Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Windows Server 2012 R2: Remotedesktopdienste

Zertifikate automatisiert zuweisen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
In den Zertifikatdiensten können Sie eigene Vorlagen für Zertifikate anlegen und diese über Gruppenrichtlinien verteilen lassen. Welche Schritte Sie dazu durchführen müssen, erfahren Sie in diesem Film.
10:59

Transkript

Wenn Sie mit Zertifikaten bei den RD-Diensten arbeiten, erstellen Sie zunächst, in der Zertifikatvorlagenkonsole Ihrer Zertifikatumgebung, eine neue Vorlage für RemoteDesktop. Nachdem Sie diese Vorlage erstellt haben, müssen Sie diese im Netzwerk noch breitstellen, das heißt, Sie müssen die Zertifikatdienste so konfigurieren, dass diese die neue Zertifikatvorlage verwenden. Dazu schließen Sie die Zertifikatvorlagenkonsole und öffnen die Konsole zur Verwaltung der Zertifikatinfrastruktur. Dazu geben Sie einfach Ihr Zertifikat auf der Startseite ein und hier öffnet sich dann die Verwaltungskonsole der Zertifizierungsstelle, wenn Sie diese auswählen. Sie sehen hier den Zustand der CA, die wird mit einem grünen Haken angezeigt, das heißt, die Zertifizierungsstelle funktioniert. Klicken Sie auf Zertifikatvorlagen, sehen Sie die Zertifikatvorlagen, die aktuell in der Umgebung zur Verfügung stehen, also welche die Umgebung austeilen kann und hier sehen Sie, dass die von Ihnen erstellte Zertifikatvorlage für den RemoteDesktop noch nicht zur Verfügung gestellt wird. Damit diese zur Verfügung steht, müssen Sie über das Kontextmenü erst Neu und dann Auszustellende Es erscheint jetzt ein Fenster mit allen verfügbaren Zertifikatvorlagen, die Sie in der Zertifikatvorlagenkonsole verwalten. Hier gibt es auch die von Ihnen erstellte Vorlage für den RemoteDesktop, die Sie mit OK in die Umgebung einbinden Sie sehen das hier für die Authentifizierung der RemoteDesktop-Diensteserver. Wenn diese Vorlage hier zur Verfügung steht, haben Sie jetzt die Möglichkeit, Zertifikate auf Basis dieser Vorlage, im Netzwerk zu installieren. Der nächste Schritt würde jetzt darin bestehen, dass Sie entweder auf den RemoteDesktop-Servern das Zertifikat manuell installieren oder dass Sie noch besser über Gruppenrichtlinien das Zertifikat automatisiert im Netzwerk verteilen. Die Verteilung über Gruppenrichtlinien erfolgt über die Gruppenrichtlinienverwaltungskonsole. Ich starte diese jetzt mal auf diesem Server, indem ich auf gpedit.msc suche. Es macht natürlich Sinn, wenn Sie für diese Richtlinie eine eigene Gruppenrichtlinie erstellen, also ein eigenes Gruppenrichtlinienobjekt, mit welchem Sie nur speziell dieses Zertifikat verteilen. Sie können natürlich auch, in Umgebungen mit weniger Gruppenrichtlinien, direkt die Richtlinie verwalten, die auf dem lokalen Server gesetzt ist, beziehungsweise die Standarddomänenrichtlinien verwenden. Mit gpedit.msc bearbeiten Sie lokale Richtlinien, hier könnten Sie lokal konfigurieren, dass das Zertifikat installiert ist, besser geeignet auf Domain Controllern ist allerdings die Gruppenrichtlinienverwaltungskonsole. Diese starten Sie, wenn Sie nach Gruppenrichtlinien suchen und dann die Gruppenrichtlinienverwaltung aufrufen. Die Gruppenrichtlinienverwaltung dient dazu, die Gruppenrichtlinien in ihrer Umgebung zu verwalten. Sie sehen diese im Bereich Gruppenrichtlinienobjekte in dieser Konsole. Standardmäßig gibt es die Richtlinie für Domänencontroller, es gibt die Richtlinie für die ganze Domain und es gibt eigene,von Ihnen erstellte. Wenn Sie selbst eine solche Richtlinie erstellen wollen, um diese zu verteilen, können Sie einfach über das Kontextmenü eine neue Richtlinie erstellen, hier verwende ich RD-Zertifikat als Namen, Sie können hier natürlich einen beliebigen weiteren Namen verwenden, Sie müssen hier kein Starter- Gruppenrichtlinienobjekt verwenden. Die Starter-Gruppenrichtlinienobjekte sind sozusagen Vorlagen für