wicksupport 10 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Umgebung: Windows Domäne mit RDS 2022 (kein Cluster - alle Rollen auf dem Server installiert). Der Server lief mit dem HTML5 Client ohne Probleme. Da die Zertifikate abgelaufen sind, haben wir die neuen Zertifikate hinterlegt. Dabei handelt es sich um eine .pfx Datei von unserem Exchange Server. Der Exchange Server hat die CSR Datei für die CA erstellt (offizielle CA mit Zwischenzertifikat, keine interne CA). Die .pfx Datei wurde sowohl in den Bereitstellungseigenschaften (alle 4 Rollendienste), als auch beim RDWebClientBrokerCert (Import-RDWebClientBrokerCert c:\temp\zertifikat.pfx -PromptforPassword) hinterlegt. Dennoch kommt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support." Wo können wir ansetzen, um den Fehler zu beheben? Gruß wicksupport
Nobbyaushb 1.580 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Welches Zertifikat ist im IIS angebunden?
wicksupport 10 Geschrieben 11. Juli 2022 Autor Melden Geschrieben 11. Juli 2022 Die gleiche .pfx Datei wurde importiert.
NilsK 3.045 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Moin, wenn es sich um das Zertifikat eures Exchange-Servers handelt, ist das auf dem RDS ja auch nicht richtig. Ein Zertifikat soll dem Client belegen, dass er es mit dem richtigen Server zu tun hat. Wenn der RDS das Zertifikat des Exchange-Servers präsentiert, trifft das ja nicht zu. Es muss schon ein Zertifikat sein, das zu dem RDS-Server gehört. Gruß, Nils
chrismue 109 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 vor 8 Minuten schrieb wicksupport: Die gleiche .pfx Datei wurde importiert. Und hast du es unter Bindungen auch ausgetauscht? Gruß chrismue
wicksupport 10 Geschrieben 11. Juli 2022 Autor Melden Geschrieben 11. Juli 2022 Hatte vergessen dazuzusagen, dass es ein wildcard-Zertifikat ist, das wir dafür nutzen. Es gibt kein spezielles Zertifikat für den RDS oder den Exchange extra. vor 1 Minute schrieb chrismue: Und hast du es unter Bindungen auch ausgetauscht? Gruß chrismue Ja, bei der Default Web Site
testperson 1.857 Geschrieben 11. Juli 2022 Melden Geschrieben 11. Juli 2022 Hi, netsh http show sslcert zeigt überall den Hash bzw. Thumbprint vom neuen Zertifikat? Gruß Jan
wicksupport 10 Geschrieben 11. Juli 2022 Autor Melden Geschrieben 11. Juli 2022 Ja, der Hashwert stimmt überein.
wicksupport 10 Geschrieben 12. Juli 2022 Autor Melden Geschrieben 12. Juli 2022 Ich habe noch folgendes getestet: Aufruf über https://realerservername.domäne1.de > Aufruf von RD Sitzung aus angelegter Sammlung geht ohne Probleme Aufruf über https://rds.domäne2.de > Aufruf von RD Sitzung aus angelegter Domäne gibt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support." In den Bereitstellungseigenschaften ist bei Remotedesktopgateway unter Servername "rds.domäne2.de" angegeben. Das Wildcardzertifikat ist ausgestellt auf *.domäne2.de Der Eintrag rds.domäne2.de wird über einen CNAME Eintrag im DNS gesetzt und wird auch korrekt aufgelöst. Die gleiche Konfiguration lief bis das alte *.domäne2.de Zertifikat abgelaufen ist. Gibt es hier noch Lösungsansätze?
wicksupport 10 Geschrieben 12. Juli 2022 Autor Melden Geschrieben 12. Juli 2022 Nach dem Eintragen von folgendem Schlüssel: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp] "UseCachedCRLOnlyAndIgnoreRevocationUnkownErrors"=dword:00000001 ging der Aufruf der Seite wieder ohne Probleme.
NilsK 3.045 Geschrieben 12. Juli 2022 Melden Geschrieben 12. Juli 2022 Moin, kann man machen, ist aber ein sehr heikler Workaround. Effektiv weist du das System damit an, abgelaufene Zertifikatssperrlisten zu verwenden. Kann man machen, wenn man weiß, was man tut. Ist aber vom Prinzip her natürlich nicht so vorgesehen, aus gutem Grund, Gruß, Nils
tesso 384 Geschrieben 12. Juli 2022 Melden Geschrieben 12. Juli 2022 (bearbeitet) Dann kann wohl die CRL nicht aufgelöst/geladen werden oder sie ist veraltet. bearbeitet 12. Juli 2022 von tesso
flyingandy 0 Geschrieben 9. Januar Melden Geschrieben 9. Januar Wenn das Serverzertifikat erneuert wurde und über das Verwaltungscenter neu gebunden wurde, muss man noch mit der Poweshell das neue Zertifikat in den Broker einlesen: Import-RDWebClientBrokerCert "Path\cert.cer" anschliessend funktioniert das Starten der Apps wieder einwandfrei.
Damian 1.793 Geschrieben 9. Januar Melden Geschrieben 9. Januar @flyingandy Hallo und Willkommen on Board! Das Board hat dir vor dem Posten einen Hinweis bezüglich des Themenalters angezeigt. Dieser Hinweis existiert aus gutem Grund, bitte beim nächsten Mal beachten. Danke. VG Damian
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden