NEXUS IT - IT Sicherheit

Remote Desktop Services Webclient Zertifikat

Um Zugriff auf firmeninterne Applikationen zu gewährleisten, können die Remote Desktop Services konfiguriert werden. Für diese ist auch ein HTML5 Webclient verfügbar

https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/remote-desktop-web-client

Dieser erlaubt den Zugriff auf die RemoteApps über den Browser.

Um den Zugriff außerhalb des Firmennetzwerkes zu erlauben, können RDS mit dem Azure Application Proxy kombiniert werden, um eine sichere Reverse Proxy Verbindung aufzubauen und gleichzeitig per MFA geschützt zu sein.

Da der Webclient unabhängig installiert wird und die Zertifikatsverwaltung nicht mit jener von den RDS kombiniert ist, muss dies bei einem Zertifikatstausch berücksichtigt werden.

Geschieht dies nicht, kann folgender Fehler auftreten:

Your session ended because an unexpected server authentication certificate was received from the remote pc

Irreführend dabei ist, dass der richtige Thumbprint vom neuen Zertifikat bei dieser Fehlermeldung angezeigt wird.

Nach unzähligen Logs bin ich in auf diese Fehlermeldung gestoßen:

rds disconnect code=certmismatch(7), extended code=, reason=the cert from the remote server did not match the expected certificate (length mismatch).

Powershell - to the rescue!

Folgender Befehl zeigt den Thumbprint des abgelaufenen Zertifikats und somit war das Verhalten erklärbar.

				
					Get-RDWebClientBrokerCert
				
			

Das Zertifikat muss für den Webclient extra erneuert werden und zwar mit folgendem Befehl:

				
					Import-RDWebClientBrokerCert C:\temp\mycert.cer
				
			

Danach kann noch das neueste Webclient Package verteilt werden:

				
					Publish-RDWebClientPackage -Type Production -Latest
				
			

Zum Schluss noch bei jedem Client den Browser Cache leeren und der Webclient funktioniert wieder.

Top