mavnezz 10 Geschrieben 22. September 2010 Melden Teilen Geschrieben 22. September 2010 Servus, wir haben ein kleines Problem mit unserer neuen TS Farm. Als Domaincontroller stehen Windows 2008 R2 Standardserver zur Verfügung. Terminalserver sind Windows 2008 standard 32bit. Soweit kein Problem. Anmeldung usw funktioniert reibungslos. Sessionbroker läuft auch ohne Probleme. Single Sign On auch, aber nur wenn ich den Server mit z.B. "Server-1" anspreche, verwende ich ein DNS Alias (Serverfarm) funktioniert der SSO nicht, da ja kein Zertifikat für diesen Namen ausgestellt ist. Problem? Wie kann ich ein Zertifikat dafür erstellen? Entweder ich steh total auf dem Schlauch oder ich seh den Wald vor lauter Bäumen nicht ;) Grüße Julian Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 22. September 2010 Melden Teilen Geschrieben 22. September 2010 Ein Zertifikat bekommst Du von einer Zertifizierungsstelle. Theoretisch in zwei bis drei Tagen installiert und betriebsbereit. Praktisch gehöhrt dazu allerdings ein PKI-Konzept, das schon mal 6 bis 12 Monate Vorlauf benötigen kann. Alles Andere ist Frickelei und macht Dir früher oder später das Leben schwer. Eine einfache Lösung gibt es auch: 1. Die RDP-Verbindung anpassen - Benutzerdefinierte Einstellungen: authentication level:i:0 2. GPO Administrative Vorlagen/System/Delegierung von Anmeldeinformationen/Delegierung von Standardanmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen Hier die Terminal Server eintragen Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 22. September 2010 Melden Teilen Geschrieben 22. September 2010 @Julian Kurze Anfangsfrage: Wie groß ist deine Umgebung ? Viele Grüße Arnd Zitieren Link zu diesem Kommentar
mavnezz 10 Geschrieben 23. September 2010 Autor Melden Teilen Geschrieben 23. September 2010 Ein Zertifikat bekommst Du von einer Zertifizierungsstelle.Theoretisch in zwei bis drei Tagen installiert und betriebsbereit. Praktisch gehöhrt dazu allerdings ein PKI-Konzept, das schon mal 6 bis 12 Monate Vorlauf benötigen kann. Alles Andere ist Frickelei und macht Dir früher oder später das Leben schwer. Eine einfache Lösung gibt es auch: 1. Die RDP-Verbindung anpassen - Benutzerdefinierte Einstellungen: authentication level:i:0 2. GPO Administrative Vorlagen/System/Delegierung von Anmeldeinformationen/Delegierung von Standardanmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen Hier die Terminal Server eintragen Servus, also mit dem Zertifikat sollte doch auch mit den AD Zertifikatdiensten zu machen sein, denn die ganze Sache ist nur intern und von aussen nicht zu erreichen, sprich jedes Gerät ist eh Member der Domäne. Die Anmeldung mit Hilfe von Tertifikaten funktioniert ja bereits ohne Probleme über den direkten Servernamen, ist soweit auch alles über GPO eingerichtet, was aber noch aussteht ist die Anmeldung über den DNS Alias für die TS Farm. @WSUSPraxis: Endausbau sind 14 Standorte (VPN) mit ca. 150 Workstations. Grüße Zitieren Link zu diesem Kommentar
mavnezz 10 Geschrieben 23. September 2010 Autor Melden Teilen Geschrieben 23. September 2010 ALso im Grunde genommen dreht sich alles hier drum: Galileo Computing :: Windows Server 2008 R2 – 19.12 Remotedesktopdienste-Farmen mit Netzwerklastenausgleich und Remotedesktopdienste-Verbindungsbroker "Zertifikate anpassen" Auch im Umfeld der Remotedesktopdienste verfolgt Sie das schöne Thema Zertifikate. Auf Abbildung 19.111 ist folgendes typisches »Farmproblem« zu sehen: Auf die Computer in der gezeigten Umgebung wird automatisch ein Zertifikat ausgerollt, das auf den FQDN ausgestellt ist. Dieses Zertifikat wird den sich verbindenden Remotedesktopclients präsentiert. Da der Client nun ubinfRDSFarm