leon123
Goto Top

RDS - Server : Vertrauen Sie dem Herausgeber dieses RemoteApp-Programms

Hallo zusammen,

ich komme mal wieder in der Windows Welt nicht weiter.

3x Server 2012
- Broker, Lizenzserver, Webaccess
- SessionHost01
- SessionHost02

Ich habe ein gekauftes SAN Zertifikat mit apps.firma.de in der Oberfläche eingespielt. Meine Sammlung nennt sich auch apps.firma.de

Auf meinem Client habe ich die Apps als WorkResources hinzugefügt. Das funktionierte mit dem Zertifikat schon mal super.

Beim Verbinden wird aber auf den Computernamen und leider nicht auf den Alias apps.firma.de zu gegriffen.

Was muss ich machen, damit nicht auf den Computernamen sondern auf "apps.firma.de" zugegriffen wird?

Ich hoffe ich habe alles ausreichend beschrieben. Vielen Dank!

Grüße
Leon
remote

Content-Key: 390178

Url: https://administrator.de/contentid/390178

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: Vision2015
Vision2015 21.10.2018 um 07:13:50 Uhr
Goto Top
Moin,

na den Hostnamen mit ins SAN Zertifikat Aufnehmen lassen...

Frank
Mitglied: clSchak
clSchak 21.10.2018 aktualisiert um 08:23:23 Uhr
Goto Top
Hi

Leider wird der Vorschlag von @Vision2015 nicht funktionieren da .local nicht zulässig ist in öffentlichen Zertifikaten und die meisten CA das auch gar nicht zulassen.

Wenn du den von extern erreichen willst kannst einen Proxy dazwischen setzen an dem du das Cert einbindest, wenn das System nur intern genutzt wird hast dein Geld umsonst ausgegeben, da hättest einfach eine AD integrierte CA installieren können und das Root Cert per GPO verteilen müssen und den Servern über die CA ein Zertifikat erstellen lassen.

Dann gibt es natürlich auch noch die Möglichkeit im DNS einfach Glue Record zu setzen in dem diese auf die Server setzt, aber ich habe keine Ahnung ob das mit einem Sessionbroker funktioniert.

Zu dem ist es mittlerweile eher unklug eine .local Domain zu verwenden, denn damit bekommst bei mDNS Probleme, selbst aktuelle MS Anleitungen raten davon aber - auch wenn ältere sagen das .local eine tolle Idee wäre face-wink.

Gruß
@clSchak
Mitglied: Vision2015
Vision2015 21.10.2018 um 08:58:37 Uhr
Goto Top
Moin,

UPS...da hat @clSchak natürlich recht, das .local habe ich übersehen...

Frank
Mitglied: Dani
Dani 21.10.2018 um 10:19:22 Uhr
Goto Top
Moin,
ich meine es reicht, wenn du den Fingerprint des Zertifiakts noch den Clients mitteilst. Dafür gibt es einen Gruppenrichtlinienobjekt und eine Anleitung.


Gruß,
Dani
Mitglied: leon123
leon123 21.10.2018 aktualisiert um 13:42:40 Uhr
Goto Top
Danke für die Antworten!

Ich kann der RDS Verbindung nicht irgendwie mitteilen, der soll anstatt auf hw-srv03-tb01 (was ja der broker ist) auf app.firma.de zugreifen?

Ich find dazu leider auch nichts passendes im Netz.

Zugriff über Extern soll irgendwann mal kommen.
Mitglied: DerWoWusste
DerWoWusste 21.10.2018 um 14:21:45 Uhr
Goto Top
Moin.

Danis Kommentar lässt Du unkommentiert? Das würde diese Abfrage wegbekommen und gut ist - wozu da noch den Namen umstellen, es ist doch alles ok.
Mitglied: 137443
Lösung 137443 21.10.2018 aktualisiert um 17:08:43 Uhr
Goto Top
Ich empfehle dir folgenden Artikel, der ist super verständlich beschrieben und behandelt das Thema im Detail in allen Facetten:
https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless ...
Danach freust du dich über die gewonnene Erkenntnis und eine meldungsfreie Verbindung in allen Verbindungs-Lagen face-wink

Gruß l.
Mitglied: leon123
leon123 22.10.2018 um 17:28:06 Uhr
Goto Top
Jetzt ist die Frage welcher Weg richtiger ist.

Danis weg und den Fingerprint per GPO zu verteilen oder von lummel der weg und das über das komplizierte CMDLET Set-RDPublishedName.ps1, der soweit ich es verstanden genau das macht was ich am Anfang vor hatte.

Set-RDClientAccessName geht wohl nur wenn der RD-Verindugnsbroker für hohe Verfügbarkeit konfiguriert ist...
Mitglied: 137443
137443 22.10.2018 aktualisiert um 20:07:51 Uhr
Goto Top
Danis weg und den Fingerprint per GPO zu verteilen
Machen wir auch so, ist ja ebenfalls im Link ersichtlich.
Mitglied: leon123
leon123 23.10.2018 um 20:28:09 Uhr
Goto Top
Also nach langer Überlegungen sollte ich einfach ne eigene Zertifizierungsstelle hoch ziehen und ein computerzertifikat für den Broker erstellen, dem die Clients vertrauen..
Mitglied: leon123
leon123 25.10.2018 um 16:00:27 Uhr
Goto Top
Ich habe es immer noch nicht geschafft die Meldung weg zu bekommen...


Wie finde ich den heraus welchen Fingerprint ich da jetzt angeben muss? Es scheint fast so als ob er irgendein anderes Zertifikat benutzt weil es eben nicht hilft den Fingerprint anzugeben.
Mitglied: DerWoWusste
DerWoWusste 25.10.2018 um 16:21:37 Uhr
Goto Top