Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Terminalserver 2008 R2 RDWeb Aufruf ohne Zertifikatsabfrage möglich?

Frage Microsoft Windows Server

Mitglied: Confix

Confix (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 14:37 Uhr, 13513 Aufrufe, 3 Kommentare

Hintergrund:
Ein Kunde von uns besitzt 8 Terminalserver (2008 R2) diese werden mit unterschiedlicher Software bestückt und zu Farmverbunden zusammen geschnürrt.
Als Beispiel:
- Farm01 bestehend aus Trmsrv01-04 -> Applikationen -> Office 2010 und allgemein verwendete Programme
- Farm02 bestehend aus Trmsrv 05+06 -> andere wichtige Programme
- Trmsrv 07 -> Ausnahme-Programme (Verwendung von einigen wenigen)
- Trmsrv 08 -> "

Bei Kunden sind alle Workstation leider nicht in der Domäne, was sich vorerst leider auch nicht ändern wird.
Hinsichtlich würde die Verteilung über das Webinterface gehen.

Als Beispiel:
- User geht auf die Seite http://farm01.domain.local/rdweb
- Login mit AD Benutzer
- App wird ausgewählt und gestartet

Folgende Probleme tun sich auf:

Man öffnet das Webinterface der Farm z.B. der Farm01 dieser entscheidet über DNS-Round-Robin wo er hinzeigt z.B. in unserem Fall auf den Trmsrv03.
Dieser hat sein eigenes Zertifikat in sich. (Bild 0)
68059889cd1cdd4aab95490a42589282 - Klicke auf das Bild, um es zu vergrößern

Dort klickt man dann auf: "Laden dieser Website fortsetzen (nicht empfohlen)." (Bild 1)
1489393393fbfc9085571f12c69a8856 - Klicke auf das Bild, um es zu vergrößern

Dann wird man ungwollt weitergeleitet von HTTP auf eine HTTPS-Site (Bild 2)
und meldet sich mit dem Domain-User an
cf2f42030a8181812e98fe969d298f0c - Klicke auf das Bild, um es zu vergrößern

Dort öffnet man eines der freigegebenen Apps (Bild 3)
Könnte man evtl. das "Remotedesktop" Anzeigefeld ausblenden?
7997e87a70e016dee07649c831b4e404 - Klicke auf das Bild, um es zu vergrößern

Man erhält dann den Hinweis das der Herausgeber unbekannt ist. (Bild 4)
Die Ressourcen-Zuteilung scheint auch nicht angenommen zu werden sprich das die Mitarbeiter z.B. ihre Zwischenablage und lokale Drucker verwenden können.
Bzgl. des Hinweises kann man es über eine GPO so ändern, dass man Unbekannte Herausgeber erlaubt, diese Regel greift aber nicht, wenn der Client nicht selbst in der Domaine ist, wie es nun mal der Fall ist.
33804a6cc237eef01bcfd56f5dc3aa54 - Klicke auf das Bild, um es zu vergrößern

Dann wird man aufgefodert sich nochmals anzumelden (Bild 5)
Danach startet sich das App dann wie gewohnt.
1d5377129f57dc8d674aac9f9ea25161 - Klicke auf das Bild, um es zu vergrößern

Im idialsten Fall öffnet der Mitarbeiter die Website, logt sich ein, wählt sein Programm und kann mit arbeiten.
Das die Verteilung genauso gut über geschnürrte MSI-Pakete erfolgen kan ist uns auch bewusst.
Dennoch wäre die Verteilung relativ kompliziert ohne eine Domaine.
Gut besteht noch die Möglichkeit der Netzwerkfreigabe. Überall herum gehen und an mehr als 200 Clients ausführen.
Das eine Domäne in jeglicher Hinsicht von Vorteil wäre ist auch dem Kunden bekannt.
Er will es nur nicht umsetzen.

Hoffe ihr könnt helfen. Danke
Mitglied: lenny4me
24.11.2011 um 07:53 Uhr
Hallo,

du kannst mal schauen ob du auf dem TS bzw. Gatewayserver (wenn Ihr sowas habt) eine Zertifikat eingetragen ist, und dieses dann löschen. (Müsste irgendwo unter RemoteApp auswählbar sein. Wahlweise im IIS unter der Seite.

Falls das ned fruchtet müssen die Zertifikate in den Speicher der Clients (meine Meinung) ob Ihr das mit der Softwareverteilung macht (die gibts auch ohne AD beispielsweise OPSI von UIB. Ist sogar Freeware aber ein ziemliches Gefrickel).

Und trete deinem Kunden auf die Füße wegen der Domain... sowas ist ja grob fahrlässig. Wofür macht Microsoft sonst den Terz mit DCs, GPOs etc...


Grüße Lenny
Bitte warten ..
Mitglied: Confix
24.11.2011 um 14:02 Uhr
Hi Lenny,

also gemacht getan

Serverseitig:

Unter jedem Terminalserver unterm Server Manager -> Remotedesktopdienste -> RemoteApp-Manager -> Einstellungen dür digitale Signatur
auf Ändern gegangen und den Harken bei "Mit Digitalem Zertifikate anmelden" raus genommen.

Unter dem Webserver (IIS) -> Internetinformationsdineste (IIS) Manager unter Sites -> Default Web Site -> RDWeb -> SSL-Einstellungen
kein Harken bei "SSL erforderlich" und Clientzertifikate "Ignorieren"

Neue MMC erstellen -> Snap-In hinzufügen -> Zertifikate -> Computerkonto -> Lokalen Computer
Unter Zertifikate -> Eigene Zertifikate -> "Terminalserver Zertifikat" kopieren und in den Ordner
"Vertrauenswürdige Stammzertifizierungsstellen" im Unterordner "Zertifikate" einfügen
= Dieses Zertifikat ist gültig

Soweit so gut ...

Clientseitig:
Per Webinterface z.B. http://trmsrv01.domaine.local/RDWeb aufgerufen
Siehe gleiche Meldung wie Screens oben
Dann auf den Zertifikatsfehler im IE -> "Zertifikate anzeigen" -> Register "Allgemein" -> Zertifikat installieren ... -> weiter -> Alle Zertifikate in folgenden Speicher speichern -> Durchsuchen -> Vertrauenswürdige Stammzertifizierungsstellen -> OK -> weiter -> Fertigstellen

MMC erstellen nochmals überprüfen -> Zertifikate -> Vertrauenswürdige Stammzertifizierungsstellen ob sie auch dort vorhanden sind.

Browser neustarten Webinterface aufrufen -> sie da Zertifikat i.O.
Weiterleitung von HTTP auf HTTPS ohne Probleme wenn man den Server direkt anspricht.
Wenn man aber die Farm anspricht bekommt man immer noch die selbe Meldung gut da müsste man ein neues Zertifikat erstellen welches dann auf farm01.domain.local zugelassen ist. Muss ich dieses dann auf dem Server oder auf dem Client importieren?

Dann schaut es jetzt so aus:
User geht auf die Website -> meldet sich an -> öffnet App -> Bild 4 (siehe oben) dann Bild 5 und das App öffnet sich.

Wie bezwingen wir den Rest?

Gruß

Confix
Bitte warten ..
Mitglied: lenny4me
25.11.2011 um 13:51 Uhr
hallo ich glaube das cert muss man auf dem client installieren.

grüße
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...