Wie im Artikel 2012 Server Serie - RDS - Remote Desktop Web Access beschrieben, müssen alle Client Anfragen über den Web Access Server laufen. Damit dies einwandfrei und vor allem fehlerfrei funktioniert, müssen wir mit Zertifikaten arbeiten. Der Hintergrund ist hierbei das wir die RDP Session über verschiedene Server also über den Web Access Server zu den Remote Connection Broker Servern (Mehrzahl falls im HA, ansonsten einer) auf die Session Hosts geleitet wird. Man würde hier unweigerlich in Zertifikatsfehler laufen, da jeder Server ein eigenes Maschinenzertifikat hat und wir daher ständig Warnungen, Fehler erhalten würden.
Die Funktionalität über das Windows 7 & 8 Kontrollfeld ist übrigens ohne richtig installierte Zertifikate kaum produktiv nutzbar.
Daher kommt man um die Installation eines oder mehrere Zertifikate nicht herum. Über die RDS Konsole im Server Manager kann man die Deployment Eigenschaften bearbeiten:
Auf dem Reiter Zertifikate kann man dann auch das ganze anpassen:
Man braucht hierfür eigentlich 3 Zertifikate, 4 wenn man den Gateway noch einsetzen würde. Über das Kontrollfeld hat man hier nun die Möglichkeit einerseits eines zu erstellen- was ich jedoch nur in Testumgebungen empfehle. Die bessere Möglichkeit wäre hier eines zu importieren. Das zu importierende Zertifikat muss als *.PFX bereit gestellt werden.
Da das Zertifikat hier über die Rollen Web Access, Connection Broker und SIngle Sign On (innerhalb der Domain) angewendet wird- ist hier die klare Empfehlung ein Wildcard Zertifikat einzusetzen. Falls der Gateway nicht genutzt wird, bietet sich hier ein Wildcard Zertifikat einer bestehenden internen CA an. Ein Wildcard Zertifikat hat die Eigenschaft dass alle Hosts automatisch mit dem Zertifikat getrustet werden.- sofern sie alle in der gleichen Domain sind. Daher hat ein solches Zertifikat ein *.domain.Endung, in meinem Testumfeld also z.B. *.2012rocks.local. Somit werden alle Hosts die mit dem FQDN 2012rocks.local enden, automatisch über ein solches Wildcard Zertifikat gesigned.