arbeitsplatz“ -> Eigenschaften -> „Computername änderen“ und zur Domain hinzufügen)
2. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. Terminalserver
b. Remotedesktop-Webverbindung (Unter Anwendungsserver -> IIS -> WWW -> Details…)
3. Die nächsten Fenster mit „Weiter“ bestätigen
4. Lizenzserver am besten gleich eintragen ist aber nicht notwendig
5. Jetzt kommt es drauf an welche Lizenzen man erworben hat
Tsweb umlegen
1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Aktion -> Neu -> Website….
3. Hier kann ein beliebiger Name vergeben werden und mit Weiter fortsetzen
4. Standard Einstellungen belassen
5. Pfad für die Homepage auswählen (Standard Pfad von Windows)
(wenn man einen anderen Pfad will muss man nur den Inhalt von Tsweb in den Neuen Ordner kopieren)
6. Nach dem erstellen der Website muss die Standard Website Beendet und die neue Website gestartet werden.
Zertifikat für Terminalserver anfordernden
1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Rechter Mausklick auf die neue Website und unter Eigenschaften -> Verzeichnissicherheit -> Serverzertifikat wechseln
3. Neues Zertifikat beantragen
4. Anforderung sofort senden
5. Standard Einstellungen belassen
6. Firmenname und Abteilung eingeben (Abteilung ist nicht notwendig)
7. Achtung hier muss man auf passen, wird der Terminal Server Firmenintern verwendet muss man nur den Hostnamen eingeben. Wird aber auch von Extern zugegriffen muss man die volle Domain Bezeichnung eingeben (www.terminaltest.at) und auf dem internen DNS Server einen Alias Eintrag setzen.
8. Hier braucht man eigentlich nur das Land anzugeben
9. Standard Einstellungen belassen
10. Nach dem Fertigstellen SSL für die Website unter Bearbeiten aktivieren
Zertifikat in Terminal Dienste einbinden
1. Terminal Dienste öffnen (Start -> Verwaltung -> Terminaldienstkonfiguration)
2. Rechter Mausklick auf RDP-Tcp und Eigenschaften
3. Bei Zertifikat auf Bearbeiten und Zertifikat auswählen.
4. Sicherheitsstufe noch „SSL“ und Verschlüsselungsstufe „FIPS-konform“ und das wars
Remote Sitzung vom Client aufbauen
1. Unter Windows XP od. Vista Remote Desktop starten (min. RDP v5.2 und bei Computernamen, den Namen eintragen der bei der Zertifikats Angabe verwendet wurde)
Über Gruppenrichtlinen die max. Sicherheit zuweisen
1. Neues GPO auf die Domain erstellen und Zertifikate in VertrauenswürdigeStamm. importieren
2. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste „Verschlüsselungsstufe der Clientverbindung“ Aktivieren und Höchste Stufe einstellen
3. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste -> RPC Sicherheit Richtlinien „Sicherer Server“ aktivieren
4. Unter Computer -> Windows Einstellungen -> Sicherheit Einstellungen -> Lokale Richtlinien -> Sicherheit Optionen „FIPS-konform …“ Aktivieren
Fragen und Antworten
Warum 2 Server und warum nicht alles auf ein Server installieren?
Es gibt zwei relative einfache Antworten drauf:
- Microsoft empfiehlt Terminal Server auf einen eigenen Server zu betreiben da auf diesen nur die Anwendungen für die Benutzer laufen sollen und keine Server Dienste (AD, SQL, IIS,..)
- Weiteres wird AD und Terminal auf ein Server von Microsoft nicht Supportet
Was ist Tsweb und für was wird es Eigesetzt?
- Tsweb ist eine kleine HTML basierende Website die über eine ActiveX Komponente eine Remote Desktop Sitzung startet ohne das man RDP lokal installiert ist. (IE und Aktiviertes Addon ist Voraussetzung)
Wie passt Tsweb in dieses Szenario?
- Für die einfache und schnelle Anforderung eines Zertifikats ist eine Webseite notwendig und dies schien mir eine gute Wahl zu sein.
Warum Tsweb umlegen?
- Auf die Default Einstellungen wird gerne Attacken durchgeführt (siehe Google Suche „hacke tsweb“)
Wenn ich versuche Tsweb nach dieser Anleitung zuöffnen bekomme ich eine Fehlermeldung?
- Das liegt daran das AktiveX die Option "SSL" nicht unterstützt
Wer aber trotzdem Tsweb verwenden will muss nur in den Terminalverbindungsdiensten auf "Aushandeln" einstellen. (Achtung bei dieser Option kann sich jeder RDP Client verbinden)
Nach dem Verbindungsaufbau wird mir trotzdem nicht das Gelbe Schloss angezeigt??