Gruppenrichtlinien, die Sie einsetzen können. Das wird für die Zertifikate nicht benötigt. Danach steht jetzt die neue Richtlinie zur Verfügung, wird aber noch nicht umgesetzt, da zum einen noch keine Einstellungen vorhanden sind und zum anderen die Gruppenrichtlinie noch auf keinen Container gebunden ist. Über das Kontextmenü bearbeiten Sie jetzt die Richtlinie und können jetzt das Zertifikat hier hinterlegen, damit dieses auf den beteiligten Servern verteilt wird. Navigieren Sie jetzt zu Computerkonfiguration, dann Richtlinien Administrative und zum Remotedesktop. Die Bezeichnung ist im Windows Server Sie sehen, hier gibt es auch verschiedene Unterbäume und Sie haben den gleichen Baum auch unter der Benutzerkonfiguration und können hier verschiedenste Einstellungen für Remotedesktopsitzungs-Hosts und deren Verbindungen konfigurieren. Wichtig für das Zertifikat ist der Unterbaum Remotedesktopsitzungs-Host, also der eigentliche Terminalserver und hier der Unterbereich Sicherheit. Ich aktiviere jetzt die Registerkarte Standard. Hier sehen Sie die verschiedenen Möglichkeiten, um die Sicherheit Ihrer Remotedesktopserver zu konfigurieren. Wichtig für uns ist das Zertifikatvorlage für Serverauthentifizierungsobjekt. Über das Kontextmenü können Sie diesen Bereich Bearbeiten und haben jetzt die Möglichkeit, festzulegen, wie die Zertifikatvorlage hier verwendet werden soll. Ich aktiviere jetzt diese Einstellung und kann hier unten jetzt den Vorlagennamen eingeben. Achten Sie darauf -ich verwende jetzt den Namen RemoteDesktop- dass der Name der Zertifikatvorlage, den Sie hier eintragen, mit dem Namen der Zertifikatvorlage in der Verwaltung Ihrer Zertifizierungsstelle übereinstimmen muss. Also hier heißt die Zertifikatvorlage RemoteDesktop ich schließe das Fenster, hier heißt die Vorlage auch RemoteDesktop. Ich schließe jetzt die Einstellungen, die Richtlinie wird jetzt als aktiviert gesetzt und wenn Sie die Einstellungen erneut aufrufen, sehen Sie erneut den Namen RemoteDesktop als Vorlage, die Sie erstellt haben. Schließen Sie jetzt das Fenster für die Einstellungen und den Gruppenrichtlinienverwaltungseditor, haben Sie jetzt hier die Möglichkeit, das RD-Zertifikat für die Domäne zur Verfügung zu stellen. Dazu ziehen Sie die Gruppenrichtlinien mit der Maus auf den Container, für den Sie die Richtlinie aktivieren wollen. Ich verwende hier jetzt die ganze Domäne contoso.int, erhalte hier noch eine Rückmeldung und bestätige diese und hier wird jetzt diese Gruppenrichtlinie, RD-Zertifikat, für alle Computer in der Domäne angewendet. Auf diese Weise haben Sie jetzt eine zentrale Einstellungsmöglichkeit für RD-Zertifikate. In dieser Testumgebung sehen Sie hier unten noch die Einstellungsmöglichkeiten für WSUS und hier haben Sie jetzt die Möglichkeit, einfach für verschiedene Einstellungsbereiche eigene Richtlinien zu erstellen und wenn etwas nicht funktioniert oder geändert werden muss, nur exakt die Einstellung der Richtlinie zu ändern, ohne andere zu beinträchtigen. Damit die Richtlinie umgesetzt wird, müssen Sie entweder die Server neu starten -das ist natürlich in produktiven Umgebungen nicht empfehlenswert- oder Sie starten einfach eine Befehlszeile mit Administratorrechten auf den beteiligten Servern. Ich mache das jetzt hier auf dem Domänencontroller und gebe gpupdate/force ein, dann werden alle verknüpften Gruppenrichtlinien erneut vom Domänencontroller übertragen und auf den Server angewendet. Durch die Einstellung, die Sie vorgenommen haben, werden jetzt bei allen Servern, die mit Remotedesktopverbindungen arbeiten, automatisch, auf Basis dieser Vorlage, ein Zertifikat von den Zertifizierungsstellen abgerufen. Ich wechsle jetzt auf den Remotedesktop meines Terminalservers, beziehungsweise meines Remotedesktopsitzungs-Hosts, öffne auch hier mit cmd eine Befehlszeile, gebe gpupdate/force ein und die Richtlinie wird auch hier erneut