Terminalserver über DynDNS mit Zertifikaten absichern geht nicht
berlinpower
Bevor ich mit meiner Frage beginne, muss ich sagen, dass ich schon das ganze
Forum und Google abgegrast habe. Keine Lösung gefunden.
Nun zu meinem Problem:
Hintergrund: Ich möchte über eine DynDNS-Adresse (WAN-IP) einen
Terminalserver innerhalb eines Windows 2003 Netzwerkes
erreichen. Dazu wurde Port 3389 auf dem Router an den Terminalserver
weitergeleitet. Funktioniert wunderbar, aber nicht sicher.
Jetzt habe ich auf dem Terminalserver die Zertifikatedienste installiert.
Danach über die Adresse: localhost\certsrv
ein Zertifikat erstellt. Als Auswahl habe ich "Webserver" gewählt.
Das ausgestellte Zertifikat wurde installiert. Jetzt habe ich die
Terminaldienstekonfiguiration auf dem Terminalserver aufgerufen,
und bei Verbindungen ->RDP Verbindungen -> die Eigenschaftsseite aufgerufen.
Dort habe ich bei "Allgemein" ganz unten das vorher erstellte Zertifikat
ausgewählt, und bei Sicherheitsstufe "SSL" ausgewählt.
Nun kam der Test. Auf einem PC ausserhalb des Netzwerkes habe ich den RDP
Client aufgerufen, (habe hier keinerlei Zertifikate installiert, ich will nur
testen, ob die Verbindung abgelehnt wird) und als Zieladresse die "DynDNS"
ADresse eingetragen. Dann kam eine Meldung, dass die Identität des
Computers nicht überprüft werden kann, und ob ich die Verbindung trotzdem
hertsellen will.
Wenn ich jetzt "Ja" sage, bekomme ich eine Verbindung.
Nun meine Fragen:
Wieso bekomme ich eine Verbindung. Ich dachte, durch die Auswahl eines
Zertifikatzes auf der Terminalserverseite-RDP,
können nur Clients eine Verbindung aufnehmen, die bei sich das Zertifikat
installiert haben !
Was mache ich falsch? Alle Beschreibungen im Internet über das Thema,
erkären es so wie ich es gemacht habe. Wie schon erwähnt, will ich nicht nur
eine sichere Verbindung was den Datenstrom betrifft (wird durch die obene
beschrieben Maßnahme erfüllt), sondern, dass sich nur Clients verbinden
können, die das Zertifikat installiert haben. Ist das Zertifikat auf der
Clientseite nicht installiert, soll sich der Client nicht verbinden dürfen.
Hier noch eine Übersicht was ich alles schon probiert habe:
1. Habe bei der Erstellung des Zertifikates auf der Terminalserverseite,
statt die Vorlage "Webserver" auch noch andere probiert.
Kein Erfolg. Anscheinend ist so, dass nur Zertifikate die als Vorlage
"Webserver" haben, auf der Eigenschaftsseite
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP ->
Zertifikate" erscheinen.
2.Ich habe bei der Installation der Zertifizierungsstelle, als Option
"Stammzertifizierungsstelle des Unternehmens",
als auch mal "Eigene Stammzertifizierungsstelle" ausgewählt. Wählt man das
Zweite, hat man eine andere Vorlagenauswahl
wie z.B. Computerauthentifizierung oder IPSEC ... Wählt man aber z.B.
"Computerauthentifizierung", wird das Zertifikat
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP ->
Zertifikate" nicht angezeigt. Wie schon erwähnt, nur über
"Webserverzertifikatsvorlagen" erstellte Zertifikate, werden bei
"Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate"
angezeigt.
Hat jemand eine Idee wie ich mein Problem lösen kann. (Terminalserver über
DynDNS mit Zertifikate absichern. Wenn auf dem Client das Zertifikat nicht
installiert ist, soll es keine Verbindung geben).
Vielleicht gibt es noch eine andere Lösung (aber ohne Smartcard).
Ich weiss, dass das was ich vorhabe nicht 100% sicher ist, wird aber so
gewünscht.
Umgebung: Windows 2003 Server (DC) + 1 x Windows 2003 Terminalserver + 1 x
Windows 2003 Server inkl. Exchange (2003)
Grüße
Stefan