Microsoft Windows Server 2008 R2: Zertifikate fördern die RDS-Sicherheit: Teil Zwei

  • Artikel

Die Verwendung von Zertifikaten stellt einen wichtigen Bestandteil des Schutzes der Kommunikation bei Verwendung von Remotedesktopdiensten dar. Hier ist der Rest der Geschichte auf, wie sie auf jedem Server installieren.

Kristin Griffin

Zertifikate spielen eine wichtige Rolle in Remote Desktop Services (RDS)-Bereitstellungen. Sie helfen die sichere Kommunikation zwischen Client und Server. Sie bestätigen die Identität des Servers oder der Web Site, denen Sie eine Verbindung herstellen. Sie auch Zeichen Dateien Remote Desktop Protocol (RDP) zu versichern sind sie aus einer vertrauenswürdigen Quelle.

Verwenden Sie Zertifikate mit allen RDS-Rollendienst. Hier ist was Sie Zertifikate auf jeder Rolle Server mit lokalen-Tools oder mithilfe von Gruppenrichtlinien installieren wissen müssen. Zunächst konfigurieren Sie alle Host für Remotedesktopsitzungen pro-Server-Verbindung Sicherheitseinstellungen auf der Registerkarte Allgemein die Proto­Col Listener im Dialogfeld Eigenschaften des RD-Konfigurationstools. Um dorthin zu gelangen, gehen Sie zu Verwaltung | Remote Desktop-Services | Remote Desktop Session Host-Konfiguration. Doppelklicken Sie dann auf RDP-Tcp im mittleren Bereich im Abschnitt Verbindungen. Dies gilt auch, wenn Sie SSL-Zertifikat des Servers hinzufügen.

Sie können diese Einstellungen auf einer pro-Server-Basis konfigurieren. Auch können Sie diese Einstellungen mithilfe von Gruppenrichtlinien durch anwenden den folgenden Satz (Group Policy Object, GPO) Einstellungen auf dem Host für Remotedesktopsitzungen-Server-Organisationseinheit (OU) aus Computerkonfiguration | Politik | Administrative Vorlagen | Windows-Komponenten | Remote Desktop-Services | Remote Desktop Session Host | Sicherheit:

  • Verschlüsselungsstufe der Verbindung
  • Erfordern Sie die Verwendung von bestimmten Sicherheitsstufe für Remoteverbindungen (RDP)
  • Zertifikatvorlage für Serverauthentifizierung
  • Erfordern Sie Benutzerauthentifizierung für Remoteverbindungen mithilfe der Netzwerk-Level Authentication (NLA)

Authentifizierung auf Netzwerkebene

NLA ist nicht standardmäßig erforderlich. Um die Verwendung von NLB benötigen für die Verbindung mit dem Host für Remotedesktopsitzungen-Server, wählen Sie die Gewinnverwendung­aß das Kontrollkästchen. Dadurch wird verhindert alle Clients, die nicht NLA (jeder Client ausgeführt wird unterstützen, RDC vor Version 6.x und alle OS das Credential Security Support Provider, oder CredSSP unterstützt werden) verbinden mit dem Server. Nur Clients unter Windows 7, Windows Vista und Windows XP SP3 unterstützen CredSSP.

Server-Authentifizierung

Legen Sie die Server Authentifizierungseinstellungen aus dem Abschnitt Security-Layer. Der Standardwert ist Nego­tiate, was bedeutet, dass Client und Server werden sowohl verwenden (TLS, Transport Layer Security) für die Serverauthentifizierung, wenn das ist Sup­portiert.

Sie können diese Einstellung zu erzwingen, Server-Authentifizierung mithilfe von TLS bearbeiten. Wenn Sie den Server nicht authentifizieren können, können Sie das Verhalten von Clients aus den Einstellungen auf der Registerkarte Erweitert die Remote Desktop Client festlegen:

  • Schließen Sie nicht, wenn die Authentifizierung fehlschlägt
  • Warnen Sie, wenn die Authentifizierung fehlschlägt
  • Immer verbinden Sie, auch wenn Authentifizierung fehlschlägt

Sie können das Zertifikat auswählen, die, das der Server verwenden soll, um sich zu authentifizieren, indem Sie klicken Wählen Sie im unteren Bereich des Bildschirms. Wenn Sie auf auswählen klicken, können Sie weitere details über das Zertifikat einschließlich, was es für verwendet wird den Namen von der Zertifizierungsstelle (CA), und wenn es abläuft.

