Zertifikatsmeldung bei RDS 2012

[lnino1982 0]

Hallo an alle,

 

ich bin neu in diesem Forum und hoffe ihr könnt mich bei meinem "Problem" unterstützen.

 

Ich arbeite in der IT in einem mittelgroßen Unternehmen und möchte ein RDS für den externen Zugriff den Mitarbeitern zu Verfügung stellen.

Meine Spezialgebiete sind VMWare(VCP), Storage, DR, Monitoring und Netzwerk.

 

In puncto Zertifikate bin ich leider nicht sehr erfahren.

 

Nun zur Problemstellung:

Habe einen Server 2012 in einer virtuellen Maschine installiert "srv1.firmaXY.local" und dort die Rollen "RD-Verbindungsbroker", "RD-Sitzungshost", RD-Gateway", "RD-Lizensierung" und "Web Access für Remotedesktop".

 

Portweiterleitung von 443 auf der Firewall zu der IP des "srv1.firmaXY.local".

Externen DNS Eintrag erstellt auf den Namen "terminal.firmaXY.com".

 

Wir haben ein SAN Zertifikat bei GoDaddy gekauft (Schon vor einem Jahr)

Ausgestellt auf "mail.firmaXY.com" mit den Zusätzen "vpn.firmaXY.com", "terminal.firmaXY.com", etc.

 

Auf dem Server "srv1.firmaXY.local" habe ich dieses Zertifikat bei den Bereitstellungseigenschaften "Remotedesktop-Verbindungsbroker SSO", "Remotedesktop-Verbindungsbroker Publish" "Web Access" und "RD-Gateway" eingespielt. Status laut Manager ist auf OK und Vertrauenswürdig.

 

Wenn ich nun von extern den Link "https://terminal.firmaXY.com"aufrufe komme ich auf die Seite für das RemoteApp.

Das Schloss in der Adresszeile ist geschlossen und vertrauenswürdig.

Ich kann mich mit meinem AD Account anmelden.

Wenn ich nun ein Programm wie Paint oder Calculator anklicke erscheint folgende Meldung:

 

Ich habe schon probiert von dem Zertifikat "mail.firmaXY.com" den SHA1 Fingerabruck in den lokalen Richtlinien einzutragen. Aber ohne Änderung.

 

Klappt das überhaupt mit dem SAN Zertifikat, oder muss ich hier ein dediziertes Zertifikat kaufen welches auch für "remote.firmaXY.com" ausgestellt wurde?

 

Um generell die Fehler zu minimieren, hab ich auch den FQDN des zu veröffentlichenden Servers mittels Skript angepasst.

Dieser lautete zuvor natürlich wie der interne Name des Servers -> srv1.firmaXY.local

Nach der Änderung lautet dieser auch auf "terminal.firmaXY.com"

https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

 

Habt ihr eine Idee wo hier das Problem liegt?

 

Vielen Dank schon mal im Vorraus für Eure Unterstützung.

 

[lnino1982 0]

Hat keiner einen Rat für mich? :-)

[lnino1982 0]

Habe mich nun weiter mit der Materie beschäftigt.

 

Anbei der aktuelle Stand:

 

Ich habe nun den Powershell Befehl für den "Redirect to an alternative Name" ausgeführt.

 

Set-RDSessionCollectionConfiguration –CollectionName QuickSessionCollection -CustomRdpProperty "use redirection server name:i:1 `n alternate full address:s:remote.xxx.com"

 

Ich denke der Befehl ging durch. Er spring in der PowerShell einfach in die nächste Zeile.

 

Wie oben beschrieben habe ich einen einzelnen RDS 2012 Server in einer .local Domäne(srv1.xxx.local). Auf diesem sind alle Rollen für das RDS installiert. Diesen möchte ich extern(remote.xxx.com) mit einem godaddy Zertifikat zugänglich machen. Das remote.xxx.com Zertifikat habe ich auf allen Rollen installiert.

Ich habe nun folgende zwei Szenarien:

 

 

Szenario 1

 

Wenn ich den FQDN unverändert lasse. Also den Power Shell Befehl ./Set-RDPublishedName.ps1 "remote.xxx.com" NICHT ausführe, dann kann ich mich ohne Probleme von extern via WebBrowser anmelden. Nur erscheint beim anklicken einer RemoteApp diese Fehlermeldung:

 

 

Wenn ich auf Ja klicke, dann öffnet sich das Programm Paint.

 

 

Szenario 2:

 

Wenn ich den FQDN ändere. Also den Power Shell Befehl ./Set-RDPublishedName.ps1 "remote.xxx.com" ausführe, dann sieht es wie folgt aus:

 

 

Hat jemand eine Idee was ich hier noch machen könnte?

Ich hätte gern, dass alles von extern mit dem GoDaddy Zertifikat abgesichert ist, obwohl mein RDS Rechner auf .local endet. Und die Zertifikatmeldungen sollen ausbleiben.