Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Windows Server 2016 Grundkurs: Remotedesktopdienste

Die Remote Desktop Protocol (RDP)-Zertifikate anpassen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Die Sicherheit innerhalb der Remotedesktopdienste basiert zum einem großen Teil auch auf Zertifikaten. Anstatt die standardmäßig angelegten selbstsignierten Zertifikate zu verwenden, sollten Sie auf Zertifikate eines kommerziellen Anbieters oder auf die Active Directory-Zertifikatsdienste setzen.
10:31

Transkript

Die Sicherheit in den Remotedesktopdiensten basiert zu einem großen Teil auch auf Zertifikate. Standardmäßig werden in den Remotedesktopdiensten selbstsignierte Zertifikate verwendet, zum Beispiel für Web Access oder für das Remotedesktopgateway. Sie sollten allerdings so schnell wie möglich eigene Zertifikate verwenden und hier eben entweder auf Zertifikate eines Zertifikateherstellers setzen oder auf die Active-Directory-Zertifikatsdienste. Die Konfiguration der Zertifikate nehmen Sie im Server-Manager vor, wenn Sie die Remotedesktopdienste aufgerufen haben. Und hier finden Sie im unteren Bereich die "Bereitstellungsübersicht". Über die "Aufgaben" können Sie die Bereitstellungseigenschaften bearbeiten und hier können Sie jetzt die übergeordneten Konfigurationen für alle Remotedesktop-Sitzungshosts vornehmen und hier eben auch für alle Sammlungen. Für die Zertifikate besonders wichtig ist hier der Bereich "Zertifikate". Und hier sehen Sie die verschiedenen Dienste, die mit Zertifikaten arbeiten. Das ist zum einen der Verbindungsbroker bezüglich der Sicherheit und natürlich auch entsprechend Web Access. Das Remotedesktopgateway ist hier in dieser Umgebung noch nicht konfiguriert, daher ist diese Umgebung hier deaktiviert, aber wenn Sie das Remotedesktopgateway konfiguriert haben, müssen Sie auch hier eben die entsprechenden Einstellungen vornehmen. Wenn Sie eine Umgebung eingerichtet haben, sollten Sie also so schnell wie möglich darauf achten, dass die Zertifikate korrekt hinterlegt sind. Der einfachste Weg, um die Zertifikate in den Remotedesktopdiensten einzubinden, besteht darin, dass Sie eine interne Active-Directory-Zertifikatsumgebung verwenden und auf den entsprechenden Servern über den IIS-Manager, den Sie zum Beispiel über die Verwaltungstools unter "Windows Server" starten können, die Zertifikate auf dem Server abrufen. Sie können natürlich auch problemlos über den Assistenten, den ich Ihnen dann gleich zeige, zur Verwaltung der Remotedesktopdienste auch PFX-Dateien oder eben Zertifikate anderer Hersteller verwenden. Hier bin ich jetzt mit dem IIS-Manager für meinen Remotedesktop-Sitzungshost verbunden und kann jetzt hier per Doppelklick die Serverzertifikate verwalten, die hier auf diesem Server verfügbar sind. Ich verwende jetzt hier ein Domänenzertifikat, damit ich das Zertifikat auch für verschiedene andere Zugriffe verwenden kann, gebe als Namen den Namen des Servers ein, fülle den Rest so aus, dass er meinen Anforderungen entspricht. Wichtig ist nur, dass der gemeinsame Name entsprechend passt. Danach kann ich festlegen, wo möchte ich denn gerne mein Zertifikat abrufen. Hier gibt es jetzt in dieser Umgebung verschiedene Zertifizierungsstellen, die ich verwenden kann. Ich möchte jetzt hier diese Zertifizierungsstelle verwenden. Als Anzeigename verwende ich "RDS-Zertifikat". Das Ganze wird jetzt bei der Zertifizierungsstelle entsprechend abgerufen. Das ist der Vorteil der Active-Directory-Zertifizierungsdienste, denn hier kann ich