Zum Konfigurieren eines Windows Server 2003 terminal Servers um TLS für Server-Authentifizierung verwenden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 895433 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

können Sie zu einem Remotecomputer verbinden, auf denen Microsoft Windows Terminal Services ausgeführt wird, indem Sie eine Remote Desktop Protocol-Verbindung. Diese Art von Verbindung bietet Verschlüsselung für die Daten, die zwischen dem Terminalserver und dem Client-Computer gesendet werden. Diese Art von Verbindung bietet jedoch keine Authentifizierung für den terminal Server. Möglicherweise möchten Sie sicherstellen, dass der Terminalserver korrekt authentifiziert wird, bevor Sie eine Verbindung damit herstellen. Dazu konfigurieren Sie den terminal Server mithilfe von TLS (Transport Layer Security) den terminal Server zu authentifizieren und zum Verschlüsseln der Daten, die zwischen dem Terminalserver und dem Client-Computer gesendet werden.

Um eine TLS-Verbindung konfigurieren, müssen Sie der Terminalserver und der Clientcomputer konfigurieren. Um den Terminalserver zu konfigurieren, müssen Sie beide die folgenden Schritte ausführen:
  • Sie müssen ein gültiges Zertifikat auf dem terminal Server installieren
  • Sie müssen konfigurieren die Authentifizierungseinstellungen mithilfe der Terminaldienstekonfiguration Tool.
zum dem Client-Computer zu konfigurieren, müssen Sie die folgenden Schritte ausführen:
  • Sie konfigurieren müssen Sie den Clientcomputer vertrauen der Stammzertifizierungsstelle, der, die ausgegeben, des Terminalserver Zertifikat.
  • Sie müssen konfigurieren die Authentifizierungseinstellungen für die Remoteverbindung mithilfe des Programms Remotedesktopverbindung oder durch Ändern der Registrierung.

EINFÜHRUNG

wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows


Wenn Sie Remote Desktop Protocol (RDP) Verbindung zu einem terminal Server verwenden, RDP bietet Datenverschlüsselung, jedoch bietet keine Authentifizierung. Daher können nicht Sie die Identität des Terminalservers überprüfen. Sie können Microsoft Windows Server 2003 Service Pack 1 (SP1) zusammen mit TLS 1.0 (Transport Layer Security) verwenden, um die terminal Server-Sicherheit zu erhöhen, mit TLS zur Serverauthentifizierung und terminal Server-Kommunikation zu verschlüsseln.

Dieser Artikel beschreibt das Konfigurieren von Windows Server 2003 SP1 TLS 1.0 für die Serverauthentifizierung mit um terminal Server-Kommunikation zu verschlüsseln.

Voraussetzungen für die Serverauthentifizierung konfigurieren

Standardmäßig wird Terminalserver verwendet die systemeigene RDP-Verschlüsselung und authentifiziert den Server nicht. Um TLS für Server-Authentifizierung verwenden und terminal Server-Kommunikation zu verschlüsseln, müssen Sie den Server-Computer und der Clientcomputer ordnungsgemäß konfigurieren.

Server-Voraussetzungen

Für einwandfrei TLS-Authentifizierung muss der Terminalserver beide die folgenden Anforderungen erfüllen:
  • Der Terminalserver muss Windows Server 2003 SP1 ausgeführt werden.
  • Sie müssen ein Zertifikat für den Terminalserver erhalten. Verwenden Sie eine der folgenden Methoden, um ein Zertifikat zu erhalten:
    • Der Website Ihrer Zertifizierungsstelle. Besuchen Sie z. B. http:// servername / Certsrv.
    • Der Zertifikatsanforderungs-Assistent von Windows 2003 Server oder Windows 2000 Server Zertifikatanforderungs-Assistenten ausführen.
    • Rufen Sie ein Zertifikat von einer Drittanbieter-Zertifizierungsstelle, und installieren Sie das Zertifikat manuell.
Hinweis: Wenn Sie ein Zertifikat mithilfe der Microsoft Zertifikatsdienste-Seite oder mithilfe des Zertifikatanforderungs-Assistenten erhalten möchten, muss ein Infrastruktur öffentlicher Schlüssel (PKI) x. 509-Zertifikate ausstellen SSL-kompatible an den terminal Server korrekt konfiguriert sein. Jedes Zertifikat muss folgendermaßen konfiguriert:
  • Das Zertifikat muss ein Computerzertifikat.
  • Der beabsichtigte Zweck des Zertifikats muss für Serverauthentifizierung sein.
  • Das Zertifikat muss einen entsprechenden privaten Schlüssel haben.
  • Das Zertifikat muss in dem Zertifikatspeicher des Computers Konto auf dem Terminalserver gespeichert werden.

