Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SSL oder TLS für Terminal Server erstellen

Anleitung Microsoft Windows Server

Mitglied: ghost4810

ghost4810 (Level 1) - Jetzt verbinden

30.04.2009, aktualisiert 03.05.2009, 26818 Aufrufe, 1 Danke

SSL für Terminal Server 2003 konfigurieren

163ec6dcbcc66cde3e4ac5851022d898-zeichnung1 - Klicke auf das Bild, um es zu vergrößern

In meiner Doku gehe ich von der Situation aus das, das AD schon vorhanden ist und ein Terminal Server hinzugefügt wird.
Weiteres möchte ich klar stellen das ich keine Haftung für sämtliche Angaben übernehme und diese Doku nur als Beispiel dienen soll. (Auch die Rechtschreibfehler bittte nicht beachten)

Inhalt:
- Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
- Terminal Lizenzserver auf DC01 Aktivieren
- Terminalserver und Tsweb auf TS01 installieren
- Tsweb umlegen
- Zertifikat für Terminalserver anfordernden
- Zertifikat in Terminal Dienste einbinden
- Remote Sitzung vom Client aufbauen
- Über Gruppenrichtlinen die max. Sicherheit zuweisen
- Fragen und Antworten

Zertifikatsdienst, Terminal Lizenz Server und IIS 6 auf DC01 hinzufügen
1. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. IIS 6 (Unter Anwendungsserver -> Details…)
b. Terminalserverlizenzierung
c. Zertifikatsdienste

d3ce13f7ff4d5b089f9c6519438ec621-ts1 - Klicke auf das Bild, um es zu vergrößern
b2caf393518272d45e237f8090802186-neues_bild - Klicke auf das Bild, um es zu vergrößern
ea1880198ebeefcbf66f608690ccb515-neues_bild_(1) - Klicke auf das Bild, um es zu vergrößern

(mit „Ja“ bestätigen)
2. Da es nur eine Domain gibt habe ich hier die Gesamte Organisation ausgewählt

0c6048a4a429bc94ff947111ec1ab765-neues_bild_(2) - Klicke auf das Bild, um es zu vergrößern
f828ee2b7e8dbf353d3eb29c86c1563a-neues_bild_(3) - Klicke auf das Bild, um es zu vergrößern

3. Beim Zertifizierungsstellentyp sollte man die „Stammzertifizierungsstelle“ auswählen.
(Die Eigenständige Stammz. wäre die sicherste Lösung ist aber zu beachten das die Zertifikate dann nicht online beantragt werden können. Untergeordnete Zertifikatsstellen würden keinen Sinn ergeben.)
4. Bei Allgemeinen Namen Hostname des Lokalen Servers verwenden

f39219e6c75b0a720864e56af5685a38-neues_bild_(4) - Klicke auf das Bild, um es zu vergrößern
bdaf51d58fb83f1adbd6096527d02975-neues_bild_(5) - Klicke auf das Bild, um es zu vergrößern

5. Standard Einstellungen belassen und Weiter

7e684c9092db5c6887c9ba91ac9dc354-neues_bild_(6) - Klicke auf das Bild, um es zu vergrößern


Terminal Lizenzserver auf DC01 Aktivieren

1. Unter Start-> Verwaltung die „Terminalserverlizenzierung“ öffnen und mit Rechten Mausklick auf den Server „Server Aktivierung“ starten, mit Weiter bestätigen.

