Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Terminalserver 2008 R2 RDWeb Aufruf ohne Zertifikatsabfrage möglich?

Mitglied: Confix

Confix (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 14:37 Uhr, 14708 Aufrufe, 3 Kommentare

Hintergrund:
Ein Kunde von uns besitzt 8 Terminalserver (2008 R2) diese werden mit unterschiedlicher Software bestückt und zu Farmverbunden zusammen geschnürrt.
Als Beispiel:
- Farm01 bestehend aus Trmsrv01-04 -> Applikationen -> Office 2010 und allgemein verwendete Programme
- Farm02 bestehend aus Trmsrv 05+06 -> andere wichtige Programme
- Trmsrv 07 -> Ausnahme-Programme (Verwendung von einigen wenigen)
- Trmsrv 08 -> "

Bei Kunden sind alle Workstation leider nicht in der Domäne, was sich vorerst leider auch nicht ändern wird.
Hinsichtlich würde die Verteilung über das Webinterface gehen.

Als Beispiel:
- User geht auf die Seite http://farm01.domain.local/rdweb
- Login mit AD Benutzer
- App wird ausgewählt und gestartet

Folgende Probleme tun sich auf:

Man öffnet das Webinterface der Farm z.B. der Farm01 dieser entscheidet über DNS-Round-Robin wo er hinzeigt z.B. in unserem Fall auf den Trmsrv03.
Dieser hat sein eigenes Zertifikat in sich. (Bild 0)
68059889cd1cdd4aab95490a42589282 - Klicke auf das Bild, um es zu vergrößern

Dort klickt man dann auf: "Laden dieser Website fortsetzen (nicht empfohlen)." (Bild 1)
1489393393fbfc9085571f12c69a8856 - Klicke auf das Bild, um es zu vergrößern

Dann wird man ungwollt weitergeleitet von HTTP auf eine HTTPS-Site (Bild 2)
und meldet sich mit dem Domain-User an
cf2f42030a8181812e98fe969d298f0c - Klicke auf das Bild, um es zu vergrößern

Dort öffnet man eines der freigegebenen Apps (Bild 3)
Könnte man evtl. das "Remotedesktop" Anzeigefeld ausblenden?
7997e87a70e016dee07649c831b4e404 - Klicke auf das Bild, um es zu vergrößern

Man erhält dann den Hinweis das der Herausgeber unbekannt ist. (Bild 4)
Die Ressourcen-Zuteilung scheint auch nicht angenommen zu werden sprich das die Mitarbeiter z.B. ihre Zwischenablage und lokale Drucker verwenden können.
Bzgl. des Hinweises kann man es über eine GPO so ändern, dass man Unbekannte Herausgeber erlaubt, diese Regel greift aber nicht, wenn der Client nicht selbst in der Domaine ist, wie es nun mal der Fall ist.
33804a6cc237eef01bcfd56f5dc3aa54 - Klicke auf das Bild, um es zu vergrößern

Dann wird man aufgefodert sich nochmals anzumelden (Bild 5)
Danach startet sich das App dann wie gewohnt.
1d5377129f57dc8d674aac9f9ea25161 - Klicke auf das Bild, um es zu vergrößern

Im idialsten Fall öffnet der Mitarbeiter die Website, logt sich ein, wählt sein Programm und kann mit arbeiten.
Das die Verteilung genauso gut über geschnürrte MSI-Pakete erfolgen kan ist uns auch bewusst.
Dennoch wäre die Verteilung relativ kompliziert ohne eine Domaine.
Gut besteht noch die Möglichkeit der Netzwerkfreigabe. Überall herum gehen und an mehr als 200 Clients ausführen.
Das eine Domäne in jeglicher Hinsicht von Vorteil wäre ist auch dem Kunden bekannt.
Er will es nur nicht umsetzen.

Hoffe ihr könnt helfen. Danke
Mitglied: lenny4me
24.11.2011 um 07:53 Uhr
Hallo,

du kannst mal schauen ob du auf dem TS bzw. Gatewayserver (wenn Ihr sowas habt) eine Zertifikat eingetragen ist, und dieses dann löschen. (Müsste irgendwo unter RemoteApp auswählbar sein. Wahlweise im IIS unter der Seite.

Falls das ned fruchtet müssen die Zertifikate in den Speicher der Clients (meine Meinung) ob Ihr das mit der Softwareverteilung macht (die gibts auch ohne AD beispielsweise OPSI von UIB. Ist sogar Freeware aber ein ziemliches Gefrickel).

Und trete deinem Kunden auf die Füße wegen der Domain... sowas ist ja grob fahrlässig. Wofür macht Microsoft sonst den Terz mit DCs, GPOs etc...


Grüße Lenny
Bitte warten ..
Mitglied: Confix
24.11.2011 um 14:02 Uhr
Hi Lenny,

also gemacht getan

Serverseitig:

Unter jedem Terminalserver unterm Server Manager -> Remotedesktopdienste -> RemoteApp-Manager -> Einstellungen dür digitale Signatur
auf Ändern gegangen und den Harken bei "Mit Digitalem Zertifikate anmelden" raus genommen.

