dakanda
Goto Top

Zertifikatfehler bei Anmeldung am Terminalserver

Hallo Leute,

wir haben insgesamt 3 Terminalserver in unserer Terminalserver-Farm.

An ca. 40% aller Arbeitsplätze kommt es bei der Anmeldung am Terminalserver immer zu folgender Meldung:
2203cebef00d86f2fdaffaa143384947

Durch Bestätigen mit [JA] kann man sich anmelden, jedoch ist die Meldung sehr nervig.
Die Meldung erscheint nicht nur an Client im Homeoffice, sondern auch an Clients im Firmennetz.

Klicke ich auf [Zertifikat anzeigen] und wähle dann [Zertifikat installieren] wird dieses erfolgreich importiert:
5e1e81e2a3bf65f1f92d31cedc0c9f6e

Dennoch kommt bei der Anmeldung an den besagten Clients immer die erste Meldung.

Die Terminalserverlizenzierung wird durch unseren Dateiserver durchgeführt.
Clients sind durchweg Windows 7 (SP1 installiert).

Im Internet habe ich nun schon eine Weile recherchiert, jedoch nichts brauchbares gefunden.

Über Tipps oder Ideen zur Lösung des Problems sage ich schon mal danke!

Content-Key: 210965

Url: https://administrator.de/contentid/210965

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: hf1965
hf1965 09.07.2013 um 16:41:44 Uhr
Goto Top
Sollte es ausreichen, am Terminalserver in den RDP-Einstellungen die Sicherheitsstufe auf "RDP-Einstellungen" zu setzen?
Mitglied: Dakanda
Dakanda 09.07.2013 um 16:55:50 Uhr
Goto Top
Ich bin mir nicht sicher, was du meinst.
Meinst du diese Einstellung:
ddd22c1392526413805e55d6d6b21ea5
Mitglied: hf1965
hf1965 09.07.2013 um 16:58:51 Uhr
Goto Top
ja, so steht er bei uns
Mitglied: clSchak
clSchak 09.07.2013 aktualisiert um 22:03:41 Uhr
Goto Top
Du hast ein anderes Problem:

entweder zu erstellst ein passende Zertifikat an eurer Zertifizierungsstelle im AD oder du verteilst das Zertifikat des TS via GPO.

Des weiteren kommt die Meldung nicht mehr, wenn du den Zertifikatsspeicher manuell auf "Vertrauenswürdige Stammzertifizierungsstelle" stellst bei dem Import (statt einfach nur auf weiter/ok zu klicken) da dein Zertifikat wohl vom TS selbst kommt und nicht direkt "aus der Domäne"
Mitglied: Softprogger
Softprogger 09.07.2013 um 22:32:27 Uhr
Goto Top
Wenn du tem TS vertraust, setze einfach den Haken bei 'nicht erneut nach Verbindungen mit diesem Computer fragen'.
Dann erscheint auch die Meldung nicht mehr!

Gruß Softprogger
Mitglied: Dakanda
Dakanda 10.07.2013 um 07:56:45 Uhr
Goto Top
Guten Morgen,

also das werde ich nachher mal ausprobieren.
Wenn ich allerdings den Haken "Nicht erneut nach Verbindungen mit diesem Computer fragen" setze, kommt diese Meldung leider beim nächsten Verbindungsversuch erneut.

Gruß Dakanda
Mitglied: Dakanda
Dakanda 10.07.2013 um 09:24:30 Uhr
Goto Top
Zitat von @clSchak:
Du hast ein anderes Problem:

entweder zu erstellst ein passende Zertifikat an eurer Zertifizierungsstelle im AD oder du verteilst das Zertifikat des TS via
GPO.

Des weiteren kommt die Meldung nicht mehr, wenn du den Zertifikatsspeicher manuell auf "Vertrauenswürdige
Stammzertifizierungsstelle" stellst bei dem Import (statt einfach nur auf weiter/ok zu klicken) da dein Zertifikat wohl vom
TS selbst kommt und nicht direkt "aus der Domäne"

Da wir auch einige Mitarbeiter im Außendienst mit eigenen Notebook haben, ist ein Zertifikat via GPO nicht möglich.
Ich habe deinen zweiten Lösungsansatz an einem externen Client getestet und manuell auf "Vertrauenswürdige Stammzertifizierungsstelle" beim Import umgestellt.
=> Hat funktioniert! Danke! Ich werde dies nun noch an 2-3 weiteren Clients testen und bei Erfolg den Beitrag als "Gelöst" markieren.
Mitglied: Dakanda
Dakanda 10.07.2013 um 11:16:00 Uhr
Goto Top
Zitat von @Dakanda:
> Zitat von @clSchak:
> ----
> Du hast ein anderes Problem:
>
> entweder zu erstellst ein passende Zertifikat an eurer Zertifizierungsstelle im AD oder du verteilst das Zertifikat des TS
via
> GPO.
>
> Des weiteren kommt die Meldung nicht mehr, wenn du den Zertifikatsspeicher manuell auf "Vertrauenswürdige
> Stammzertifizierungsstelle" stellst bei dem Import (statt einfach nur auf weiter/ok zu klicken) da dein Zertifikat wohl
vom
> TS selbst kommt und nicht direkt "aus der Domäne"

Da wir auch einige Mitarbeiter im Außendienst mit eigenen Notebook haben, ist ein Zertifikat via GPO nicht möglich.
Ich habe deinen zweiten Lösungsansatz an einem externen Client getestet und manuell auf "Vertrauenswürdige
Stammzertifizierungsstelle" beim Import umgestellt.
=> Hat funktioniert! Danke! Ich werde dies nun noch an 2-3 weiteren Clients testen und bei Erfolg den Beitrag als
"Gelöst" markieren.

Also es funktioniert generell erst einmal, danke clSchak.
Aber vielleicht hast du mir noch ein Tipp für folgendes:
Wenn ich nun an allen Clients die o.g. Einstellung durchführe, gilt dieses Zertifikat immer nur 6 Monate.
Nach 6 Monaten müsste ich dann diese Schritte wiederholen.
Gibt´s hier eine Chance dies zu umgehen, sodass es nicht alle 6 Monate erneut durchgeführt werden muss?
Mitglied: clSchak
clSchak 10.07.2013 um 11:21:31 Uhr
Goto Top
ja, Cert. anhand der Domäne ausrollen udn auch das sollte kein Problem mit externen Clients, so lange deine Domäne und Zertifikatsverteilung korrekt eingestellt ist, wir das Root-Zertifikat deiner Domäne direkt beim ersten start des Clients nach dem Domänenbeitritt als Vertrauenswürdig eingestuft und somit alle anderen Zertifikate die aus der Domäne kommen auch.

Wie man die "länge" der Gültigkeit des Zertifikates einstellen kann, bin ich momentan überfragt, da bin ich nicht tief genug im Thema.

Aber hier im Forum gibt es ein passenden Thread:
Microsoft CA Zertifikatsvorlage Clientzertifikat Gültigkeit verlängern
Mitglied: Dakanda
Dakanda 06.08.2014 um 13:44:19 Uhr
Goto Top
Lang lang ist es her...

Ich habe das Problem jetzt aber auf einem ganz anderen Weg gelöst.

Ich habe in den Einstellungen der RDP-Verknüpfung unter "Leistung > Serverauthentifizierung" die Option "Verbinden und keine Warnung anzeigen" ausgewählt.
Dies habe ich dann für alle Benutzer ausgerollt -> Fertig!

Ist vielleicht nicht die aller feinste Art, funktioniert aber. face-wink