11
RD Web Access über Internet - Zertifikatsfehler
Guten Tag,
seid ca. 3 Tagen versuche ich eine Verbindung zum Server über Remote Desktop Web Access herzustellen.
Kurz vorab:
Ich habe einen neuen DC Controller als VM aufgesetzt und eingerichtet (möchte ungern im eigenen Netzwerk rumtesten).
Ich habe einen neuen Server aufgesetzt, der als RD Web Access Server arbeiten soll (ebenfalls VM)
Habe beide Server konfiguriert und eingerichtet.
Der RD hat die IP: 192.168.2.77 und heißt RD2012
Wenn ich vom einen der beiden Server aus versuche, auf "https://rdweb2012/rdweb" zuzugreifen, fragt er wie gewohnt nach Benutzer und Passwort. Nach Eingabe kann ich auch auf das rdweb zugreifen (also auf das, was ich freigegeben habe, sowohl Programme, als auch Remotedesktop).
Das kappt auch, wenn ich mit einem PC im selben Netzwerk (selber IP Kreis, aber nicht in der Domäne) drauf zugreife.
Der Zugriff von Extern klappt soweit auch (ich hab eine dynamische IP, also hab ich mir eine "dyndns"-Adresse zugelegt). Port 443 ist auch weitergeleitet worden auf die 192.168.2.77.
Ich kann also auf https://meineseite.zapto.org/rdweb draufzugreifen. Benutzer und Passwort kann ich eingeben.
Doch sobald ich hier versuche entweder eine RemoteApp zu starten, oder eine Verbindung zu einem Remote-PC herzustellen, bekomm ich die Meldung:
Die Identität des Remotedesktopgateways "meineseite.zapto.org" kann nicht überprüft werden. Verbindungen mit Servern, die nicht identifiziert werden können, sind nicht sicher.
Brauch ich jetzt ein SSL Zertifikat dafür, dass ich es übers Internet aufrufen kann?
Wenn ja, wie kann ich das am sinnvollsten umsetzen?
Ich hätte das ganze mit einem SSL Zertifikat getestet, aber die Dinger kosten Geld, und um zu testen ob es "nur" daran liegt, ist mir zuviel. Wenn es allerdings daran liegt, kein Problem - muss halt nur 100%ig wissen ob es das Problem ist.
Könnt ihr mir da helfen? Bin ich auf dem richtigen Weg oder komplett falsch?
Vielen Dank für die Hilfe!
Grüße
Henry
Gelöst, Lösung:
Ich habe eine wechselnde IP, da ich keine SSL Zertifikate auf IP Adressen ausstellen kann (lassen kann), brauchte ich einen Domainnammen.
Sobald ich einen Domainnamen hatte, über der ich die Seite aufrufen konnte, und das SSL Zertifikat hinterlegt habe, kam die Meldung nicht mehr und konnte somit eine Remotedesktop Verbindung herstellen.
SSL Zertifikat habe ich von ssl-trust bekommen, 30 Tage gültig, umsonst.
Domainnamen konnte ich bei Selfhost erstellen und mit meiner IP verknüpfen. 12€ im Jahr.
seid ca. 3 Tagen versuche ich eine Verbindung zum Server über Remote Desktop Web Access herzustellen.
Kurz vorab:
Ich habe einen neuen DC Controller als VM aufgesetzt und eingerichtet (möchte ungern im eigenen Netzwerk rumtesten).
Ich habe einen neuen Server aufgesetzt, der als RD Web Access Server arbeiten soll (ebenfalls VM)
Habe beide Server konfiguriert und eingerichtet.
Der RD hat die IP: 192.168.2.77 und heißt RD2012
Wenn ich vom einen der beiden Server aus versuche, auf "https://rdweb2012/rdweb" zuzugreifen, fragt er wie gewohnt nach Benutzer und Passwort. Nach Eingabe kann ich auch auf das rdweb zugreifen (also auf das, was ich freigegeben habe, sowohl Programme, als auch Remotedesktop).
Das kappt auch, wenn ich mit einem PC im selben Netzwerk (selber IP Kreis, aber nicht in der Domäne) drauf zugreife.
