Delen via

Configuraties van listener voor extern bureaublad-listener

  • Artikel

In dit artikel worden de methoden beschreven voor het configureren van listenercertificaten op een Windows Server 2012- of Windows Server 2012-server die geen deel uitmaakt van een RDS-implementatie (Remote Desktop Services).

Oorspronkelijk KB-nummer: 3042780

Beschikbaarheid van listener voor Extern bureaublad-server

Het listeneronderdeel wordt uitgevoerd op de Extern bureaublad-server en is verantwoordelijk voor het luisteren naar en accepteren van nieuwe RDP-clientverbindingen (Remote Desktop Protocol). Hiermee kunnen gebruikers nieuwe externe sessies maken op de extern bureaublad-server. Er is een listener voor elke verbinding van extern bureaublad-services die op de extern bureaublad-server aanwezig is. Verbindingen kunnen worden gemaakt en geconfigureerd met behulp van het configuratiehulpprogramma voor extern bureaublad-services.

Methoden voor het configureren van listenercertificaat

In Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 kunt u met de MMC-module Extern bureaublad Configuration Manager rechtstreeks toegang krijgen tot de RDP-listener. In de module kunt u een certificaat binden aan de listener en op zijn beurt SSL-beveiliging afdwingen voor de RDP-sessies.

In Windows Server 2012 of Windows Server 2012 R2 bestaat deze MMC-module niet. Daarom biedt het systeem geen directe toegang tot de RDP-listener. Gebruik de volgende methoden om de listenercertificaten in Windows Server 2012 of Windows Server 2012 R2 te configureren.

  • Methode 1: WMI-script (Windows Management Instrumentation) gebruiken

    De configuratiegegevens voor de RDS-listener worden opgeslagen in de Win32_TSGeneralSetting klasse in WMI onder de Root\CimV2\TerminalServices naamruimte.

    Er wordt naar het certificaat voor de RDS-listener verwezen via de vingerafdrukwaarde van dat certificaat op een SSLCertificateSHA1Hash-eigenschap . De vingerafdrukwaarde is uniek voor elk certificaat.

    Notitie

    Voordat u de wmic-opdrachten uitvoert, moet het certificaat dat u wilt gebruiken, worden geïmporteerd in het persoonlijke certificaatarchief voor het computeraccount. Als u het certificaat niet importeert, krijgt u de foutmelding Ongeldige parameter .

    Voer de volgende stappen uit om een certificaat te configureren met WMI:

    1. Open het eigenschappenvenster voor uw certificaat en selecteer het tabblad Details .

    2. Schuif omlaag naar het veld Vingerafdruk en kopieer de door de spatie gescheiden hexadecimale tekenreeks naar iets zoals Kladblok.

      De volgende schermopname is een voorbeeld van de vingerafdruk van het certificaat in de eigenschappen van het certificaat :

      Een voorbeeld van de vingerafdruk van het certificaat in de certificaateigenschappen.

      Als u de tekenreeks naar Kladblok kopieert, ziet deze er ongeveer als volgt uit:

      Kopieer en plak de vingerafdruktekenreeks in Kladblok.

      Nadat u de spaties in de tekenreeks hebt verwijderd, bevat deze nog steeds het onzichtbare ASCII-teken dat alleen zichtbaar is bij de opdrachtprompt. De volgende schermopname is een voorbeeld:

      Het onzichtbare ASCII-teken dat alleen wordt weergegeven bij de opdrachtprompt.

      Zorg ervoor dat dit ASCII-teken wordt verwijderd voordat u de opdracht uitvoert om het certificaat te importeren.

    3. Verwijder alle spaties uit de tekenreeks. Mogelijk is er een onzichtbaar CHARACTERI-teken dat ook wordt gekopieerd. Dit is niet zichtbaar in Kladblok. De enige manier om te valideren is om rechtstreeks naar het opdrachtpromptvenster te kopiëren.

    4. Voer bij de opdrachtprompt de volgende wmic-opdracht uit, samen met de vingerafdrukwaarde die u in stap 3 hebt verkregen:

      wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

      De volgende schermopname is een geslaagd voorbeeld:

      Een geslaagd voorbeeld van het uitvoeren van de wmic-opdracht samen met de vingerafdrukwaarde die u in stap 3 hebt verkregen.

  • Methode 2: Register-editor gebruiken

    Belangrijk

    Volg de stappen in deze sectie zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u het wijzigt, maakt u een back-up van het register en herstelt u het in Windows voor het geval er problemen optreden.

    Voer de volgende stappen uit om een certificaat te configureren met behulp van registereditor:

    1. Installeer een serververificatiecertificaat in het persoonlijke certificaatarchief met behulp van een computeraccount.

    2. Maak de volgende registerwaarde die de SHA1-hash van het certificaat bevat, zodat u dit aangepaste certificaat kunt configureren ter ondersteuning van TLS in plaats van het standaard zelfondertekende certificaat te gebruiken.

      • Registerpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
      • Waardenaam: SSLCertificateSHA1Hash
      • Waardetype: REG_BINARY
      • Waardegegevens: vingerafdruk van certificaat

      De waarde moet de vingerafdruk van het certificaat zijn en worden gescheiden door komma (,) zonder lege spaties. Als u die registersleutel bijvoorbeeld wilt exporteren, is de waarde SSLCertificateSHA1Hash als volgt:

      SSLCertificateSHA1Hash=hex:42,49,e1,6e,0a,f0,a0,2e,63,c4,5c,93,fd,52,ad,09,27,82,1b,01

    3. De Extern bureaublad-hostservices worden uitgevoerd onder het NETWORK SERVICE-account. Daarom moet u de systeemtoegangsbeheerlijst (SACL) instellen van het sleutelbestand dat door RDS wordt gebruikt om NETWORK SERVICE samen met de leesmachtigingen op te nemen.

      Als u de machtigingen wilt wijzigen, volgt u deze stappen in de module Certificaten voor de lokale computer:

      1. Klik op Start, klik op Uitvoeren, typ mmc en klik vervolgens op OK.
      2. Klik in het menu Bestand op Module toevoegen/verwijderen.
      3. Klik in het dialoogvenster Modules toevoegen of verwijderen in de lijst Beschikbare modules op Certificaten en klik vervolgens op Toevoegen.
      4. Klik in het dialoogvenster Certificatenmodule op Computeraccount en klik vervolgens op Volgende.
      5. Klik in het dialoogvenster Computer selecteren op Lokale computer: (de computer waarop deze console wordt uitgevoerd) en klik vervolgens op Voltooien.
      6. Klik in het dialoogvenster Modules toevoegen of verwijderen op OK.
      7. Vouw in de module Certificaten in de consolestructuur certificaten (lokale computer) uit, vouw Persoonlijk uit en selecteer vervolgens het SSL-certificaat dat u wilt gebruiken.
      8. Klik met de rechtermuisknop op het certificaat, selecteer Alle taken en selecteer vervolgens Persoonlijke sleutels beheren.
      9. Klik in het dialoogvenster Machtigingen op Toevoegen, typ NETWORK SERVICE, klik op OK, schakel Het selectievakje Toestaan in en klik vervolgens op OK.