Remotedesktopverbindung SSO

27 12 2014

Hallo zusammen,
heute rief ein Kunde an und meldet ein Problem mit seiner RDP Verbindung. Der Kunde verwendet das Remotedesktopgateway und ISA 2006 als Firewall bzw. Reverse Proxy.
Die Meldung beim Starten lautet wie folgt:

RDP Verbindung

RDP Verbindung

Der Herausgeber dieser Remoteverbindung kann nicht identifiziert werden. Möchten Sie die Verbindung trotzdem herstellen?“

Der Administrator hat nun Angst einen Fehler zu begehen. Der Grund dahinter ist ganz einfach. Windows warnt weil versucht wird eine unsichere Verbindung herzustellen. Bei diesem Kunde war aufgrund eines Vertrages notwendig eine SSL Verbindung mit 2-Faktor Authentifizierung für den Remotezugang zu den Entwicklungsservern bereitzustellen. Der Kunde hat aber keine eigene PKI und wollte keine weitere Kosten bzw. weiteren Administrativen Aufwand. Daher würde zum signieren der RDP Datei ein Zertifikat von Thawte verwendet. Dieses lief natürlich gestern ab und heute erscheint zurecht die Meldung. Es genügt nun ein neues Zertifikat zu ordern und die RDP Datei neu zu signieren und den betroffenen Mitarbeitern zur Verfügung zu stellen.
Installiert auf dem Remotedesktopgateway das Zertifikat und kopiert den Fingerabdruck heraus und entfernt alle Leerzeichen. Öffnet nun als Administrator eine Konsole und tragt dort folgendes ein:

rdpsign /sha1 FINGERABDRUCK PFAD_ZUR_RDP_DATEI
http://technet.microsoft.com/de-de/library/cc753982%28v=ws.10%29.aspx

Wenn alles richtig war erhaltet Ihr eine Erfolgsmeldung. Die RDP Datei wäre nun vorbereitet. Problem an der Sache ist, einige interne Mitarbeiter verwenden ebenfalls diese RDP Datei wenn Sie in der Firma sind. Der Auftraggeber wollte hier aber ein Singel-Sign-ON (SSO) verwenden um die doppelte Anmeldung am Client und Server zu vermeiden. Bei einem Windows 7 PC ist dies kein Problem. Damit der Client der signierten Datei vertraut, sind in der GPO 2 Einträge zu setzen.
In der Benutzerkonfiguration sind die beiden Option zu aktivieren:

RDP GPO

RDP GPO

Bei SHA1 Fingerabdrücke kopiert Ihr wiederum den Fingerabdruck des Zertifikates identisch zum Signieren der RDP Datei hinein. Bitte bei der Benutzerkonfiguration eintragen.

Damit SSO funktioniert, muss das Anmelden mit den Default Anmeldedaten am Terminalserver mittels TERMSRV/FQDN des Terminalservers eingetragen sein. Dies ist allerdings eine Computerkonfiguration.

Soweit so gut, weiterhin viel Spaß und bis demnächst…