Unter dem Webserver (IIS) -> Internetinformationsdineste (IIS) Manager unter Sites -> Default Web Site -> RDWeb -> SSL-Einstellungen
kein Harken bei "SSL erforderlich" und Clientzertifikate "Ignorieren"

Neue MMC erstellen -> Snap-In hinzufügen -> Zertifikate -> Computerkonto -> Lokalen Computer
Unter Zertifikate -> Eigene Zertifikate -> "Terminalserver Zertifikat" kopieren und in den Ordner
"Vertrauenswürdige Stammzertifizierungsstellen" im Unterordner "Zertifikate" einfügen
= Dieses Zertifikat ist gültig

Soweit so gut ...

Clientseitig:
Per Webinterface z.B. http://trmsrv01.domaine.local/RDWeb aufgerufen
Siehe gleiche Meldung wie Screens oben
Dann auf den Zertifikatsfehler im IE -> "Zertifikate anzeigen" -> Register "Allgemein" -> Zertifikat installieren ... -> weiter -> Alle Zertifikate in folgenden Speicher speichern -> Durchsuchen -> Vertrauenswürdige Stammzertifizierungsstellen -> OK -> weiter -> Fertigstellen

MMC erstellen nochmals überprüfen -> Zertifikate -> Vertrauenswürdige Stammzertifizierungsstellen ob sie auch dort vorhanden sind.

Browser neustarten Webinterface aufrufen -> sie da Zertifikat i.O.
Weiterleitung von HTTP auf HTTPS ohne Probleme wenn man den Server direkt anspricht.
Wenn man aber die Farm anspricht bekommt man immer noch die selbe Meldung gut da müsste man ein neues Zertifikat erstellen welches dann auf farm01.domain.local zugelassen ist. Muss ich dieses dann auf dem Server oder auf dem Client importieren?

Dann schaut es jetzt so aus:
User geht auf die Website -> meldet sich an -> öffnet App -> Bild 4 (siehe oben) dann Bild 5 und das App öffnet sich.

Wie bezwingen wir den Rest?

Gruß

Confix
Bitte warten ..
Mitglied: lenny4me
25.11.2011 um 13:51 Uhr
hallo ich glaube das cert muss man auf dem client installieren.

grüße
Bitte warten ..
Ähnliche Inhalte
Windows Server
Terminalserver 2008 R2 - Benutzerprofile
Frage von ooAlbertWindows Server1 Kommentar

Hi, ich habe hier einen Windows Terminalserver 2008 R2. Für den Benutzer soll nun der direkte Zugriff auf Laufwerk ...

Windows Server

Terminalserver 2008 Passwort ändern nicht möglich

gelöst Frage von tfaScreamWindows Server17 Kommentare

Hallo Zusammen, ich hänge gerade an einem Problem zu dem ich bisher leider keine Lösung gefunden habe. Ich habe ...

Windows Server

Terminalserver 2008 - Kennwortänderung für Nutzer nicht möglich?

gelöst Frage von 122489Windows Server4 Kommentare

Hallo, ich wurde heute von einem User gefragt, wie auf dem Terminalserver das Kennwort für diesen Benutzer geändert wird. ...

Windows Server

Absturz Windows 2008 R2 Terminalserver

Frage von Majo71Windows Server6 Kommentare

Hallo, heute ist es bei uns wieder einmal passiert, dass auf einem Windows 2008 R2 Terminalserver bei einem Nutzer ...

Neue Wissensbeiträge
CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 1 StundeCPU, RAM, Mainboards1 Kommentar

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 9 StundenWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 20 StundenWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Windows Netzwerk
Windows Admin Center - Sagt was ihr braucht!
Tipp von Juanito vor 2 TagenWindows Netzwerk18 Kommentare

Hallo zusammen, der ein- oder andere hat sicherlich schon vom Windows Admin Center gehört. - Microsoft's neue Adminkonsole welche ...

Heiß diskutierte Inhalte
Entwicklung
Meine Nachbarn sehen meinen Internet Trafic
gelöst Frage von beatnguEntwicklung52 Kommentare

Hallo Also ich wohne in einem Mehrparteien Haus mit 24 wohnungen. Meine nachbaren im letzten stock fummeln immer an ...

Microsoft Office
Lizenzierung
Frage von opc123Microsoft Office29 Kommentare

Hallo, eventuell ein oft bekanntes Thema. Office 365 ist mir zu teuer, da wir als Bildungsträger andere Konditionen beim ...

Windows 10
Windows 10 mit CRITICAL PROCESS DIED
Frage von liquidbaseWindows 1028 Kommentare

Das aktuelle Problem was ich habe steht bereits im Threadtitel. Etwas mehr zum Hintergrund soll nun folgen. Problemkind ist ...

Voice over IP
Andere Rufnummer bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom anzeigen
Frage von vafk18Voice over IP19 Kommentare

Ich möchte bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom meine Handynummer hinterlegen, damit ich Rückrufe jederzeit empfangen kann. Derzeit ...