10
RDS Server Farm Zertifikat einspielen
Hallo zusammen,
es ist spät und ich bin schon echt kaputt... bin den ganzen Tag damit beschäftigt eine Lösung für das Zertifikatsproblem zu finden.
WTS03 = Connection Brooker und Sessionhost
WTS04 = Session Host
WTS05 = Session Host
Verbunden wird sich über IGEL Thinclients
Meine Frage lautet:
Wie erstellte ich ein Zertifikat und binde es auf die Server ein?
Folgendes habe ich schon durchgeführt:
- Serverfarm im DNS eingetragen
- IIS Manger -> Domänenzertifikat (*.firma.local) erstellt.
- iisreset /noforce durchgeführt
- https://wts03.firma.local/rdweb aufgerufen i.O
- Wildcard Zertifikat mit seinem Privaten Schlüssel exportiert.
- Bereitstellungseigenschaften bearbeitet und dort unter Zertifikate dieses eingespielt. (Es wird angezeigt Vertrauenswürdig und OK)
- Über MMC das Exportierte Zertfikat auf die anderen RD Hosts importiert
Eigentlich habe ich doch alles richtig gemacht oder nicht? Gruppenrichtlichen für Autoenrollment ist vorhanden...
Wenn ich WTS03.firma.local in die RDP Verbindung eingebe kann der Benutzer connecten. Wenn ich aber z.B. WTS05.firma.local eingebe erscheint folgende Meldung:
Ich hoffe mir kann hier irgend jemand helfen
Mal was ganz allgemeines wie spricht man bei Terminalservern 2012 R2 die Farm eigentlich an? Immer über den Brooker (also z.B. WTS03.firma.local)? Oder benutzer ich den Farm namen (z.B Firma-RDS-FARM)
es ist spät und ich bin schon echt kaputt... bin den ganzen Tag damit beschäftigt eine Lösung für das Zertifikatsproblem zu finden.
WTS03 = Connection Brooker und Sessionhost
WTS04 = Session Host
WTS05 = Session Host
Verbunden wird sich über IGEL Thinclients
Meine Frage lautet:
Wie erstellte ich ein Zertifikat und binde es auf die Server ein?
Folgendes habe ich schon durchgeführt:
- Serverfarm im DNS eingetragen
- IIS Manger -> Domänenzertifikat (*.firma.local) erstellt.
- iisreset /noforce durchgeführt
- https://wts03.firma.local/rdweb aufgerufen i.O
- Wildcard Zertifikat mit seinem Privaten Schlüssel exportiert.
- Bereitstellungseigenschaften bearbeitet und dort unter Zertifikate dieses eingespielt. (Es wird angezeigt Vertrauenswürdig und OK)
- Über MMC das Exportierte Zertfikat auf die anderen RD Hosts importiert
Eigentlich habe ich doch alles richtig gemacht oder nicht? Gruppenrichtlichen für Autoenrollment ist vorhanden...
Wenn ich WTS03.firma.local in die RDP Verbindung eingebe kann der Benutzer connecten. Wenn ich aber z.B. WTS05.firma.local eingebe erscheint folgende Meldung:
Ich hoffe mir kann hier irgend jemand helfen
Mal was ganz allgemeines wie spricht man bei Terminalservern 2012 R2 die Farm eigentlich an? Immer über den Brooker (also z.B. WTS03.firma.local)? Oder benutzer ich den Farm namen (z.B Firma-RDS-FARM)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309561
Url: https://administrator.de/contentid/309561
Printed on: April 16, 2024 at 04:04 o'clock
10 Comments
Latest comment
Sofern du eine Firmen-CA laufen hast, an der du das Zertifikat registriert hast, sollte das so passen.
Und ja, du musst die Farm über ihren Namen oder ihre IP ansprechen, sonst kommt es zum gezeigten Fehler.
Lediglich Admin/Console Verbindungen können direkt an den WTS gestellt werden.