8a9e8d86ce899d539e05ec214df4eddc-neues_bild_(7) - Klicke auf das Bild, um es zu vergrößern

2. Auswählen ob man über Internet od. Telefon aktivieren möchte, ich hab mich für den Telefon Weg entschieden. (Für diejenigen die einige Lizenzen zu aktivieren haben empfehle ich die Internet Option)

c65a38b6d042e56d0eabc04d2ac6cec4-neues_bild_(8) - Klicke auf das Bild, um es zu vergrößern
6a888bdfe844098301afab972541e755-neues_bild_(9) - Klicke auf das Bild, um es zu vergrößern

3. Land auswählen, Hotline anrufen und Nummer eintragen. Das ganze nochmal pro Cals Lizenz

933d08f40c414e406d547c426a14ab11-neues_bild_(10) - Klicke auf das Bild, um es zu vergrößern
9c989ffc6eef461605c62f29d0377e1c-neues_bild_(11) - Klicke auf das Bild, um es zu vergrößern
b0dc14cb5d8f86fd2eed6b939c3f2c65-neues_bild_(12) - Klicke auf das Bild, um es zu vergrößern


Terminalserver und Tsweb auf TS01 installieren

1. TS01 zur Domain hinzufügen (Rechter Mausklick „Arbeitsplatz“ -> Eigenschaften -> „Computername änderen“ und zur Domain hinzufügen)
2. Unter Systemsteuerung -> Software -> Windows Komponenten folgende Punkte aktivieren
a. Terminalserver
b. Remotedesktop-Webverbindung (Unter Anwendungsserver -> IIS -> WWW -> Details…)

acc255015f220bdaedf24f40c4b1906a-neues_bild_(13) - Klicke auf das Bild, um es zu vergrößern
9f3eb22e9461f3b7de1ad29b73b7488c-neues_bild_(14) - Klicke auf das Bild, um es zu vergrößern

3. Die nächsten Fenster mit „Weiter“ bestätigen

c70c123eb523b3fdad4bb7f01267183a-neues_bild_(15) - Klicke auf das Bild, um es zu vergrößern
ee753fedc83b4a8d577080260da941eb-neues_bild_(16) - Klicke auf das Bild, um es zu vergrößern

4. Lizenzserver am besten gleich eintragen ist aber nicht notwendig

da946f0ce63468933caee4fba8449c0a-neues_bild_(17) - Klicke auf das Bild, um es zu vergrößern

5. Jetzt kommt es drauf an welche Lizenzen man erworben hat

9ca9490a35d69ad19f3837469f642aee-neues_bild_(18) - Klicke auf das Bild, um es zu vergrößern
c7c10f0a5665da44040814cf31b73ed3-neues_bild_(19) - Klicke auf das Bild, um es zu vergrößern


Tsweb umlegen

1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Aktion -> Neu -> Website….

23775ddf99aa1ae7896f9d5b3f61b1b6-neues_bild_(20) - Klicke auf das Bild, um es zu vergrößern

3. Hier kann ein beliebiger Name vergeben werden und mit Weiter fortsetzen

fa2dca0839e6ff8906553a9cd394efce-neues_bild_(21) - Klicke auf das Bild, um es zu vergrößern

4. Standard Einstellungen belassen

da6512269fedfe179175901fa7bcee78-neues_bild_(22) - Klicke auf das Bild, um es zu vergrößern

5. Pfad für die Homepage auswählen (Standard Pfad von Windows)

caa178fef955fba5a058e6cd9ef00084-neues_bild_(23) - Klicke auf das Bild, um es zu vergrößern
(wenn man einen anderen Pfad will muss man nur den Inhalt von Tsweb in den Neuen Ordner kopieren)

6. Nach dem erstellen der Website muss die Standard Website Beendet und die neue Website gestartet werden.

ecd592dac56b56ab0524a40f4b2385ab-neues_bild_(24) - Klicke auf das Bild, um es zu vergrößern



Zertifikat für Terminalserver anfordernden

1. IIS Konsole starten (Start -> Verwaltung -> Internetinformationsdienst-Manager)
2. Rechter Mausklick auf die neue Website und unter Eigenschaften -> Verzeichnissicherheit -> Serverzertifikat wechseln

cf717530a8fde691dee4d66a8da01846-neues_bild_(25) - Klicke auf das Bild, um es zu vergrößern
6daced83ce7000af335ea43c3242523f-neues_bild_(26) - Klicke auf das Bild, um es zu vergrößern