Der Zugriff von Extern klappt soweit auch (ich hab eine dynamische IP, also hab ich mir eine "dyndns"-Adresse zugelegt). Port 443 ist auch weitergeleitet worden auf die 192.168.2.77.
Ich kann also auf https://meineseite.zapto.org/rdweb draufzugreifen. Benutzer und Passwort kann ich eingeben.
Doch sobald ich hier versuche entweder eine RemoteApp zu starten, oder eine Verbindung zu einem Remote-PC herzustellen, bekomm ich die Meldung:
Die Identität des Remotedesktopgateways "meineseite.zapto.org" kann nicht überprüft werden. Verbindungen mit Servern, die nicht identifiziert werden können, sind nicht sicher.
Brauch ich jetzt ein SSL Zertifikat dafür, dass ich es übers Internet aufrufen kann?
Wenn ja, wie kann ich das am sinnvollsten umsetzen?
Ich hätte das ganze mit einem SSL Zertifikat getestet, aber die Dinger kosten Geld, und um zu testen ob es "nur" daran liegt, ist mir zuviel. Wenn es allerdings daran liegt, kein Problem - muss halt nur 100%ig wissen ob es das Problem ist.
Könnt ihr mir da helfen? Bin ich auf dem richtigen Weg oder komplett falsch?
Vielen Dank für die Hilfe!
Grüße
Henry
Gelöst, Lösung:
Ich habe eine wechselnde IP, da ich keine SSL Zertifikate auf IP Adressen ausstellen kann (lassen kann), brauchte ich einen Domainnammen.
Sobald ich einen Domainnamen hatte, über der ich die Seite aufrufen konnte, und das SSL Zertifikat hinterlegt habe, kam die Meldung nicht mehr und konnte somit eine Remotedesktop Verbindung herstellen.
SSL Zertifikat habe ich von ssl-trust bekommen, 30 Tage gültig, umsonst.
Domainnamen konnte ich bei Selfhost erstellen und mit meiner IP verknüpfen. 12€ im Jahr.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 236986
Url: https://administrator.de/contentid/236986
Printed on: April 19, 2024 at 22:04 o'clock
11 Comments
Latest comment
Hallo,
Ein Zertifikat bekommst du von deiner Windows Zertifizierungsstelle (falls Installiert), reicht eigendlich ja aus wen alle Clints (nur deine Eigenen inprinzip) das Root Cert inportiert haben und es Getrustet ist auf deinen Systemen.
Ansonsten vlt mal mit VPN versuchen, notlsung aber du kannst auf RDPWeb zugriefen, ich nutze ja Citrix und bin damit hoch zufireden (Allein schon wegen der Zwei Faktor Autentifizierungsmöglichkeit).
LG, Herbrich
Ein Zertifikat bekommst du von deiner Windows Zertifizierungsstelle (falls Installiert), reicht eigendlich ja aus wen alle Clints (nur deine Eigenen inprinzip) das Root Cert inportiert haben und es Getrustet ist auf deinen Systemen.
Ansonsten vlt mal mit VPN versuchen, notlsung aber du kannst auf RDPWeb zugriefen, ich nutze ja Citrix und bin damit hoch zufireden (Allein schon wegen der Zwei Faktor Autentifizierungsmöglichkeit).
LG, Herbrich
Guten Abend,
ob sich eigene WIndows-CA lohnt, kann ich mir nicht vorstellen. Alleine schon die Windowslizenz dafür, ist teuer genug und man sollte wissen was man macht Ein gekauftes Zertifikat wird für dich am günstigsten sein. Bei StartSSL kannst du ein kostenlos Zertifikat anfordern und testen.
Grüße,
Dani
ob sich eigene WIndows-CA lohnt, kann ich mir nicht vorstellen. Alleine schon die Windowslizenz dafür, ist teuer genug und man sollte wissen was man macht Ein gekauftes Zertifikat wird für dich am günstigsten sein. Bei StartSSL kannst du ein kostenlos Zertifikat anfordern und testen.
Grüße,
Dani
Stimmt, Berechtigter Einwand, habe nur den Vorschlag mit der CA gemacht weil ich selber eine eigene habe 
Kann es nicht eigentlich auch sein dass es da iwie ein Problem mit der sogenannten "Autentifizierung auf Netzwerkebene" giebt? Da kommen so weit ich weiß ja auch irgendwelche Zertifikate zum einsatz. Hatte das Problem alerdings nur mit Windows XP und nen Server 2008 r2 System.