Und ja, du musst die Farm über ihren Namen oder ihre IP ansprechen, sonst kommt es zum gezeigten Fehler.
Lediglich Admin/Console Verbindungen können direkt an den WTS gestellt werden.
Okay danke soweit.
Ich glaube das mit dem Zertifikaten passt es nun soweit.
Allerdings erhalte ich nun 2 Fehler die ich irgendwie nicht so richtig verstehe...
Fehler ID 1280: Die Remotedesktopdienste konnten keine Verknüpfung mit dem Verbindungsbroker auf dem Server "WTS03.Firma.Local" herstellen.
Fehler: Die aktuelle asynchrone Nachricht wurde vom asynchronen Verteiler gelöscht, da eine neue Nachricht vorhanden ist, die die aktuelle Nachricht überschreibt.
und
Fehler ID 226: RDPClient_SSL: Fehler beim Übergang von "TsSslStateDisconnected" zu "TsSslStateDisconnected" in Reaktion auf "25" (Fehlercode: 0x8000FFFF).
die Verteilung der Clients über den Broker funktioniert allerdings Fehlerfrei.
Ich habe was gefunden zu Fehler 1280:
Add the RD Session Host server to the Session Broker Computers group
An RD Session Host server may need to be a member of the Session Broker Computers group on the RD Connection Broker server.
To add the RD Session Host server to the Session Broker Computers group:
On the RD Connection Broker server, click Start, point to Administrative Tools, and then click Server Manager.
Expand Configuration, expand Local Users and Group, and then click Groups.
Double-click Session Broker Computers, and then click Add.
Click Object Types, select the Computers check box, and then click OK.
In the Enter the object names to select box, type the name of the RD Session Host server, and then click OK.
Click OK to close the Session Broker Computers Properties dialog box.
Ist damit der RDS-Entpunktserver, RDS-Remotezugriffsserver oder RDS-Verwaltungsserver gemeint. Diese Übersetzungen immer...
Nur bei dem Entpunktserver sind bei mir alle Server eingetragen.
Ich glaube das mit dem Zertifikaten passt es nun soweit.
Allerdings erhalte ich nun 2 Fehler die ich irgendwie nicht so richtig verstehe...
Fehler ID 1280: Die Remotedesktopdienste konnten keine Verknüpfung mit dem Verbindungsbroker auf dem Server "WTS03.Firma.Local" herstellen.
Fehler: Die aktuelle asynchrone Nachricht wurde vom asynchronen Verteiler gelöscht, da eine neue Nachricht vorhanden ist, die die aktuelle Nachricht überschreibt.
und
Fehler ID 226: RDPClient_SSL: Fehler beim Übergang von "TsSslStateDisconnected" zu "TsSslStateDisconnected" in Reaktion auf "25" (Fehlercode: 0x8000FFFF).
die Verteilung der Clients über den Broker funktioniert allerdings Fehlerfrei.
Ich habe was gefunden zu Fehler 1280:
Add the RD Session Host server to the Session Broker Computers group
An RD Session Host server may need to be a member of the Session Broker Computers group on the RD Connection Broker server.
To add the RD Session Host server to the Session Broker Computers group:
On the RD Connection Broker server, click Start, point to Administrative Tools, and then click Server Manager.
Expand Configuration, expand Local Users and Group, and then click Groups.
Double-click Session Broker Computers, and then click Add.
Click Object Types, select the Computers check box, and then click OK.
In the Enter the object names to select box, type the name of the RD Session Host server, and then click OK.
Click OK to close the Session Broker Computers Properties dialog box.
Ist damit der RDS-Entpunktserver, RDS-Remotezugriffsserver oder RDS-Verwaltungsserver gemeint. Diese Übersetzungen immer...
Nur bei dem Entpunktserver sind bei mir alle Server eingetragen.
@grimmrot
Bist du sicher das man die Farm über den Namen anspricht? Ich meinte man spricht immer den Broker an?!