3. Neues Zertifikat beantragen

3d456e8acc45a9a2f45b407d21939090-neues_bild_(27) - Klicke auf das Bild, um es zu vergrößern

4. Anforderung sofort senden

e6735f67af2d8e553f3549b9a10ce4d6-neues_bild_(28) - Klicke auf das Bild, um es zu vergrößern

5. Standard Einstellungen belassen

dfa90f4885bd03dc7f439f97539063a2-neues_bild_(29) - Klicke auf das Bild, um es zu vergrößern

6. Firmenname und Abteilung eingeben (Abteilung ist nicht notwendig)

e6efa3e36be8f2984c3187c9c7311373-neues_bild_(30) - Klicke auf das Bild, um es zu vergrößern

7. Achtung hier muss man auf passen, wird der Terminal Server Firmenintern verwendet muss man nur den Hostnamen eingeben. Wird aber auch von Extern zugegriffen muss man die volle Domain Bezeichnung eingeben (www.terminaltest.at) und auf dem internen DNS Server einen Alias Eintrag setzen.

24761758115561df8f7fe88dffa951c6-neues_bild_(31) - Klicke auf das Bild, um es zu vergrößern

8. Hier braucht man eigentlich nur das Land anzugeben

ce3ce126d1392499f6c6c0e819734335-neues_bild_(32) - Klicke auf das Bild, um es zu vergrößern

9. Standard Einstellungen belassen

7d7d2888279f8a4d43920d6e33ddda16-neues_bild_(33) - Klicke auf das Bild, um es zu vergrößern
10b36d413ad2658f8056d06cd8f47ae6-neues_bild_(34) - Klicke auf das Bild, um es zu vergrößern
9f6edd7475ca56b07d09407f750b0787-neues_bild_(35) - Klicke auf das Bild, um es zu vergrößern

10. Nach dem Fertigstellen SSL für die Website unter Bearbeiten aktivieren

2e985656a1328d67c5c6f5d280f8b831-neues_bild_(36) - Klicke auf das Bild, um es zu vergrößern


Zertifikat in Terminal Dienste einbinden

1. Terminal Dienste öffnen (Start -> Verwaltung -> Terminaldienstkonfiguration)

6410d7736b7b51cf1e0ad796e41b0bef-neues_bild_(37) - Klicke auf das Bild, um es zu vergrößern

2. Rechter Mausklick auf RDP-Tcp und Eigenschaften

a8a0b4b06fe68409de5dc344ccb364d0-neues_bild_(38) - Klicke auf das Bild, um es zu vergrößern

3. Bei Zertifikat auf Bearbeiten und Zertifikat auswählen.

6bd13252e53a6f2501914bdb278093a0-neues_bild_(39) - Klicke auf das Bild, um es zu vergrößern

4. Sicherheitsstufe noch „SSL“ und Verschlüsselungsstufe „FIPS-konform“ und das wars


Remote Sitzung vom Client aufbauen

1. Unter Windows XP od. Vista Remote Desktop starten (min. RDP v5.2 und bei Computernamen, den Namen eintragen der bei der Zertifikats Angabe verwendet wurde)

94c09807c34a59ff486b0b70cefb58a1-neues_bild_(40) - Klicke auf das Bild, um es zu vergrößern
e94e9f9d537893aa4eeca260f1d39127-neues_bild_(41) - Klicke auf das Bild, um es zu vergrößern


Über Gruppenrichtlinen die max. Sicherheit zuweisen

1. Neues GPO auf die Domain erstellen und Zertifikate in VertrauenswürdigeStamm. importieren

e18cdff29e74051b70d3e696813500df-neues_bild_(42) - Klicke auf das Bild, um es zu vergrößern
a77e8ec3f983d7f9dc3c39276c975114-neues_bild_(43) - Klicke auf das Bild, um es zu vergrößern

2. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste „Verschlüsselungsstufe der Clientverbindung“ Aktivieren und Höchste Stufe einstellen

7bb302367610938186d8531092b6adcf-neues_bild_(44) - Klicke auf das Bild, um es zu vergrößern