LG, Herbrich
Kann es nicht eigentlich auch sein dass es da iwie ein Problem mit der sogenannten "Autentifizierung auf Netzwerkebene" giebt? Da kommen so weit ich weiß ja auch irgendwelche Zertifikate zum einsatz. Hatte das Problem alerdings nur mit Windows XP und nen Server 2008 r2 System.
LG, Herbrich
Zitat von @Dani:
Guten Abend,
ob sich eigene WIndows-CA lohnt, kann ich mir nicht vorstellen. Alleine schon die Windowslizenz dafür, ist teuer genug und
man sollte wissen was man macht Ein gekauftes Zertifikat wird für dich am günstigsten sein. Bei StartSSL kannst du ein
kostenlos Zertifikat anfordern und testen.
Grüße,
Dani
Guten Abend,
ob sich eigene WIndows-CA lohnt, kann ich mir nicht vorstellen. Alleine schon die Windowslizenz dafür, ist teuer genug und
man sollte wissen was man macht Ein gekauftes Zertifikat wird für dich am günstigsten sein. Bei StartSSL kannst du ein
kostenlos Zertifikat anfordern und testen.
Grüße,
Dani
Ich glaube er meinte die einfache integrierte Windows CA und die ist doch soweit noch "kostenlos", wenn man die entspr. Serverlizenz besitzt? (Sinn/Unsinn mal außen vor)
Ich glaube er meinte die einfache integrierte Windows CA und die ist doch soweit noch "kostenlos", wenn man die entspr. Serverlizenz besitzt? (Sinn/Unsinn mal außen vor)
Das mag sein, aber weder auf DC noch RDS-Server hat die Rolle etwas zu suchen.Grüße,
Dani
Zitat von @Dani:
> Ich glaube er meinte die einfache integrierte Windows CA und die ist doch soweit noch "kostenlos", wenn man die
entspr. Serverlizenz besitzt? (Sinn/Unsinn mal außen vor)
Das mag sein, aber weder auf DC noch RDS-Server hat die Rolle etwas zu suchen.
Grüße,
Dani
> Ich glaube er meinte die einfache integrierte Windows CA und die ist doch soweit noch "kostenlos", wenn man die
entspr. Serverlizenz besitzt? (Sinn/Unsinn mal außen vor)
Das mag sein, aber weder auf DC noch RDS-Server hat die Rolle etwas zu suchen.
Grüße,
Dani
Ganz deiner Meinung (je nach Größe mit Abstrichen) Aber bei großen Firmen hat die CA sowieso extern zu sein.
Zitat von @Herbrich19:
Kann es nicht eigentlich auch sein dass es da iwie ein Problem mit der sogenannten "Autentifizierung auf Netzwerkebene"
giebt? Da kommen so weit ich weiß ja auch irgendwelche Zertifikate zum einsatz. Hatte das Problem alerdings nur mit Windows
XP und nen Server 2008 r2 System.
Das hängt von den Sicherheitseinstellungen von Server und Client ab. Sobald ein RDS-Gateway im Internet erreichbar ist, setzt man eigentlich auf gekaufte Zertifikate (optional noch 2 Faktor-Auth).Kann es nicht eigentlich auch sein dass es da iwie ein Problem mit der sogenannten "Autentifizierung auf Netzwerkebene"
giebt? Da kommen so weit ich weiß ja auch irgendwelche Zertifikate zum einsatz. Hatte das Problem alerdings nur mit Windows
XP und nen Server 2008 r2 System.
Aber bei großen Firmen hat die CA sowieso extern zu sein.
Woher kommt die Erkenntis?Grüße,
Dani
Vielen Dank für die Antworten!
Nochmal zur Aufklärung:
Ich habe auf dem DC2012 die Rolle für Zertifizierungen hinzugefügt, also die "kostenlose" (?)...
Leider muss ich sagen, dass ich mich nicht so gut mit Windows Zertifkaten und SSL Zertifikaten auskenne (also, was das installieren / einrichten geht, relativ neu in dem Gebiet... shame on me).