aufruft, das Zertifikat aber auf den Namen der Maschine ausgestellt ist, gibt es eine Zertifikatwarnung. Was ist zu tun? Erzeugen Sie ein Zertifikat, das auf den Namen der Farm ausgestellt ist, und installieren Sie es jeweils in den Zertifikatspeicher des Computerkontos auf den Remotedesktop-Sitzungshosts. Rufen Sie dann das Werkzeug Konfiguration des Remotedesktop-Sitzungshosts auf. Wählen Sie den Eigenschaftendialog der Verbindung. Ganz unten auf der Registerkarte Allgemein findet sich die Schaltfläche Auswählen. Mit dieser starten Sie einen Dialog, in dem Sie das zu verwendende Zertifikat bestimmen können (Abbildung 19.112)." Wie erstelle ich denn ein Zertifikat auf einen anderen Namen? Grüße Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Das Farmzertifikat kannst Du über das MMC Zertifikate oder die Webregistrierung anfordern. Dabei musst Du eine benutzerdefinierte Anforderung erstellen. ---- Auch wenn das Ganze nur intern verwendet werden soll, solltest Du Brian Komars "PKI and Certificate Security" vor dem Aufsetzen wenigstens überflogen haben. Zitieren Link zu diesem Kommentar
mavnezz 10 Geschrieben 22. Oktober 2010 Autor Melden Teilen Geschrieben 22. Oktober 2010 Das Farmzertifikat kannst Du über das MMC Zertifikate oder die Webregistrierung anfordern.Dabei musst Du eine benutzerdefinierte Anforderung erstellen. ---- Auch wenn das Ganze nur intern verwendet werden soll, solltest Du Brian Komars "PKI and Certificate Security" vor dem Aufsetzen wenigstens überflogen haben. Servus, danke für die Antwort, soweit sollte das ja kein Problem sein, hab ein benutzerdefiniertes Zertifikat an einem der TS Server erstellt und den privaten Schlüssel als exportierbar gemacht. Leider funktioniert das Single Sign on dann nicht. Kannst jemand eine Step-by-Step Anleitung in kurzform hier reintippen, was ich genau in der Anforderung reinschreiben muss. Danach hab ich das Zertifikat, in eigene Zertifikat eund unter Stammzertifikate kopiert, und für die anderen Server exportiert und dort auch eingefügt. Danach in der Terminalserverkonfiguration das Zertifikat in der Verbindung ausgewählt. Als Sicherheitsstufe SSL gewählt. Der Signe Sign On unter dem reinen Servernamen funktioniert ohne Probleme, nur unter dem fiktiven DNS namen für die Farm nicht. In dem Fall "RDSFarm-2.firma.local" Grüße Zitieren Link zu diesem Kommentar
mavnezz 10 Geschrieben 27. Oktober 2010 Autor Melden Teilen Geschrieben 27. Oktober 2010 Keiner ne Idee? ;) Zitieren Link zu diesem Kommentar
mleix 10 Geschrieben 14. November 2012 Melden Teilen Geschrieben 14. November 2012 Servus, ich steh' auch genau vor diesem Problem. Meine Farm (6 TS W2k8 R2) mit einem vorgeschalteten Verbindungsbroker (auch W2k8 R2) funktioniert einwandfrei. Ich nutze ausschließlich RemoteApps. Jedoch erscheint beim Starten der RemoteApps über den Farmnamen immer eine Zertifkatswarnung. In dieser ist der Servername des Farmmitgliedes eingetragen, mit dem mich der Broker verbinden möchte. Wenn ich hier auf "Zertifikat anzeigen" klicke, steht bei "ausgestellt von" der Servername, mit dem ich mich verbinden möchte und nicht der der Zertifizierungsstelle. Wenn ich aber am Server in der Zertifikats MMC nachschaue, wurde sein Zertifikat von meiner Zertifizierungsstelle (W2k8 R2) ausgestellt. Frage 1: Warum steht beim Verbinden ausgestellt von Ihm selbst? Frage 2: Wie kann ich für meine TS Farm ein eigenes Zertifikat erstellen. Über die Zertifikats-MMC (verbunden mit dem DNS Namen der Farm) geht es nicht. Ich kann nicht über Aktionen ein Zertifikat anfordern. Über das Webfrontend klappt es auch nicht. Was mache ich falsch? Danke!!!! Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.