Wer mehr als einen RDS-Server im Einsatz hat, der möchte ja in der Regel die Server zu einer Farm zusammenfügen. Im Zusammenspiel mit einem Connection Broker hat dies den Vorteil, das ein Benutzer bei der Verbindung zu der Farm immer auf den Server mit der geringsten Last verteilt wird. Falls ein oder mehrere Server nicht verfügbar sein sollten, wird die Verbindung trotzdem zu einem anderen, erreichbaren Server aufgebaut. Wenn man keine Anpassungen an den Servern macht stellen sich die Systeme selbst ein Zertifikat aus. Hierbei entsteht allerdings das Problem, das bei einem Verbindungsaufbau entweder der Browser oder der RDP-Client eine Warnung bringt und das selbst signierte Zertifikat anmerkt.
Umgehen kann man diese Meldung, indem man mit seiner eigenen PKI (siehe hierzu: Einrichten einer Microsoft PKI mit Windows Server 2008 (R2) ) ein Zertifikat erstellt. Da man dieses Zertifikat allerdings an mehreren Stellen einbinden muss, werde ich in diesem Artikel erläutern, an welchen Stellen man das Zertifikat austauschen muss, um einen Fehlerdialog-freien Programmaufruf hinzubekommen.
In unserem Fall gehen wir davon aus, das die einzelnen Server RDS1.contoso.loc, RDS2.contoso.loc und RDS3.contoso.loc heißen. Der gemeinsame Farmname lautet RDSFarm.contoso.loc. Zu erreichen ist die Farm per Internet Explorer unter der Adresse https://RDSFarm.contoso.loc/Rdweb
Damit die Adresse ohne Zertifikats-Fehlermeldung aufgerufen werden kann, muss auf jedem RDS-Server im IIS das gleiche Zertifikat eingespielt werden, und zwar ein Webserver-Zertifikat, welches für den Namen RDSFarm.contoso.loc ausgestellt wurde. Konfiguriert wird das Zertifikat hier:
Nun erscheint beim Aufruf der Adresse im Browser nicht mehr das selbst generierte Zertifikat des IIS, sondern das soeben ausgewählte Zertifikat mit dem Farm-Namen.
Der nächste Ort, an dem das Zertifikat eingetragen werden muss, ist auf dem Connection Broker. Dort muss das Zertifikat zweimal eingetragen werden, und zwar an den folgenden Stellen:
Die nächsten Server, auf denen wir das Zertifikat ändern müssen, sind die RDS-Server. Die Einstellungen werden an den folgenden Stellen geändert:
Was mir aufgefallen ist, das man im “RemoteApp-Manager” evtl. erstellte msi- oder rdp-Dateien nicht nochmal erstellen muss, nachdem man das Zertifikat an einer Stelle ausgetauscht.
Wichtig: Das erstellte Zertifikat für die Farm (und alle anderen mit der lokalen PKI erstellten Zertifikate) “funktionieren” nur, wenn man das Zertifikat der PKI in dem lokalen Speicher “Vertrauenswürdige Stammzertifizierungsstellen” hat.
Genau das Problem mit Zertifikatsfehlern habe ich seit 6 Mte auf einer Win2008 Umgebung. Genau oben beschriebenes Obiges habe ich damals gemacht, hat aber nichts gebracht.
Bei mir erscheint beim Connect via Webaccess die Meldung das der Zertifikatsname nicht mit dem Servernamen übereinstimmt. Dies daher weil ich via http://www.meins.com auf den Sessionbroker connecte, der Sessionbroker connected dann auf einen der Terminalserver…allerdings natürlich via internem DNS Roundrobin Eintrag der Windows Domäne z.B tsfarm.internedomain.local. Und die stimmt sinnigerweise nicht mit dem offiziellen Zertifikatnamen welcher via Internet erreichbar ist überrein.
Hallo Tom,
du musst auf den RDS-Servern ebenfalls die Zertifikate anpassen…
Pingback:Remotedesktopverbindung über “RemoteApp- und Desktopverbindung” zeigt eine Warnung bei der Verbindung zu einem Server « Technikblog
Hallo Jan,
ich bin aktuelle auch an dieser Materie dran. Wir haben es so eingerichtet bekommen wie Du es beschrieben hast. Mein Problem liegt jetzt in der Verlängerung dieses Farm Zertifikates. Natürlich habe ich noch nie etwas mit Zertifikaten zu tun gehabt, das alte Spiel – du machst das schon!?
Wir haben auch eine Zertifizierungsstelle, kann mich aber noch daran erinnern das jedes Zertifikat manuell auf den Server eingespielt wurde.
Könntest Du vielelicht in deinem Artikel erläutern wie eine Verlängerung zu realisieren ist? An welchen Stellen man dies tun muss und ob es Sinn macht eine längere Laufzeit einzustellen sind dabei besonders interessant.
Für den Artikel oben sei mein Dank ausgesprochen, der ist auch Top gemacht.
Viele Grüße
Maik