RemoteApp starten ohne Anmeldung und Zertifikatfehler

[golf16v 10]

Hallo,

 

ich hoffe Ihr könnt mir weiterhelfen, denn ich verzweifle langsam.

 

Ich habe ein Problem mit dem Bereitstellen von RemoteAPPs auf meinem Windows Server 2008 R2 Datacenter.

 

Habe dort die Remote Desktop Services installiert und möchte darüber verschiedene Programme im Netzwerk bereitstellen.

 

Der Server dient als Dateiablage und zum bereitstellen der Tools. Er hängt nicht in einer Domain und stellt ein eigenes Netzwerk dar.

 

 

Wenn ich jetzt ein Programm über RemoteAPP bereitstelle, muss ich mich jedesmal anmelden und den Zertifitkatsfehler bestätigen.

 

Ist es möglich die Anmeldung zu automatisieren und ohne den Zertifikatsfehler ein Programm zu öffnen?

 

 

[Dr.Melzer 191]

Warum ist der Server nicht in der Domäne?

[golf16v 10]

Weil es für diesen Bereich wo er betrieben wird derzeit keine Domain gibt.

 

Es kann aber auch vorkommen dass er irgendwann in eine Domain gehängt wird. Ändert sich da dann viel?

[Daniel -MSFT- 129]

Der Server signiert die App mit einem selbsterstellten Zertifikat. Das ist natürlich bei Dir nicht vertrauenswürdig. Eine Möglichkeit ist, dem Server zum Signieren ein Zertifikat zu geben, dem Deine Clients vertrauen (von einer öffentlichen CA oder von Deiner Unternehmens-CA) oder das Zertifikat, das der Server benutzt, per GPO als vertrauenswürdig in Deinem Netzwerk erklären: Informationen zum digitalen Signieren von RemoteApp-Programmen

[Dunkelmann 96]

Moin,

 

die Anmeldung per Single Sign On funktioniert mMn nur, wenn sich die Server in einer Domäne befinden oder es eine Vertrauensstellung gibt.

 

Das Thema mit der Zertifikatsmeldung kann ggf. mit einem Zertifikat aus der Unternehmens-PKI gelöst werden - sofern vorhanden.

Zusätzlich muss der Fingerabdruck des Zertifikats per GPO an die Clients verteilt werden.

> Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client
> SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen

[AMiGA 0]

Ich hole das Thema nochmal hervor, hat sich mit Server 2012 zufällig etwas grundlegend verändert?

 

Ich habe durch die Unternehmens-PKI ein Zertifikat erzeugt, was ich auf dem RDP-Connection Broker in den Bereitstellungseigenschaften importiert und dadurch in den Zertifikatspeicher des Brokers übernommen habe. Für die Rollen wird vertrauenswürdig und Status OK angezeigt. Beim Zugriff auf eine RemoteApp bekomme ich seitdem keinen Fehler mehr, sondern "nur" noch eine Warnung.

 

Im Fingerabdruck des Zertifikats habe ich alle Leerzeichen entfernt und diesen über eine GPO (Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopverbindungs-Client / SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdig sind) verteilt. Die GPO greift (mit rsop geprüft), der Fingerabdruck ist in der Registrierung unter HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services\TrustedCertThumbprints gelandet.

 

Trotzdem erscheint weiterhin die Warnung/Nachfrage "Vertrauen Sie dem Herausgeber dieses RemoteApp-Programms"?

 

Wenn ich in dem Dialog den Haken "Remoteverbindungen von diesem Herausgeber nicht mehr anfordern" anhake, landet der Fingerabdruck in HKCU\Software\Microsoft\Terminal Server Client\PublisherBypassList und die Warnung erscheint nicht mehr. Aber das kann ja nicht Sinn der Sache sein, das sollte doch auch über die Verteilung des Fingerabdrucks per GPO funktionieren.

 

Was mache ich noch falsch?

 

Gruß,

AMiGA