3. Unter Computer -> Administrative vorlagen -> Windows Komponenten -> Terminaldienste -> RPC Sicherheit Richtlinien „Sicherer Server“ aktivieren

e78dda522293225933befb5d6018182a-neues_bild_(45) - Klicke auf das Bild, um es zu vergrößern

4. Unter Computer -> Windows Einstellungen -> Sicherheit Einstellungen -> Lokale Richtlinien -> Sicherheit Optionen „FIPS-konform …“ Aktivieren

940916e33993d8abe4fc585db7fa53a6-neues_bild_(46) - Klicke auf das Bild, um es zu vergrößern






Fragen und Antworten

Warum 2 Server und warum nicht alles auf ein Server installieren?
Es gibt zwei relative einfache Antworten drauf:
- Microsoft empfiehlt Terminal Server auf einen eigenen Server zu betreiben da auf diesen nur die Anwendungen für die Benutzer laufen sollen und keine Server Dienste (AD, SQL, IIS,..)
- Weiteres wird AD und Terminal auf ein Server von Microsoft nicht Supportet

Was ist Tsweb und für was wird es Eigesetzt?
- Tsweb ist eine kleine HTML basierende Website die über eine ActiveX Komponente eine Remote Desktop Sitzung startet ohne das man RDP lokal installiert ist. (IE und Aktiviertes Addon ist Voraussetzung)

Wie passt Tsweb in dieses Szenario?
- Für die einfache und schnelle Anforderung eines Zertifikats ist eine Webseite notwendig und dies schien mir eine gute Wahl zu sein.

Warum Tsweb umlegen?
- Auf die Default Einstellungen wird gerne Attacken durchgeführt (siehe Google Suche „hacke tsweb“)

Wenn ich versuche Tsweb nach dieser Anleitung zuöffnen bekomme ich eine Fehlermeldung?

efa266a24482241fb29a15e0c42679c3-neues_bild_(47) - Klicke auf das Bild, um es zu vergrößern
- Das liegt daran das AktiveX die Option "SSL" nicht unterstützt

Wer aber trotzdem Tsweb verwenden will muss nur in den Terminalverbindungsdiensten auf "Aushandeln" einstellen. (Achtung bei dieser Option kann sich jeder RDP Client verbinden)

a8e96f796ee90d01ada57fb8a9525c6b-neues_bild_(48) - Klicke auf das Bild, um es zu vergrößern



Nach dem Verbindungsaufbau wird mir trotzdem nicht das Gelbe Schloss angezeigt??
Tja das kann drei Gründe haben:
- Falscher Hostname od. UPN (keine IP Adressen verwenden)
- man hat Aushandeln eingestellt und es wird ein alter RDP Client verwendet
(Cert. wird erst unter RDP v5.2 unterstützt)
- Zertifikatsfehler (Im RDP Client Cert Warnung einstellen, siehe Bilder unten)
Die Default Einstellung "Deaktiviert"

RDP 5.2

e15fc0081f2c349afb6badafe2004df8-neues_bild_(49) - Klicke auf das Bild, um es zu vergrößern

RDP 6.1

31a3dc39802638d0405f4ebe15b68d18-neues_bild_(50) - Klicke auf das Bild, um es zu vergrößern

Fehler Anzeigebei Falschen Cert od. Hostnamen:

c1a039ea4445ef984a53b30b1286cad7-neues_bild_(51) - Klicke auf das Bild, um es zu vergrößern

Wenn ich Tsweb für das Internet freigebe komme ich zwar auf die Website bekomme aber keine Verbindung zum Server ??
- Port Weiterleitung auf der Firewall kontrollieren (HTTPS TCP 443 + RDP TCP 3389)
Bitte nicht Tsweb mit TS Gateway im Windows Server 2008 vergleichen, hier muss sehr wohl noch der RDP Port 3389 freigeben werden.



So das wars jetzt.
Mit freundlichen Grüßen Ghost4810
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...