abgerufen. Wenn Sie jetzt überprüfen wollen, ob das Zertifikat ausgestellt wurde, öffnen Sie auf den Servern die Verwaltung der lokalen Zertifikate. Das machen Sie am schnellsten, indem Sie nach certlm.msc suchen, das ist die Verwaltung der lokalen Computerzertifikate. Hier sehen Sie im Bereich Eigene Zertifikate die Zertifikate, die auf dem Server installiert sind. Bei Beabsichtige Zwecke sehen Sie hier, dass das RemoteDesktopAuthentication-Zertifikat, welches ich hinterlegt habe, automatisch auf dem Server installiert und verteilt wurde. Auf dieser Basis können Sie also auch für andere Dienste die Serverzertifikate verwenden, relativ leicht eigene Vorlagen erstellen, die Vorlagen in die Zertifikatsstelle einbinden und danach über Gruppenrichtlinien im Netzwerk verteilen. Achten Sie darauf, dass in der lokalen Verwaltung der Zertifikate, hier mit certlm.msc, auf allen beteiligten Remotedesktopsitzungs-Hosts und auch auf dem Verbindungsbroker, das Zertifikat installiert ist. Wenn das Zertifikat nicht installiert ist, können Sie überprüfen, über das Kontextmenü von Zertifikate, mit Alle Aufgaben, Neues Zertifikat anfordern…, mit dem Assistenten für die Zertifikatregistrierung, ob Sie berechtigt sind, eine Vorlage zu nutzen, um das Zertifikat zu verwenden. Sie verwenden dazu die Active Directory- Registrierungsrichtlinie, also schlussendlich die Gruppenrichtlinieneinstellungen, die Sie vorgenommen haben, anschließend werden alle Zertifikatvorlagen angezeigt, die Sie abrufen können. Wenn Sie jetzt hier den RemoteDesktop sehen und sich die Details anzeigen können, erhalten Sie hier die Information, dass das Zertifikat verfügbar ist und Sie können ein Zertifikat abrufen. Die Richtlinie macht nichts anderes, mit diesen Zustand hier zu automatisieren, Sie können das Abrufen aber auch manuell vornehmen. Wenn Sie hier Rechte-Fehler erhalten, also, dass zum Beispiel der ein oder andere Server das Zertifikat nicht abrufen kann, rufen Sie die Verwaltung der Zertifikatvorlagen auf. Dazu verwenden Sie auf dem Server mit der Zertifizierungsstelle certtempl.msc und rufen sich die Eigenschaft Ihrer erstellten Zertifikatvorlage auf. Auf der Registerkarte Sicherheit sehen Sie, welche Computergruppen das Recht haben, Zertifikate abzurufen. Ich verwende jetzt hier mal einfach die Gruppe Domänencomputer, hier muss der Haken bei Registrieren gesetzt sein. Wenn ein Computer in Ihrem Netzwerk kein Recht hat, das Zertifikat abzurufen, nehmen Sie entweder den Computer in die Gruppe auf, nehmen den Computer hier direkt auf oder nehmen den Computer in eine neue Gruppe auf. Wichtig ist, dass er das Recht hat, das Zertifikat zu registrieren, dass das Zertifikat in den Zertifikatvorlagen erscheint und dass nach dem Abrufen der Gruppenrichtlinien in den eigenen Zertifikaten des Servers das neue Zertifikat angezeigt wird. Sobald die Zertifikate im Netzwerk verteilt sind, können Sie diese auch schon testen, indem Sie eine Verbindung mit einem Remotedesktopsitzungs-Host aufbauen, der das Zertifikat verwendet hat. Wenn Sie in diesem Bereich auch noch Single Sign-on konfiguriert haben, werden Sie an dem Server über das Zertifikat authentifiziert und angemeldet. Ich starte dazu den Remotedesktopdienste- Client auf diesem Computer, verbinde mich mit dem Server dc1.CONTOSO.INT, die Verbindung wird aufgebaut und ich werde jetzt mit dem Client über das Zertifikat verbunden. Ich fasse noch einmal zusammen: Sie haben die Möglichkeit, in den Zertifikatsdiensten von Windows Server 2012 R2 eigene Vorlagen zu definieren, mit denen Sie die Remotedesktop-Server und die Authentifizierung in den Remotedesktop-Servern konfigurieren.

Windows Server 2012 R2: Remotedesktopdienste

Installieren Sie Anwendungsprogramme zentral auf einem Server und lassen Sie die Anwender über Remotedesktopdienste darauf zugreifen.

2 Std. 43 min (24 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!