Tja das kann drei Gründe haben:
- Falscher Hostname od. UPN (keine IP Adressen verwenden)
- man hat Aushandeln eingestellt und es wird ein alter RDP Client verwendet
(Cert. wird erst unter RDP v5.2 unterstützt)
- Zertifikatsfehler (Im RDP Client Cert Warnung einstellen, siehe Bilder unten)
Die Default Einstellung "Deaktiviert"
RDP 5.2
RDP 6.1
Fehler Anzeigebei Falschen Cert od. Hostnamen:
Wenn ich Tsweb für das Internet freigebe komme ich zwar auf die Website bekomme aber keine Verbindung zum Server ??
- Port Weiterleitung auf der Firewall kontrollieren (HTTPS TCP 443 + RDP TCP 3389)
Bitte nicht Tsweb mit TS Gateway im Windows Server 2008 vergleichen, hier muss sehr wohl noch der RDP Port 3389 freigeben werden.
So das wars jetzt.
MFG Ghost4810
In meiner Doku gehe ich von der Situation aus das, das AD schon vorhanden ist und ein Terminal Server hinzugefügt wird.
Weiteres möchte ich klar stellen das ich keine Haftung für sämtliche Angaben übernehme und diese Doku nur als Beispiel dienen soll. (Auch die Rechtschreibfehler bittte nicht beachten)
Inhalt:
- Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
- Terminal Lizenzserver auf DC01 Aktivieren
- Terminalserver und Tsweb auf TS01 installieren
- Tsweb umlegen
- Zertifikat für Terminalserver anfordernden
- Zertifikat in Terminal Dienste einbinden
- Remote Sitzung vom Client aufbauen
- Über Gruppenrichtlinen die max. Sicherheit zuweisen
- Fragen und Antworten
Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
1. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. IIS 6 (Unter Anwendungsserver -> Details…)
b. Terminalserverlizenzierung
c. Zertifikatsdienste
(mit „Ja“ bestätigen)
2. Da es nur eine Domain gibt habe ich hier die Gesamte Organisation ausgewählt
3. Beim Zertifizierungsstellentyp sollte man die „Stammzertifizierungsstelle“ auswählen.
(Die Eigenständige Stammz. wäre die sicherste Lösung ist aber zu beachten das die Zertifikate dann nicht online beantragt werden können. Untergeordnete Zertifikatsstellen würden keinen Sinn ergeben.)
4. Bei Allgemeinen Namen Hostname des Lokalen Servers verwenden
5. Standard Einstellungen belassen und Weiter
Terminal Lizenzserver auf DC01 Aktivieren
1. Unter Start-> Verwaltung die „Terminalserverlizenzierung“ öffnen und mit Rechten Mausklick auf den Server „Server Aktivierung“ starten, mit Weiter bestätigen.
2. Auswählen ob man über Internet od. Telefon aktivieren möchte, ich hab mich für den Telefon Weg entschieden. (Für diejenigen die einige Lizenzen zu aktivieren haben empfehle ich die Internet Option)
3. Land auswählen, Hotline anrufen und Nummer eintragen. Das ganze nochmal pro Cals Lizenz
Terminalserver und Tsweb auf TS01 installieren
1. TS01 zur Domain hinzufügen (Rechter Mausklick „Arbeitsplatz“ -> Eigenschaften -> „Computername änderen“ und zur Domain hinzufügen)
2. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. Terminalserver
b. Remotedesktop-Webverbindung (Unter Anwendungsserver -> IIS -> WWW -> Details…)
3. Die nächsten Fenster mit „Weiter“ bestätigen
4. Lizenzserver am besten gleich eintragen ist aber nicht notwendig
5. Jetzt kommt es drauf an welche Lizenzen man erworben hat
Tsweb umlegen
1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Aktion -> Neu -> Website….
3. Hier kann ein beliebiger Name vergeben werden und mit Weiter fortsetzen
4. Standard Einstellungen belassen
5. Pfad für die Homepage auswählen (Standard Pfad von Windows)
6. Nach dem erstellen der Website muss die Standard Website Beendet und die neue Website gestartet werden.
Zertifikat für Terminalserver anfordernden
1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Rechter Mausklick auf die neue Website und unter Eigenschaften -> Verzeichnissicherheit -> Serverzertifikat wechseln
3. Neues Zertifikat beantragen
4. Anforderung sofort senden
5. Standard Einstellungen belassen
6. Firmenname und Abteilung eingeben (Abteilung ist nicht notwendig)
7. Achtung hier muss man auf passen, wird der Terminal Server Firmenintern verwendet muss man nur den Hostnamen eingeben. Wird aber auch von Extern zugegriffen muss man die volle Domain Bezeichnung eingeben (www.terminaltest.at) und auf dem internen DNS Server einen Alias Eintrag setzen.
