wicksupport 10 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Umgebung: Windows Domäne mit RDS 2022 (kein Cluster - alle Rollen auf dem Server installiert). Der Server lief mit dem HTML5 Client ohne Probleme. Da die Zertifikate abgelaufen sind, haben wir die neuen Zertifikate hinterlegt. Dabei handelt es sich um eine .pfx Datei von unserem Exchange Server. Der Exchange Server hat die CSR Datei für die CA erstellt (offizielle CA mit Zwischenzertifikat, keine interne CA). Die .pfx Datei wurde sowohl in den Bereitstellungseigenschaften (alle 4 Rollendienste), als auch beim RDWebClientBrokerCert (Import-RDWebClientBrokerCert c:\temp\zertifikat.pfx -PromptforPassword) hinterlegt. Dennoch kommt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support." Wo können wir ansetzen, um den Fehler zu beheben? Gruß wicksupport Zitieren
Nobbyaushb 1.512 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Welches Zertifikat ist im IIS angebunden? Zitieren
wicksupport 10 Geschrieben 11. Juli 2022 Autor Melden Geschrieben 11. Juli 2022 Die gleiche .pfx Datei wurde importiert. Zitieren
NilsK 2.982 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Moin, wenn es sich um das Zertifikat eures Exchange-Servers handelt, ist das auf dem RDS ja auch nicht richtig. Ein Zertifikat soll dem Client belegen, dass er es mit dem richtigen Server zu tun hat. Wenn der RDS das Zertifikat des Exchange-Servers präsentiert, trifft das ja nicht zu. Es muss schon ein Zertifikat sein, das zu dem RDS-Server gehört. Gruß, Nils Zitieren
chrismue 99 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 vor 8 Minuten schrieb wicksupport: Die gleiche .pfx Datei wurde importiert. Und hast du es unter Bindungen auch ausgetauscht? Gruß chrismue Zitieren
wicksupport 10 Geschrieben 11. Juli 2022 Autor Melden Geschrieben 11. Juli 2022 Hatte vergessen dazuzusagen, dass es ein wildcard-Zertifikat ist, das wir dafür nutzen. Es gibt kein spezielles Zertifikat für den RDS oder den Exchange extra. vor 1 Minute schrieb chrismue: Und hast du es unter Bindungen auch ausgetauscht? Gruß chrismue Ja, bei der Default Web Site Zitieren
testperson 1.761 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Hi, netsh http show sslcert zeigt überall den Hash bzw. Thumbprint vom neuen Zertifikat? Gruß Jan Zitieren
wicksupport 10 Geschrieben 11. Juli 2022 Autor Melden Geschrieben 11. Juli 2022 Ja, der Hashwert stimmt überein. Zitieren
wicksupport 10 Geschrieben 12. Juli 2022 Autor Melden Geschrieben 12. Juli 2022 Ich habe noch folgendes getestet: Aufruf über https://realerservername.domäne1.de > Aufruf von RD Sitzung aus angelegter Sammlung geht ohne Probleme Aufruf über https://rds.domäne2.de > Aufruf von RD Sitzung aus angelegter Domäne gibt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support." In den Bereitstellungseigenschaften ist bei Remotedesktopgateway unter Servername "rds.domäne2.de" angegeben. Das Wildcardzertifikat ist ausgestellt auf *.domäne2.de Der Eintrag rds.domäne2.de wird über einen CNAME Eintrag im DNS gesetzt und wird auch korrekt aufgelöst. Die gleiche Konfiguration lief bis das alte *.domäne2.de Zertifikat abgelaufen ist. Gibt es hier noch Lösungsansätze? Zitieren
wicksupport 10 Geschrieben 12. Juli 2022 Autor Melden Geschrieben 12. Juli 2022 Nach dem Eintragen von folgendem Schlüssel: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp] "UseCachedCRLOnlyAndIgnoreRevocationUnkownErrors"=dword:00000001 ging der Aufruf der Seite wieder ohne Probleme. Zitieren
NilsK 2.982 Geschrieben 12. Juli 2022 Melden Geschrieben 12. Juli 2022 Moin, kann man machen, ist aber ein sehr heikler Workaround. Effektiv weist du das System damit an, abgelaufene Zertifikatssperrlisten zu verwenden. Kann man machen, wenn man weiß, was man tut. Ist aber vom Prinzip her natürlich nicht so vorgesehen, aus gutem Grund, Gruß, Nils Zitieren
tesso 377 Geschrieben 12. Juli 2022 Melden Geschrieben 12. Juli 2022 (bearbeitet) Dann kann wohl die CRL nicht aufgelöst/geladen werden oder sie ist veraltet. bearbeitet 12. Juli 2022 von tesso Zitieren
flyingandy 0 Geschrieben 9. Januar Melden Geschrieben 9. Januar Wenn das Serverzertifikat erneuert wurde und über das Verwaltungscenter neu gebunden wurde, muss man noch mit der Poweshell das neue Zertifikat in den Broker einlesen: Import-RDWebClientBrokerCert "Path\cert.cer" anschliessend funktioniert das Starten der Apps wieder einwandfrei. Zitieren
Damian 1.670 Geschrieben 9. Januar Melden Geschrieben 9. Januar @flyingandy Hallo und Willkommen on Board! Das Board hat dir vor dem Posten einen Hinweis bezüglich des Themenalters angezeigt. Dieser Hinweis existiert aus gutem Grund, bitte beim nächsten Mal beachten. Danke. VG Damian Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.