Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Terminalserver 2008 R2 RDWeb Aufruf ohne Zertifikatsabfrage möglich?

Frage Microsoft Windows Server

Mitglied: Confix

Confix (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 14:37 Uhr, 14134 Aufrufe, 3 Kommentare

Hintergrund:
Ein Kunde von uns besitzt 8 Terminalserver (2008 R2) diese werden mit unterschiedlicher Software bestückt und zu Farmverbunden zusammen geschnürrt.
Als Beispiel:
- Farm01 bestehend aus Trmsrv01-04 -> Applikationen -> Office 2010 und allgemein verwendete Programme
- Farm02 bestehend aus Trmsrv 05+06 -> andere wichtige Programme
- Trmsrv 07 -> Ausnahme-Programme (Verwendung von einigen wenigen)
- Trmsrv 08 -> "

Bei Kunden sind alle Workstation leider nicht in der Domäne, was sich vorerst leider auch nicht ändern wird.
Hinsichtlich würde die Verteilung über das Webinterface gehen.

Als Beispiel:
- User geht auf die Seite http://farm01.domain.local/rdweb
- Login mit AD Benutzer
- App wird ausgewählt und gestartet

Folgende Probleme tun sich auf:

Man öffnet das Webinterface der Farm z.B. der Farm01 dieser entscheidet über DNS-Round-Robin wo er hinzeigt z.B. in unserem Fall auf den Trmsrv03.
Dieser hat sein eigenes Zertifikat in sich. (Bild 0)
68059889cd1cdd4aab95490a42589282 - Klicke auf das Bild, um es zu vergrößern

Dort klickt man dann auf: "Laden dieser Website fortsetzen (nicht empfohlen)." (Bild 1)
1489393393fbfc9085571f12c69a8856 - Klicke auf das Bild, um es zu vergrößern

Dann wird man ungwollt weitergeleitet von HTTP auf eine HTTPS-Site (Bild 2)
und meldet sich mit dem Domain-User an
cf2f42030a8181812e98fe969d298f0c - Klicke auf das Bild, um es zu vergrößern

Dort öffnet man eines der freigegebenen Apps (Bild 3)
Könnte man evtl. das "Remotedesktop" Anzeigefeld ausblenden?
7997e87a70e016dee07649c831b4e404 - Klicke auf das Bild, um es zu vergrößern

Man erhält dann den Hinweis das der Herausgeber unbekannt ist. (Bild 4)
Die Ressourcen-Zuteilung scheint auch nicht angenommen zu werden sprich das die Mitarbeiter z.B. ihre Zwischenablage und lokale Drucker verwenden können.
Bzgl. des Hinweises kann man es über eine GPO so ändern, dass man Unbekannte Herausgeber erlaubt, diese Regel greift aber nicht, wenn der Client nicht selbst in der Domaine ist, wie es nun mal der Fall ist.
33804a6cc237eef01bcfd56f5dc3aa54 - Klicke auf das Bild, um es zu vergrößern

Dann wird man aufgefodert sich nochmals anzumelden (Bild 5)
Danach startet sich das App dann wie gewohnt.
1d5377129f57dc8d674aac9f9ea25161 - Klicke auf das Bild, um es zu vergrößern

Im idialsten Fall öffnet der Mitarbeiter die Website, logt sich ein, wählt sein Programm und kann mit arbeiten.
Das die Verteilung genauso gut über geschnürrte MSI-Pakete erfolgen kan ist uns auch bewusst.
Dennoch wäre die Verteilung relativ kompliziert ohne eine Domaine.
Gut besteht noch die Möglichkeit der Netzwerkfreigabe. Überall herum gehen und an mehr als 200 Clients ausführen.
Das eine Domäne in jeglicher Hinsicht von Vorteil wäre ist auch dem Kunden bekannt.
Er will es nur nicht umsetzen.

Hoffe ihr könnt helfen. Danke
Mitglied: lenny4me
24.11.2011 um 07:53 Uhr
Hallo,

du kannst mal schauen ob du auf dem TS bzw. Gatewayserver (wenn Ihr sowas habt) eine Zertifikat eingetragen ist, und dieses dann löschen. (Müsste irgendwo unter RemoteApp auswählbar sein. Wahlweise im IIS unter der Seite.

