RDS 2012R2 - Zertifikate

[Forseti2003 14]

Guten Morgen in die Runde,

 

stelle mal gerade wieder fest, Zertifikate sind nicht so mein Ding. Vorab der Aufbau:

 

1x Sessionbroker / RD-Gateway / WebAccess

6x RD-Sitzungshosts

2x Domaincontroller

1x Stammzertifizierungsstelle (für intern)

 

Alle Server sind auf Windows Server 2012 R2 installiert.

 

Anmeldungen erfolgen an die RDS-Sammlung alle intern mittels VPN aus den Subnetzen.

Zur Anmeldung kommt eine gemischte Landschaft: Windows10, 7, XP, ThinClients (Liscon/Igel)

 

Gestern lief das Zertifikat für den Sessionbroker aus, habe dieses erneuert und mir dabei gedacht,

das es praktisch wäre eine Wildcard-Zertifikat einzusetzen um die Zertifikats-Bestätigungen auf den Win-PC's

zu minimieren. Habe ein Zertifikat beantragt, alle Server die damit involviert sind eintragen lassen und

beim Sessionbroker im ServerManager bei Bereitstellung eingetragen, gleichzeitig dieses Zertifikat an die Hosts

importiert und dort eingebunden.

 

Danach konnte kein User mehr sich am System anmelden, außer er hat bei der MSTSC die Warnung ausgeschaltet.

Der Hinweis war der Fehlermeldung war auf Sperrzertifikate - aber an jedem PC ist das Root-Zertifikat installiert.

 

Danach habe ich die Hosts wieder zurück gestellt auf ihre ursprüngliche Zertifikate, bzw. hab diese auch erneuert,

wenn diese am ablaufen waren.

 

Ergebnis: Es konnten sich soweit wieder User anmelden, mit Ausnahme an einem Host - dieser verweigerte

dann mit dem Hinweis auf 0x607 Authentifizierungsfehler.

 

Dort nochmal alle Zertifikate rausgeworfen, aus der Bereitstellung geworfen, die RD-Dienste neuinstallieren lassen,

wieder eingebunden - selbes Problem.

 

An was könnte das liegen? Im Prinzip sind alle Hosts geklont und bei jedem Server hab ich den selben Schritt gemacht (mein ich zumindest)

Aber irgendwie will es nicht wirklich funktionieren.

 

Hab mir zwar im Netz auch schon einige ToDo's zum Thema Zertifikate angesehen, aber ich werde daraus nicht schlau,

wo mein Fehler liegt. Verstehe auch nicht, wieso das WildCard nicht geklappt hat.

 

Zweites Problem was mir nun noch auffällt, was aber wohl eine Randerscheinung sein dürfte: ein XP-Rechner will sich überhaupt nicht

mehr verbinden, egal was wir machen.

 

Drittes Problem: Wenn wir die MSTSC vom RDWeb runterladen lässt sich an dieser nichts verändern, selbst wenn man nur den Benutzernamen einträgt,

führt dies zu einer "Beschädigung der Remotedatei" und ist damit unbrauchbar.

 

Also wenn einer zu einem der Punkte eine Idee hat, ich bin ganz Ohr.

 

Grüße

Forseti

[Squire 210]

Hallo,

 

so ganz werd ich nicht schlau ... Du schreibst, dass Du ein Wildcard zertifikat beantragt hast und dann wiederum alle Hosts sind darin eingetragen .. was denn nun .. Wildcard (*.domain.local) oder SAN (host1.domain.local,host2.domain.local,...)

 

Ich würde ggf. die Gültigkeitsdauer der internen Zertifikate hochsetzen ... (wir haben die für interne Server auf 5 Jahre gesetzt - da fliegen die so wieso spätestens raus).

 

So wie sich das aber liest, dann passt was mit dem Veröffentlichen der Zertifikatssperrliste nicht. Normalerweise sollten die Clients einfach das neue Zertifikat schlucken, so die interne CA sauber veröffentlicht ist und die Sperrlisten ebenso.

 

Du schreibst die Host sind gecloned? Sysprep gemacht?

[Forseti2003 14]

Stimmt, sorry war ein SAN. Die Hosts selbst sind aber nicht das Problem, die laufen ja alle. Nur einer weigert sich.

Da ich bis dato die Ursache dazu nicht rausgefunden habe, werde ich aber einfach den Host rausnehmen und löschen und einen weiteren klonen, der seinen Platz wieder einnimmt.

 

Mich hätte nur interessiert, was sowas auslöst.

[Squire 210]

wie klonst Du? Machst Du auch ein Sysprep?