8. Hier braucht man eigentlich nur das Land anzugeben
9. Standard Einstellungen belassen
10. Nach dem Fertigstellen SSL für die Website unter Bearbeiten aktivieren
Zertifikat in Terminal Dienste einbinden
1. Terminal Dienste öffnen (Start -> Verwaltung -> Terminaldienstkonfiguration)
2. Rechter Mausklick auf RDP-Tcp und Eigenschaften
3. Bei Zertifikat auf Bearbeiten und Zertifikat auswählen.
4. Sicherheitsstufe noch „SSL“ und Verschlüsselungsstufe „FIPS-konform“ und das wars
Remote Sitzung vom Client aufbauen
1. Unter Windows XP od. Vista Remote Desktop starten (min. RDP v5.2 und bei Computernamen, den Namen eintragen der bei der Zertifikats Angabe verwendet wurde)
Über Gruppenrichtlinen die max. Sicherheit zuweisen
1. Neues GPO auf die Domain erstellen und Zertifikate in VertrauenswürdigeStamm. importieren
2. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste „Verschlüsselungsstufe der Clientverbindung“ Aktivieren und Höchste Stufe einstellen
3. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste -> RPC Sicherheit Richtlinien „Sicherer Server“ aktivieren
4. Unter Computer -> Windows Einstellungen -> Sicherheit Einstellungen -> Lokale Richtlinien -> Sicherheit Optionen „FIPS-konform …“ Aktivieren
Fragen und Antworten
Warum 2 Server und warum nicht alles auf ein Server installieren?
Es gibt zwei relative einfache Antworten drauf:
- Microsoft empfiehlt Terminal Server auf einen eigenen Server zu betreiben da auf diesen nur die Anwendungen für die Benutzer laufen sollen und keine Server Dienste (AD, SQL, IIS,..)
- Weiteres wird AD und Terminal auf ein Server von Microsoft nicht Supportet
Was ist Tsweb und für was wird es Eigesetzt?
- Tsweb ist eine kleine HTML basierende Website die über eine ActiveX Komponente eine Remote Desktop Sitzung startet ohne das man RDP lokal installiert ist. (IE und Aktiviertes Addon ist Voraussetzung)
Wie passt Tsweb in dieses Szenario?
- Für die einfache und schnelle Anforderung eines Zertifikats ist eine Webseite notwendig und dies schien mir eine gute Wahl zu sein.
Warum Tsweb umlegen?
- Auf die Default Einstellungen wird gerne Attacken durchgeführt (siehe Google Suche „hacke tsweb“)
Wenn ich versuche Tsweb nach dieser Anleitung zuöffnen bekomme ich eine Fehlermeldung?
Wer aber trotzdem Tsweb verwenden will muss nur in den Terminalverbindungsdiensten auf "Aushandeln" einstellen. (Achtung bei dieser Option kann sich jeder RDP Client verbinden)
Nach dem Verbindungsaufbau wird mir trotzdem nicht das Gelbe Schloss angezeigt??
Tja das kann drei Gründe haben:
- Falscher Hostname od. UPN (keine IP Adressen verwenden)
- man hat Aushandeln eingestellt und es wird ein alter RDP Client verwendet
(Cert. wird erst unter RDP v5.2 unterstützt)
- Zertifikatsfehler (Im RDP Client Cert Warnung einstellen, siehe Bilder unten)
Die Default Einstellung "Deaktiviert"
RDP 5.2
RDP 6.1
Fehler Anzeigebei Falschen Cert od. Hostnamen:
Wenn ich Tsweb für das Internet freigebe komme ich zwar auf die Website bekomme aber keine Verbindung zum Server ??
- Port Weiterleitung auf der Firewall kontrollieren (HTTPS TCP 443 + RDP TCP 3389)
Bitte nicht Tsweb mit TS Gateway im Windows Server 2008 vergleichen, hier muss sehr wohl noch der RDP Port 3389 freigeben werden.
So das wars jetzt.
MFG Ghost4810
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115079
Url: https://administrator.de/contentid/115079
Ausgedruckt am: 05.11.2024 um 15:11 Uhr