Falls das ned fruchtet müssen die Zertifikate in den Speicher der Clients (meine Meinung) ob Ihr das mit der Softwareverteilung macht (die gibts auch ohne AD beispielsweise OPSI von UIB. Ist sogar Freeware aber ein ziemliches Gefrickel).

Und trete deinem Kunden auf die Füße wegen der Domain... sowas ist ja grob fahrlässig. Wofür macht Microsoft sonst den Terz mit DCs, GPOs etc...


Grüße Lenny
Bitte warten ..
Mitglied: Confix
24.11.2011 um 14:02 Uhr
Hi Lenny,

also gemacht getan

Serverseitig:

Unter jedem Terminalserver unterm Server Manager -> Remotedesktopdienste -> RemoteApp-Manager -> Einstellungen dür digitale Signatur
auf Ändern gegangen und den Harken bei "Mit Digitalem Zertifikate anmelden" raus genommen.

Unter dem Webserver (IIS) -> Internetinformationsdineste (IIS) Manager unter Sites -> Default Web Site -> RDWeb -> SSL-Einstellungen
kein Harken bei "SSL erforderlich" und Clientzertifikate "Ignorieren"

Neue MMC erstellen -> Snap-In hinzufügen -> Zertifikate -> Computerkonto -> Lokalen Computer
Unter Zertifikate -> Eigene Zertifikate -> "Terminalserver Zertifikat" kopieren und in den Ordner
"Vertrauenswürdige Stammzertifizierungsstellen" im Unterordner "Zertifikate" einfügen
= Dieses Zertifikat ist gültig

Soweit so gut ...

Clientseitig:
Per Webinterface z.B. http://trmsrv01.domaine.local/RDWeb aufgerufen
Siehe gleiche Meldung wie Screens oben
Dann auf den Zertifikatsfehler im IE -> "Zertifikate anzeigen" -> Register "Allgemein" -> Zertifikat installieren ... -> weiter -> Alle Zertifikate in folgenden Speicher speichern -> Durchsuchen -> Vertrauenswürdige Stammzertifizierungsstellen -> OK -> weiter -> Fertigstellen

MMC erstellen nochmals überprüfen -> Zertifikate -> Vertrauenswürdige Stammzertifizierungsstellen ob sie auch dort vorhanden sind.

Browser neustarten Webinterface aufrufen -> sie da Zertifikat i.O.
Weiterleitung von HTTP auf HTTPS ohne Probleme wenn man den Server direkt anspricht.
Wenn man aber die Farm anspricht bekommt man immer noch die selbe Meldung gut da müsste man ein neues Zertifikat erstellen welches dann auf farm01.domain.local zugelassen ist. Muss ich dieses dann auf dem Server oder auf dem Client importieren?

Dann schaut es jetzt so aus:
User geht auf die Website -> meldet sich an -> öffnet App -> Bild 4 (siehe oben) dann Bild 5 und das App öffnet sich.

Wie bezwingen wir den Rest?

Gruß

Confix
Bitte warten ..
Mitglied: lenny4me
25.11.2011 um 13:51 Uhr
hallo ich glaube das cert muss man auf dem client installieren.

grüße
Bitte warten ..
Ähnliche Inhalte
Windows Server
Terminalserver 2008 R2 - Benutzerprofile
Frage von ooAlbertWindows Server1 Kommentar

Hi, ich habe hier einen Windows Terminalserver 2008 R2. Für den Benutzer soll nun der direkte Zugriff auf Laufwerk ...

Windows Server
Terminalserver 2008 Passwort ändern nicht möglich
gelöst Frage von tfaScreamWindows Server17 Kommentare

Hallo Zusammen, ich hänge gerade an einem Problem zu dem ich bisher leider keine Lösung gefunden habe. Ich habe ...

Windows Server
Umstellung Terminalserver 2003 auf 2008 R2
gelöst Frage von ToniSchmidtWindows Server6 Kommentare

Hallo zusammen, in unserem Netzwerk soll der vorhandene Windows Server 2003 Terminalserver durch einen neuen Windows Server 2008 R2 ...

Windows Server
Terminalserver 2008 - Kennwortänderung für Nutzer nicht möglich?
gelöst Frage von jaysnafuWindows Server4 Kommentare

Hallo, ich wurde heute von einem User gefragt, wie auf dem Terminalserver das Kennwort für diesen Benutzer geändert wird. ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 13 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 18 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 18 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...