Ich werde mal das mit dem StartSSL versuchen und dann nochmal bescheid geben...
Und ich muss noch dazu sagen, dass ich bereits ein SSL Zertifikat "versucht" habe, zu beantragen bei "SSL-Trust", leider brauch dieser einen Domainnamen. Ich hab allerdings nur eine IP Adresse und daraufhin hab ich ein "dyndns"-Adresse erstellt.. Das registrieren des Namen klappte zwar, aber das SSL Zertifikat klappte nicht, da es sich wohl nur um eine Unterdomain handelt, wo ich keine Bestätigungsmail bekommen kann...
Ich hab leider in dem Bereich relativ wenig Erfahrung...
Naja, wie gesagt, ich versuch das ganze jetzt nochmal mit StartSSL und dann geb ich nochmal Meldnung!
Vielen Dank
Nochmal zur Aufklärung:
Ich habe auf dem DC2012 die Rolle für Zertifizierungen hinzugefügt, also die "kostenlose" (?)...
Leider muss ich sagen, dass ich mich nicht so gut mit Windows Zertifkaten und SSL Zertifikaten auskenne (also, was das installieren / einrichten geht, relativ neu in dem Gebiet... shame on me).
Ich werde mal das mit dem StartSSL versuchen und dann nochmal bescheid geben...
Und ich muss noch dazu sagen, dass ich bereits ein SSL Zertifikat "versucht" habe, zu beantragen bei "SSL-Trust", leider brauch dieser einen Domainnamen. Ich hab allerdings nur eine IP Adresse und daraufhin hab ich ein "dyndns"-Adresse erstellt.. Das registrieren des Namen klappte zwar, aber das SSL Zertifikat klappte nicht, da es sich wohl nur um eine Unterdomain handelt, wo ich keine Bestätigungsmail bekommen kann...
Ich hab leider in dem Bereich relativ wenig Erfahrung...
Naja, wie gesagt, ich versuch das ganze jetzt nochmal mit StartSSL und dann geb ich nochmal Meldnung!
Vielen Dank
Hay.
Ich habe auch so eine Konstellation allerdings mit fester IP und Domain. Ich bekam auch immer die Fehlermeldung bis ich ein Zertifikat hatte was genau auf den Domainnamen lautet.
Ich habe auch so eine Konstellation allerdings mit fester IP und Domain. Ich bekam auch immer die Fehlermeldung bis ich ein Zertifikat hatte was genau auf den Domainnamen lautet.
Vielen Dank für die Antworten!
Ich war auf dem richtigen Weg...
Ich habe eine wechselnde IP, da ich keine SSL Zertifikate auf IP Adressen ausstellen kann (lassen kann), brauchte ich einen Domainnammen.
Sobald ich einen Domainnamen hatte, über der ich die Seite aufrufen konnte, und das SSL Zertifikat hinterlegt habe, kam die Meldung nicht mehr und konnte somit eine Remotedesktop Verbindung herstellen.
SSL Zertifikat habe ich von ssl-trust bekommen, 30 Tage gültig, umsonst.
Domainnamen konnte ich bei Selfhost erstellen und mit meiner IP verknüpfen. 12€ im Jahr.
Grüße
Henry
Ich war auf dem richtigen Weg...
Ich habe eine wechselnde IP, da ich keine SSL Zertifikate auf IP Adressen ausstellen kann (lassen kann), brauchte ich einen Domainnammen.
Sobald ich einen Domainnamen hatte, über der ich die Seite aufrufen konnte, und das SSL Zertifikat hinterlegt habe, kam die Meldung nicht mehr und konnte somit eine Remotedesktop Verbindung herstellen.
SSL Zertifikat habe ich von ssl-trust bekommen, 30 Tage gültig, umsonst.
Domainnamen konnte ich bei Selfhost erstellen und mit meiner IP verknüpfen. 12€ im Jahr.
Grüße
Henry
Hallo,
Auch bei DDNS kannst du mit deiner eigenen domain ein CAME eintrag darauf setzen, dann klappt es auch mit deiner eigenen domain
Auch bei DDNS kannst du mit deiner eigenen domain ein CAME eintrag darauf setzen, dann klappt es auch mit deiner eigenen domain
