Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Windows Server 2012 R2: Remotedesktopdienste

Zertifikatevorlage für Remotedesktopdienste erstellen

Testen Sie unsere 2021 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Beim Einsatz der Remotedesktopdienste sollten Sie stets mit korrekten Zertifikaten arbeiten. Standardmäßig arbeiten die RD-Dienste mit selbst signierten Zertifikaten, die allerdings nicht sicher sind. So erstellen Sie statt dessen sichere Zertifikate.
06:05

Transkript

Bei dem produktiven Einsatz der Remotedesktop-Dienste, vor allem, wenn Sie die Remotedesktopdienste noch über Remote Web Access zur Verfügung stellen und auch noch einen Remote Desktop Gateway installieren wollen, also eine https-Schnittstelle im Internet, welche eine Verbindung zu Ihrem RD-Servern erlaubt, sollten Sie mit korrekten Zertifikaten arbeiten. Standardmäßig arbeiten die RD-Dienste in Windows Server 2012 R2 mit selbstsignierten Zertifikaten. Solche Zertifikate sind aber nicht sicher und in produktiven Umgebungen auch nicht geeignet. Wenn Sie mit den RD- Diensten produktiv arbeiten wollen, sollten Sie mit den Active Directory -Zertifikatdiensten arbeiten. Ich zeige Ihnen das in diesem Video. Zunächst rufen Sie auf dem Server, auf dem Sie die Active Directory -Zertifikatdienste installiert und eingerichtet haben, die Verwaltungskonsole certtmpl.msc auf. Damit starten Sie die Verwaltungskonsole für Zertifikatevorlagen in Ihren Active Directory -Zertifikatdiensten. Deren Einrichtung müssen Sie unabhängig und parallel von den Remotedesktopdiensten vornehmen und Sie sollten auch eine Active Directory-Zertifikatschnittstelle nicht auf einen RD-Server installieren, sondern am besten auf einem dedizierten Server. Wenn Sie die Verwaltung der Vorlagen aufrufen, sehen Sie auf der linken Seite den Namen des Servers, auf dem Sie die Zertifikatdienste installiert haben. In dieser Testumgebung habe ich die Zertifikatdienste auf einem Server mit Windows Ser ver 2012 R2 und einem Domänencontroller installiert; in produktiven Umgebungen sollten Sie besser keinen Domänencontroller verwenden, sondern einen Mitgliedsserver, da dies wesentlich sicherer ist. Auf der rechten Seite sehen Sie alle Zertifikatvorlagen, die in der Umgebung zur Verfügung stehen und diese auf den Rechnern verteilen können. Markieren Sie die Vorlage Computer, klicken Sie mit der rechten und wählen Sie Vorlage duplizieren. Über diesen Weg haben Sie jetzt die Möglichkeit, eine neue Vorlage speziell für die Remotedesktopdienste zu erstellen und anschließend an die Server zu verteilen. Damit die Zertifikate auch auf älteren Servern funktionieren, beziehungsweise wirklich überall kompatibel sind, macht es durchaus Sinn, wenn Sie hier die Kompatibilitätseinstellungen auf Windows Server 2003 belassen. Sie können hier zwar die Kompatibilitäts- voraussetzungen nach oben setzen; eine signifikante Sicherheitsverbesserung erreichen sie dadurch nicht, allerdings das Problem, dass unter Umständen die Bereitstellung von Zertifikaten nicht optimal funktioniert. Lassen Sie also durchaus hier die Standardeinstellungen. Wechseln Sie anschließend auf die Registerkarte Allgemein. Hier können Sie den Namen und den direkten Vorlagennamen anzeigen. Ich verwende hier RemoteDesktop und als Vorlagenname auch RemoteDesktop. So erkennen Sie die Vorlage, wenn sie später mit dieser arbeiten müssen. Danach