Bist du sicher das man die Farm über den Namen anspricht? Ich meinte man spricht immer den Broker an?!
Nein der Broker wird immer nur von den einzelnen Session-Hosts angesprochen.
Der Ablauf ist:
- Client ruft Host (Farm)
- Host schickt Anfrage an den Broker
- Broker antwortet ob der Host annehmen darf ODER welchen Server der Client verbinden soll
- Host schickt Antwort an den Client weiter
Andernfalls würden Szenarien wie z.B. eine externe Verbindung per RDG auch garnicht funktionieren.
Der Ablauf ist:
- Client ruft Host (Farm)
- Host schickt Anfrage an den Broker
- Broker antwortet ob der Host annehmen darf ODER welchen Server der Client verbinden soll
- Host schickt Antwort an den Client weiter
Andernfalls würden Szenarien wie z.B. eine externe Verbindung per RDG auch garnicht funktionieren.
Hmm in meiner Anleitung steht:
Unter Windows Server 2012 läuft das Load-Balancing nur noch über den Verbindungsbroker, man spricht die Farm nicht mehr über ihren Farmnamen, wie bei Windows Server 2008 an,sondern nur noch über den Verbindungsbroker, der Server regelt dann selbst das
Load-Balancing.
http://www.thurnhofer.net/howtos/RDS_Farm_Server_2012_R2.pdf
Unter Windows Server 2012 läuft das Load-Balancing nur noch über den Verbindungsbroker, man spricht die Farm nicht mehr über ihren Farmnamen, wie bei Windows Server 2008 an,sondern nur noch über den Verbindungsbroker, der Server regelt dann selbst das
Load-Balancing.
http://www.thurnhofer.net/howtos/RDS_Farm_Server_2012_R2.pdf
Was sich da geändert hat ist das NLB, welches nicht mehr benötigt wird. Allerdings verbinden sich die Clients immernoch per DNS Farm-Eintrag. Das sollte ein Round Robin auf die Farm-RDS sein.
Probier's einfach aus, du siehst das geht.
Probier's einfach aus, du siehst das geht.
Ja habe es gerade Probiert.
Aber es scheint egal zu sein. Ich kann entweder firma-rds-farm oder halt wts03.firma.local oder halt über die IP Connecten...
Aber es scheint egal zu sein. Ich kann entweder firma-rds-farm oder halt wts03.firma.local oder halt über die IP Connecten...
Wenn du keine Konsolen-Verbindung anforderst, solltest du aber trotzdem durch die Farm gereicht werden 
Ich muss nun doch nochmal eine Frage stellen.
Intern scheint alles zu funktionieren. Aber wenn nun externe User über VPN sich mit der RDS Farm Verbinden wollen, kommt folgende Fehlermeldung:
Man kann den Fehler zwar umgehen in dem man die Warnungen ausschaltet.
aber das ist ja nicht Sinn und Zweck!
Intern scheint alles zu funktionieren. Aber wenn nun externe User über VPN sich mit der RDS Farm Verbinden wollen, kommt folgende Fehlermeldung:
Man kann den Fehler zwar umgehen in dem man die Warnungen ausschaltet.
aber das ist ja nicht Sinn und Zweck!
Hi.
This message says that the client could not query the CRL (certificate revocation list) which is configured as a property in the certificate as you issue the cert from your CA.
So check if the client can reach this URL or reissue the cert without a CRL-URL. Also make sure the CA cert is installed on the client as a root certification authority.
You should also have a look into this superb article about RDS SSO
http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create- ...
Regards
This message says that the client could not query the CRL (certificate revocation list) which is configured as a property in the certificate as you issue the cert from your CA.
So check if the client can reach this URL or reissue the cert without a CRL-URL. Also make sure the CA cert is installed on the client as a root certification authority.
You should also have a look into this superb article about RDS SSO
http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create- ...
Regards