Hallo!
Nachdem ich nach der Anleitung unter
über unsere AD Zertifizierungsstelle und die entsprechende Gruppenrichtlinie RDP Zertifikate für einige unserer Server und Clients (Server 2008 R2 und Windows 7) in der Domäne bereitgestellt habe, taucht nun ein Problem auf: die meisten der Geräte beziehen mehrfach ein Zertifikat. Teilweise im Abstand von Minuten oder Stunden, manchmal auch Tagen.
Ein Server 2008 R2 hat zwischenzeitlich im 5 Minuten Takt ein neues Zertifikat angefordert, was sich unterdessen aus mir unbekannten Gründen nach einem einfachen Neustart auf Stunden bzw. Tage reduziert hat. Gerade verdichtet sich das Intervall seit einigen Minuten jedoch wieder auf den 5 Minuten Takt.
Die Zertifikatvorlage hat folgende Einstellungen:
- neue Vorlage als Kopie der Vorlage "Computer" erstellt
- Zertifikatvorlagenversion: Windows Server 2008 Enterprise (getestet wurde aber auch 2003)
- es wurde darauf geachtet, den Namen und Anzeigenamen identisch zu wählen
- die beteiligten Geräte haben die Rechte Lesen und Registrieren
- als einzige Anwendungsrichtlinie ist Serverauthentifizierung gesetzt
- das Zertifikat hat eine Gültigkeitsdauer von einem Jahr
Diese Vorlage ist in der Richtlinie
- Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security
gesetzt und wird jedes Mal auch korrekt eingebunden. Eingehende RDP Verbindungen werden mit den ausgestellten Instanzen dieser Vorlage hergestellt und es findet sich korrekt in den RDP-TCP Einstellungen der RDS Hosts. Die Zertifikate erfüllen ihren Zweck also tadellos.
Zwischenzeitlich hat eines der betroffenen Geräte jedoch binnen weniger Stunden hunderte Zertifikate angefordert und auch ausgestellt bekommen. Ich kann dieses Verhalten nicht nachvollziehen. Meine Erwartung wäre, dass nach der erstmaligen Ausstellung eines Zertifikats nach der Vorlage erst dann wieder ein neues ausgestellt wird, wenn das aktuelle abzulaufen droht oder abgelaufen ist. So werden aktuell wieder und wieder Zertifikate angefordert, obwohl das vorhandene noch gültig ist.
Das System- und Anwendungslog der Kandidaten ist sauber, was Meldungen im Zusammenhang mit der AD oder Zertifikaten betrifft. Die Uhrzeit der Geräte stimmt. Zwischenzeitlich sorgten abgelaufene Zertifikate im Speicher für Probleme, diese konnten aber gelöscht werden woraufhin die Warnungen im Log verschwanden. Nur die immer und immer wieder angeforderten Zertifikate finden sich nun dort. Hier ein Ausschnitt des aggressivsten Kandidaten der vergangenen Nacht:
Das ging für mehrere Stunden so. Die anderen betroffenen Geräte weisen nicht diese hohe Dichte an Anforderungen auf, fordern aber auch wiederholt an. Jedoch gibt es auch Server 2008 R2, einen Test - Server 2012 R2 und Windows 7 Clients in der Domäne, die ihre Zertifikate nicht mehrfach anfordern.
Für Hilfe zu diesem Problem wäre ich sehr dankbar, weitere Informationen kann ich gern geben. Ich weiß derzeit nicht, was ich mir noch als potenzielle Fehlerquelle anschauen könnte. Während das Problem auf unseren Servern noch manuell über das Setzen der Zertifikate ohne GPO zu lösen wäre, ist das für die betroffenen Clients leider keine Option.
Vielen Dank!