wirklich überall innerhalb der Verwaltungstools von MICROSOFT arbeiten und die Zertifikate verwenden. Wenn Sie aber nur für die Zertifizierung der Remotedesktopdienste Zertifikate benötigen, müssen Sie natürlich nicht gleich eine komplette Zertifikatumgebung betreiben, sondern können eben auch das Ganze aus dem Internet verwenden. Die Zertifizierungsstelle in meiner Testumgebung scheint jetzt hier nicht mehr zu funktionieren, das heißt, ich verwende jetzt hier einfach eine andere Zertifizierungsstelle, die ich in meiner Umgebung konfiguriert habe und hier werden jetzt ebenfalls die Zertifikate eingelesen. Sie sehen, das Ganze dauert nur wenige Sekunden. In einer produktiven Umgebung sollte hier natürlich keine Fehlermeldung erscheinen, aber wenn eine Fehlermeldung erscheint, sehen Sie, spielt das auch keine Rolle. Dann können Sie in diesem Beispiel, wenn Sie eine Testumgebung verwenden, einfach eine andere Zertifizierungsstelle verwenden. Ich zeige Ihnen in diesem Beispiel dann auch, wie Sie mit exportierten Zertifikaten arbeiten können, wenn Sie ein Zertifikat nicht mit dem IIS-Manager konfiguriert haben. In diesem Fall verwenden Sie die lokalen Zertifikate auf dem Server, die Sie mit "certlm.msc" aufrufen. Und hier finden Sie für den lokalen Server den Bereich "Eigene Zertifikate" "Zertifikate". Hier sind die Zertifikate zu erkennen, die auf dem Server installiert sind. Hier sehen Sie auch das von mir gerade eben installierte RDS-Zertifikat. Wenn Sie ein anderes Zertifikat verwendet haben und installiert haben, steht dieses ebenfalls in der Liste und Sie können es hier über das Kontextmenü und den Bereich "Alle Aufgaben" exportieren, eben mit einem Assistenten exportieren. Das mache ich jetzt hier. Ich lasse den privaten Schlüssel hier gleich mit exportieren. Das Ganze wird als PFX-Datei exportiert. Ich möchte hier keine Schlüssel löschen, ich möchte alle erweiterten Eigenschaften ebenfalls exportieren lassen. Der Export wird jetzt hier noch mit einem Kennwort geschützt. Das stellt sicher, dass die Zertifikatdatei nur importiert werden kann, wenn das Kennwort vorliegt. Ich lasse das Zertifikat auf den Remotedesktop direkt auf den Desktop exportieren, schließe das Fenster. Hier sehen Sie jetzt die Datei, die Endung wird jetzt hier nicht angezeigt. Das Ganze ist eine Einstellung im Explorer und hier kann ich im Explorer bei "Ansicht" festlegen, dass bei "Ein-/ausblenden" auch die Dateinamenerweiterungen angezeigt werden. Hier sehen Sie jetzt die PFX-Datei. Das Zertifikat können Sie jetzt auf verschiedenen Wegen in die Umgebung einbinden. Ich verwende jetzt dazu hier den Server-Manager. Dieser liest jetzt hier alle installierten Serverdienste ein. Ich wechsle zu den Remotedesktopdiensten, es wird jetzt hier eine Verbindung zum Remotedesktop-Verbindungsbrokerserver hergestellt. Jetzt kann ich hier bei der "Bereitstellungsübersicht" die Bereitstellungeigenschaften bearbeiten, kann hier die Zertifikate bearbeiten und kann jetzt hier ein vorhandenes Zertifikat auswählen. Ich könnte jetzt hier ein gespeichertes Zertifikat verwenden, möchte jetzt aber hier das Zertifikat verwenden, das ich aktuell jetzt hier exportiert habe. Das liegt hier als PFX-Datei vor. Das Kennwort, das ich zuvor beim Export eingegeben habe, brauche ich jetzt auch für den Import und hier kann ich auch gleich festlegen, dass das Zertifikat auch gleich zu den vertrauenswürdigen Zertifizierungsstellen hinzugefügt wird. Das vermeidet, dass die Benutzer Zertifikatfehlermeldungen erhalten. Das Ganze dauert