wechseln Sie auf die Registerkarte Erweiterungen, hier haben Sie jetzt die Möglichkeit, verschiedene Einstellungen für das Zertifikat vorzunehmen. Sie markieren hier zunächst die Erweiterung Anwendungsrichtlinien und klicken auf Bearbeiten... Hier haben Sie jetzt die Möglichkeit, verschiedene Einstellungen für die Authentifizierung über das Zertifikat vorzunehmen. Entfernen Sie an dieser Stelle die Clientauthentifizierung, denn Sie möchten an dieser Stelle nur die Serverauthentifizierung verwenden, also die Anmeldung an den Remotedesktopservern und die Authentifizierung zwischen den einzelnen Servern in Ihrer Infrastruktur. Danach erstellen Sie mit Hinzufügen… eine neue spezielle Richtlinie, die ausschließlich für die Remotedesktopgateways genutzt wird. Hier in diesem Fenster klicken Sie noch mal auf Neu…, um eine neue Anwendungsrichtlinie zu erstellen. Verwenden Sie hier als Name wieder RemoteDesktop -ich verwende hier aber noch den Zusatz Authentication-, damit klar ist, dass hier die RemoteDesktop- Authentifizierung durchgeführt wird. Im unteren Bereich bei der Objekterkennung, sollten Sie aus Sicherheitsgründen noch einige Einstellungen ändern, damit die Anwendungsrichtlinie kompatibel mit den Remotedesktopdiensten ist. Die Standardeinstellung 1.3.6.1.4.1. belassen Sie, wie sie sind, das ist der Standard bei diesen Einstellungen, 311 ist auch der Standard, statt der 21 verwenden Sie hier aber eine 54, danach verwenden Sie eine .1 und danach eine .2. Alles andere hinter diesen Einstellungen können Sie entfernen. Das heißt, die Objekterkennung für die Remotedesktop-Authentifizierung muss lauten: 1.3.6.1.4.1.311, das ist ohnehin standardmäßig hinterlegt, wenn Sie eine neue Anwendungsrichtlinie erstellen .54.1.2. Bestätigen Sie jetzt die Erstellung dieser Richtlinie und wählen Sie diese hier bei den Anwendungsrichtlinien aus Auch hier klicken Sie dann wieder auf OK, anschließend wird hier die RemoteDesktopAuthentication zusätzlich zur Serverauthentifizierung angezeigt. In sicheren Umgebungen können Sie auch hier noch die Serverauthentifizierung löschen, denn die RemoteDesktopAuthentifizierung wird jetzt wirklich komplett nur über die neu erstellte Anwendungsrichtlinie verteilt. Das kann bei einigen Servern und Konfigurationen Probleme bereiten, in diesem Fall verwenden Sie als Vorlage einfach die Serverauthentifizierung, sicherer und effizienter ist es aber, wenn sie gleich die korrekte Authentifizierung mit dem RemoteDesktop verwenden. Klicken Sie jetzt auf OK, bestätigen Sie die Änderungen, Sie finden jetzt, bei den Zertifikat vorlagen auf dem Zertifikatserver, das neue Zertifikat RemoteDesktop. Ich fasse noch einmal zusammen. Damit sie ein optimales und sicheres Zertifikat in den RemoteDesktop- Umgebungen nutzen können, haben Sie die Möglichkeit, eine neue Zertifikatvorlage auf Basis der Computervorlage zu erstellen. Das ist zwar in Testumgebungen nicht notwendig, denn hier können Sie auch mit den selbstsignierten Zertifikaten arbeiten; in produktiven Umgebungen ist es aber besser, wenn Sie mit einem professionellen Zertifikat für die Active Directory- Zertifikatdienste arbeiten.

Windows Server 2012 R2: Remotedesktopdienste

Installieren Sie Anwendungsprogramme zentral auf einem Server und lassen Sie die Anwender über Remotedesktopdienste darauf zugreifen.

2 Std. 43 min (24 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!