1
Vorgehen - Server 2008 R2, Globales Authentifizierungszertifikat für TS erstellen
Hallo Community,
Ich habe eine Terminalserverfarm mit mehreren Windows Server 2008 R2 Terminalserver erstellt. Klappt alles so wie ich es mir vorstelle mit Ausnahme der Anmeldung.
Wenn sich ein User das erste Mal anmeldet, bekommt er die Meldung: "Die Identität des Remotecomputers kann nicht überprüft werden. Möchten Sie die Verbindung dennoch herstellen?". Diese Meldung liegt der Tatsache zugrunde, dass auf dem Client Computer das Zertifikat des entsprechenden Terminalservers nicht installiert ist.
Jeder Terminalserver hat sein eigenes Zertifikat. Ich müsste mir also von jedem Server das Zertifikat in eine Datei exportieren und diese Daten anschließend mittels GPOs in meinem Netzwerk auf die einzelnen Clients verteilen.
Dies kommt mir aber etwas umständlich vor. Da ich leider nicht sehr mit dem Thema Zertifikate bewandert bin stelle ich nun die Frage: Wie ist hier das Standard vorgehen?
So wie ich mir das denke müsste es eine Möglichkeit, geben, ein "Domänen-Zertifikat" zu erstellen, dies dann auf meine Terminalserver hinterlegen und das eine Zertifikat anschließend verteilen. Anders habe ich das das Problem, dass ich mir jedes Jahr so ein Zertifikat für jeden Server neue erstellen und verteilen muss.
Wäre für ein paar Anregungen dankbar.
Gruß
Breppe
Ich habe eine Terminalserverfarm mit mehreren Windows Server 2008 R2 Terminalserver erstellt. Klappt alles so wie ich es mir vorstelle mit Ausnahme der Anmeldung.
Wenn sich ein User das erste Mal anmeldet, bekommt er die Meldung: "Die Identität des Remotecomputers kann nicht überprüft werden. Möchten Sie die Verbindung dennoch herstellen?". Diese Meldung liegt der Tatsache zugrunde, dass auf dem Client Computer das Zertifikat des entsprechenden Terminalservers nicht installiert ist.
Jeder Terminalserver hat sein eigenes Zertifikat. Ich müsste mir also von jedem Server das Zertifikat in eine Datei exportieren und diese Daten anschließend mittels GPOs in meinem Netzwerk auf die einzelnen Clients verteilen.
Dies kommt mir aber etwas umständlich vor. Da ich leider nicht sehr mit dem Thema Zertifikate bewandert bin stelle ich nun die Frage: Wie ist hier das Standard vorgehen?
So wie ich mir das denke müsste es eine Möglichkeit, geben, ein "Domänen-Zertifikat" zu erstellen, dies dann auf meine Terminalserver hinterlegen und das eine Zertifikat anschließend verteilen. Anders habe ich das das Problem, dass ich mir jedes Jahr so ein Zertifikat für jeden Server neue erstellen und verteilen muss.
Wäre für ein paar Anregungen dankbar.
Gruß
Breppe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192382
Url: https://administrator.de/contentid/192382
Printed on: April 25, 2024 at 06:04 o'clock
1 Comment
Moin Breppe,
wir haben z.B. einen Windows CA in unserer Domäne installiert. Deren ROOT CA wird automatisch auf allen Clients verteilt. Für die Server, in deinem TS wird ein neues Zertifikat generiert, eingebunden und beim Verbindungsaufbau wird dieses als gültig angesehen, da das Zertifikat der CA die das TS-Zertifikat ausgestellt hat bekannt ist.
Die Standardgültigkeit für solch ein Zertifikat ist 2 Jahre. D.h. entweder Lebensdauer hochschrauben oder nach zwei Jahren ein neues Zertifikat ausstellen.
Man könnte sowas auch ignorieren... Bei uns gibt es ein Team, die machen nichts anderes. Soll heißen, wenn diese Meldung erscheint, stimmt was mit der Verbindung nicht mehr oder das Zertifikat auf dem TS ist abgelaufen.
Grüße,
Dani
wir haben z.B. einen Windows CA in unserer Domäne installiert. Deren ROOT CA wird automatisch auf allen Clients verteilt. Für die Server, in deinem TS wird ein neues Zertifikat generiert, eingebunden und beim Verbindungsaufbau wird dieses als gültig angesehen, da das Zertifikat der CA die das TS-Zertifikat ausgestellt hat bekannt ist.
Die Standardgültigkeit für solch ein Zertifikat ist 2 Jahre. D.h. entweder Lebensdauer hochschrauben oder nach zwei Jahren ein neues Zertifikat ausstellen.
Man könnte sowas auch ignorieren... Bei uns gibt es ein Team, die machen nichts anderes. Soll heißen, wenn diese Meldung erscheint, stimmt was mit der Verbindung nicht mehr oder das Zertifikat auf dem TS ist abgelaufen.
Grüße,
Dani