einige Sekunden. Jetzt wird hier das Zertifikat als "Erfolgreich" integriert angezeigt, der Status ist "OK" und die Stufe des Zertifikats ist auch "Vertrauenswürdig". Auf dem gleichen Weg könnte ich jetzt hier die anderen Dienste ebenfalls mit dem Zertifikat versorgen, kann auch hier das Zertifikat zu den vertrauenswürdigen Stammzertifizierungsstellen hinzufügen. Mit "Anwenden" wird das Ganze umgesetzt und so kann ich nach und nach für meine einzelnen Remotedesktopdienste das Zertifikat hinterlegen. Auch hier wähle ich ein vorhandenes Zertifikat. Auch hier wähle ich jetzt wieder die PFX-Datei, gebe das Kennwort ein, lege fest, dass das Zertifikat zu den vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt wurde. Das ist zwar bereits der Fall, das wird aber hier jetzt durch den Assistenten erneut überprüft. Achten Sie darauf, wenn Sie das Remotedesktopgateway konfigurieren, dass Sie auch für dieses ein Zertifikat verwenden müssen, da das Zertifikat ansonsten selbstsigniert ist und hier ebenfalls Fehlermeldungen verursacht. Wenn ich die Konfiguration jetzt bestätige, sind die Zertifikate hinterlegt. Ich kann hier in der "Bereitstellungsübersicht" jederzeit über die "Bereitstellungseigenschaften" die Zertifikate abrufen, also Informationen anzeigen und eben neue Zertifikate ausstellen. Den entsprechenden Antragstellernamen sehe ich hier im unteren Bereich. Ich kann hier auch die Details des Zertifikats genau anzeigen, genauso wie den Fingerabdruck, den ich zum Beispiel für PowerShell-Befehle benötige, wenn ich das Zertifikat auch auf anderen Servern zentral über Skripte bereitstellen möchte. Wenn ich jetzt auf einen Server oder auf eine Arbeitsstation zum Beispiel Remote Desktop Web Access aufrufe, erhalte ich hier keine Zertifikatewarnung mehr, wenn sich die Rechner in der gleichen Domäne befinden beziehungsweise das Zertifikat der Zertifizierungsstelle integriert ist. Hier kann ich mir über die Anzeige des Zertifikats anzeigen lassen meine Zertifizierungsstelle, die ich verwendet habe und diese hat diese Seite hier, also diese Webseite, als "ml30.joos.int" über das Zertifikat authentifiziert. Ich kann das Zertifikat hier anzeigen. Das Zertifikat garantiert die Identität des Remotecomputers und so vermeiden Sie eben Fehlermeldungen bezüglich der Zertifikate, wenn Sie mit eigenen Zertifikaten arbeiten. Sie müssen, wie gesagt, dazu nicht unbedingt die Active-Directory-Zertifikatsdienste verwenden. Das ist zwar bequem und geht relativ schnell, vor allem in Testumgebungen oder kleineren Umgebungen, aber gerade in kleineren Umgebungen kann es sinnvoll sein, dass Sie sich externe Zertifikate kaufen, da Sie sich dadurch die Verwaltung der Zertifizierungsdienste ersparen, denn Sie müssen diese auch sichern und wenn es zu Abstürzen kommt und Sie etwas wiederherstellen müssen, verlieren die Zertifikate natürlich ihre Glaubwürdigkeit und Sie müssen unter Umständen die Konfiguration erneut vornehmen. Auf der anderen Seite ist die Einrichtung der Zertifizierungsstellen in Active Directory recht schnell abgeschlossen und die Zertifikate sind auch sehr schnell in den Remotedesktopdiensten integriert.

Windows Server 2016 Grundkurs: Remotedesktopdienste

Lernen Sie die Installation, Vewaltung und Optimierung der Remotedesktopdienste des Windows Server 2016.

2 Std. 11 min (17 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Exklusiv für Abo-Kunden
Ihr(e) Trainer:
Erscheinungsdatum:10.05.2017
Laufzeit:2 Std. 11 min (17 Videos)

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!