Das Zertifikat sollte den DNS-Namen des Host für Remotedesktopsitzungen-Servers enthalten. Dies wird so etwas wie rdsh1.domain.local, zum Beispiel sein. Wenn Sie eine Serverfarm implementiert haben, sollte das Zertifikat der DNS-Name der Host für Remotedesktopsitzungen-Serverfarm enthalten – z. B. farm.domain.local.

Der Host für Remotedesktopsitzungen-Server ist standardmäßig ein selbstsigniertes Zertifikat verwenden. Dieses Zertifikat ist nicht dazu gedacht, in Produktionsumgebungen verwendet werden, aus drei Gründen:

  • Die Echtheit des Zertifikats ist nicht überhaupt geprüft.
  • Das Zertifikat ist nicht von Clients vertrauenswürdig, da es nicht von einer vertrauenswürdigen Stelle (z. B. einer öffentlichen Zertifizierungsstelle oder internen public Key-Infrastruktur-Lösung Ihres Unternehmens) signiert ist.
  • Wenn Sie eine Serverfarm implementiert werden, wird nicht der Name der Standardzertifikat den RD Session Hostnamen der Serverfarm, übereinstimmen, also überprüfen die Identität des Servers fehl.

Unterzeichnung gebündelt und persönliche VMs

Sie können gebündelt haben und persönlichen virtuellen Maschinen (VMs) unterzeichnet, durch die Installation eines SSL-Zertifikats auf den Remotedesktop-Verbindungsbroker mithilfe von RD-Verbindungs-Manager (Se Abbildung 1).

You can use RD Connection Manager to sign pooled or single VMs

Abbildung 1 RD-Verbindungs-Manager können Sie zusammengefasste oder einzelne VMs melden.

Signieren von RemoteApps

Melden Sie RemoteApps mithilfe des Zertifikats im RemoteApp-Manager auf dem Host für Remotedesktopsitzungen-Server installiert (siehe Abbildung 2).

You can also sign RemoteApps; use the certificate in RemoteApp Manager

Abbildung 2 Sie können sich auch anmelden RemoteApps; Verwenden Sie das Zertifikat im RemoteApp-Manager.

Wenn Sie ein Remotedesktop-Sitzungshost-Serverfarm einrichten, stellen Sie sicher, exakte dasselbe Zertifikat auf allen Remotedesktop-Sitzungshost-Servern in der Farm installieren, und in jeder anderen Serverfarmen bereitstellen. Auf diese Weise Web single Sign-on (SSO) wird über alle Mitglieder und über alle Betriebe arbeiten.

Dazu exportieren Sie das Zertifikat, einschließlich des privaten Schlüssels von einem Server. Importieren Sie es auf dem anderen Server, mit dem Zertifikate-Snap-in in Microsoft Management Console (MMC) — das Computerkonto nicht das Benutzerkonto hinzufügen.

Wenn Sie mit Web Access für Remotedesktop-Web-SSO implementieren sind und Sie Remotedesktop-Verbindungsbroker als Quelle in Web Access für Remotedesktop verwenden, müssen Sie das gleiche Zertifikat im Remotedesktop-Verbindungsbroker installieren wie Sie auf allen Remotedesktop-Sitzungshost-Servern (dasselbe Zertifikat, das Sie zum Signieren von RemoteApps verwenden). Dies kann verwirrend sein aus zwei Gründen:

  1. Der Abschnitt, wo Sie das Zertifikat auf dem RD-Verbindungsbroker installieren, heißt "virtuelle Desktops: Ressourcen und Konfiguration"ist irreführend. Das hier installierte Zertifikat dient nicht nur zum Signieren von virtuellen desktop-Infrastruktur (VDI) VMs, es ist auch in den Web-SSO-Prozess für RemoteApps signiert, wenn dieser Remotedesktop-Verbindungsbroker beteiligt ist. Die Signaturzertifikate Remotedesktop-Verbindungsbroker und dem Host für Remotedesktopsitzungen-Server RemoteApp-Manager müssen übereinstimmen oder Web-SSO schlägt fehl.
  2. Wenn Sie eine RemoteApp starten, und das Zertifikat auf dem RD-Verbindungsbroker installiert anders als die auf dem Host für Remotedesktopsitzungen-Server installiert ist, funktioniert nicht-Web-SSO. Es gibt keine Anzeige, das Zertifikat ist jedoch tatsächlich anders auf Remotedesktop-Verbindungsbroker. Das pop-up-Fenster zeigt nur das Zertifikat im RemoteApp-Manager festgelegt, so ist es schwer zu sagen, dass ein Zertifikat-Problem vorliegt.

Überprüfen Sie die "Einführung Web Single Sign-On für RemoteApp-und Desktopverbindungen"-Blog für weitere Informationen zum Einrichten von Web-SSO.

Schützen der Site zur RD Web Access

Sichern einer Website nicht RDS-spezifische. Fügen Sie um Web Access für Remotedesktop-Website zu sichern, ein Zertifikat mit dem DNS-Namen der Website in IIS (siehe Abbildung 3).

Adding a certificate with the DNS name can secure an RD Web Access site

Abbildung 3 Hinzufügen eines Zertifikats mit dem DNS-Namen eine Web Access für Remotedesktop-Website sichern kann.

Zertifikate auf der Servers Computer Personal Store installiert, die den privaten Schlüssel enthalten werden als Optionen in den entsprechenden Dropdown-Box im Menü Bearbeiten angezeigt werden.

Konfigurieren von RD-Gateway mit einem Zertifikat

Die RD-Gateway-Installation erfordert ein Zertifikat zum Verschlüsseln der Kommunikation zwischen Client und Server, vor allem über das Internet. Das SSL-Zertifikat sollte den DNS-Namen des RD-Gatewayservers, die externe Benutzer auflösen kann (das externe DNS Namen, zum Beispiel: rdgateway.Domain.com).

Installieren Sie das Remotedesktopgateway-Zertifikat über die Registerkarte SSL-Zertifikat in RD-Gateway-Manager-Eigenschaften (siehe Abbildung 4). Weitere Informationen finden Sie auf RD-Gateway Zertifikate in der TechNet Library.

Install the RD Gateway certificate

Abbildung 4 das RD-Gateway-Zertifikat installieren.

Sie können Zertifikate einrichten, in die RDS-Bereitstellung für die sichere Kommunikation und Authentifizierung von Client und Server. Es gibt bestimmte Zertifikatanforderungen für jeden Rollendienst. Dies sollte dazu beitragen, Sie verstehen, warum Sie Zertifikate im RDS-Implementierungen benötigen und wie und wo Sie Zertifikate mit jedem RDS-Rolle-Dienst implementieren.

Kristin Griffin

Kristin Griffin ist ein Remote Desktop Services MVP. Sie moderiert eine Microsoft-Forum zu helfen, die Server-basierten computing-Gemeinschaft (Remote Desktop Services) gewidmet und führt eine RDS-Blog unter blog.kristinlgriffin.com. Sie leistet einen Beitrag zur Mark Minasi "Mastering Windows Server 2008" (Sybex, 2008) und "Mastering Windows Server 2008 R2" (Sybex, 2010). Sie zusammen mit Christa Anderson auch "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) und "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010).

Verwandter Inhalt

Verwenden von Zertifikaten mit RDS Q & A

**Frage:**Wie füge ich Zertifikate auf meinem Server, so kann ich ihnen in meinem Remote Desktop Services (RDS)-Rollendienste verwenden?

**Antwort:**Zertifikate befindet sich in Ihrem Server Computer Konto Personal Store werden für Sie RDS Implementierungen hinzufügen. Hinzufügen von Zertifikaten auf dem Computer Konto Personal Store:

  1. Erstellen Sie ein Microsoft Management Console (MMC)-Snap-in (Typ MMC in das Feld ausführen oder Suche)
  2. Fügen Sie das Zertifikate-Snap-in (hinzufügen/entfernen-Snap-ins Datei)
  3. Wählen Sie Computerkonto hinzufügen, und klicken Sie auf OK
  4. Navigieren Sie in den persönlichen Ordner, dann in den Ordner Zertifikate
  5. Mit der rechten Maustaste, und wählen Sie importieren, um das Zertifikat zu importieren, die, das Sie von Ihrer Zertifizierungsstelle erhalten

RD-Gateway-Manager ist in dieser Hinsicht einfacher, weil es Sie eine Schaltfläche "Importieren" in der Benutzeroberfläche gibt so dass Sie kein MMC-Snap-in manuell zu erstellen.

**Frage:**Wie unterdrücken ich alle Warnmeldungen Sie, wenn ein Benutzer, eine Remote Desktop Protocol (RDP) signiert beginnt?

**Antwort:**Aktivieren Sie die Richtlinieneinstellung. Geben Sie Secure Hash Algorithm (SHA1) Fingerabdrücke von Zertifikaten, die vertrauenswürdige RDP-Herausgeber darstellen. Wenn Sie diese Richtlinie aktivieren, geben Sie Zertifikate, die der Client als vertrauenswürdig angezeigt wird. Wenn Sie dem Client, dass es ein Zertifikat vertraut anweisen, ist eine RDP-Datei, die mit diesem Zertifikat signiert vertrauenswürdig. So erhalten Sie kein Warnung Popups Sie aufgefordert werden, überprüfen, ob Sie dem Herausgeber vertrauen. Überprüfen Sie hier für weitere Informationen zu dieser Einstellung.

F: ich habe die richtigen Zertifikate installiert auf meinem Host für Remotedesktopsitzungen-Server, aber ich habe immer noch Probleme mit der Verbindung.

**Antwort:**Es gibt einige bekannte Probleme in Bezug auf Zertifikate und RDS-Implementierungen:

  1. Mithilfe von Server Gated Cryptography (SGC) Zertifikaten scheint Probleme verursachen. Stellen Sie sicher, dass Ihre Zertifikate nicht zwischen SGC-Zertifikaten sind. Weitere Informationen finden Sie unter den RDS Forum Threads hier und hier.
  2. Wenn Ihre Clients verbinden die Fehlermeldung erhalten, "das Zertifikat nicht für diese Verwendung ungültig ist" kann die Zertifikatkette für das Zertifikat auf dem Server mit dem Host für Remotedesktopsitzungen zu lang sein. Finden Sie unter dieses RDS Forum Thread für weitere Informationen.

**Frage:**Kann ich ein Wildcard-Zertifikat oder ein Zertifikat Storage Area Network (SAN) mit meiner RDS-Implementierung verwenden?

**Antwort:**Ja, Sie können. Ein SAN-Zertifikat ist ein Zertifikat, das mehrere Hostnamen hat. Da ein SAN-Zertifikat mehrere Antragstellernamen enthält, können Sie ein Zertifikat an mehreren Stellen verwenden, die ein Zertifikat erforderlich. Ein Beispiel für ein SAN-Zertifikat kann man sein, enthält Ihre RD-Gateway sowie Ihre RD Web Access-DNS-Namen und den Namen, den Sie zum Signieren der RemoteApp-Dateien verwenden:

  • rdgateway.Domain.com
  • RDWeb.Domain.com
  • Sign.Domain.com

Ein Wildcard-Zertifikat verwenden, brauchen Sie so wenig wie zwei Zertifikate eine typische kleine Farmbereitstellung implementieren. Die Host für Remotedesktopsitzungen-Serverfarm muss noch auf den DNS-Namen der Farm verweisen, und dieser Name ist in der Regel einen internen DNS-Namen (domain.local). Das ist nicht das gleiche wie Ihre externen DNS-Zone (domain.com), so müssen Sie ein separates Zertifikat für diese.

**Frage:**Ich habe mehrere Rollendienste auf einem Server installiert. Muss ich noch Zertifikate in allen Rollendiensten installieren, die ich genutzt haben?

**Antwort:**Ja, Jeder Rollendienst verwendet Zertifikate für bestimmte Zwecke. Obwohl Rollendienste auf einem Server kombiniert werden können, denken Sie an sie als separate Einheiten beim Zertifikate implementieren.

— K.G.