    Hinweis: Sie können diesen Informationsspeicher anzeigen, mit dem Microsoft Management Console (MMC) Zertifikate-Snap-in.
  • Das Zertifikat muss einen Kryptografiedienstanbieter (CSP) aufweisen, der für das TLS-Protokoll verwendet werden können. Beispielsweise muss das Zertifikat ein kryptografischen Dienstanbieters, wie z. B. Microsoft RSA SChannel Cryptographic Provider verwenden. Weitere Informationen zur Microsoft Website cryptographic Service Provider, die folgende Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa386983.aspx

Client-Voraussetzungen

Für ordnungsgemäß TLS-Authentifizierung muss die Terminaldienste-Clientcomputer die folgenden Anforderungen erfüllen:
  • Der Clientcomputer muss Microsoft Windows 2000 oder Microsoft Windows XP ausgeführt werden.
  • Das RDP 5.2-Client-Programm verwenden, muss der Clientcomputer aktualisiert werden. Das Clientprogramm RDP 5.2 ist in Windows Server 2003 SP1 enthalten. Mithilfe der Datei %SYSTEMROOT%\System32\Clients\Tsclient\Win32\Msrdpcli.msi, können Sie diese clientseitige Remotedesktopverbindung Paket installieren. Die Datei Msrdpcli.msi befindet sich auf Windows Server 2003-basierten terminal Servern. Wenn Sie diese Datei vom Terminalserver installieren, wird die RDP 5.2-Version von Remotedesktop-Verbindung im Ordner "%SystemDrive%\Programme\Gemeinsame Files\Remote Desktop" auf dem Zielcomputer installiert. Weitere Informationen über die Remote Desktop Connection für Windows Server 2003 die folgenden Microsoft-Website:
    http://www.microsoft.com/downloads/details.aspx?familyid=CC148041-577F-4201-B62C-D71ADC98ADB1&displaylang=en
  • Der Clientcomputer muss die Stammzertifizierungsstelle des Zertifikats des terminal Servers vertrauen. Daher muss der Clientcomputer das Zertifikat der Zertifizierungsstelle im Ordner vertrauenswürdige Zertifikat Stammzertifizierungsstellen der Client-Computer verfügen. Sie können diesen Ordner mit Snap-in anzeigen.

So konfigurieren Sie den terminal server

Gehen Sie folgendermaßen vor um den Terminalserver für TLS-Authentifizierung zu konfigurieren:

Schritt 1: Anfordern eines Computerzertifikats

Wenn Sie nicht bereits ein Computerzertifikat, die den Anforderungen die in den Abschnitt "Prerequisites to configure server authentication" erwähnten verfügen entsprechen, beziehen Sie und installieren Sie eine. Verwenden Sie hierzu eine der folgenden Methoden.

Methode 1: bei Verwendung der Website für die Zertifizierungsstelle
Die folgenden Schritte beschreiben So erhalten Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle von Windows Server 2003. Sie können auch ein Zertifikat von einer Windows 2000-Zertifizierungsstelle anfordern. Darüber hinaus müssen Sie Berechtigungen Lesen und registrieren Berechtigungen für die Vorlage-Zertifikatsdatei erfolgreich ein Zertifikat anfordern verfügen. Verwenden Sie diese Methode, wenn eine oder mehrere der folgenden Bedingungen erfüllt sind:
  • Möchten Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle erhalten.
  • Möchten Sie ein Zertifikat erhalten, die auf ein Vorlage Zertifikat basiert, der den Betreff der Antragstellername erhältlich konfiguriert ist.
  • Möchten Sie ein Zertifikat erhalten, die Genehmigung des Administrators erfordert, bevor das Zertifikat ausgestellt wurde.
Gehen Sie folgendermaßen vor um ein Zertifikat zu erhalten:
  1. Starten Sie Microsoft Internet Explorer, und besuchen Sie http:// servername / Certsrv , wo sich servername den Namen des Servers befindet, das Microsoft-Zertifikatdienste ausgeführt werden.
  2. Klicken Sie unter Task auswählen auf Zertifikat anfordern .
  3. Klicken Sie auf Erweiterte Zertifikatanforderung und dann auf Erstellen und senden Sie eine Anforderung an diese ZERTIFIZIERUNGSSTELLE .
  4. Geben Sie Ihre Identifizierungsinformationen in den Feldern unter Informationen , und klicken Sie dann in der Liste Typ des erforderlichen Zertifikats auf Serverauthentifizierungszertifikat .
  5. Lassen Sie die Erstellen neuer Schlüssel festgelegt Option ausgewählt, und klicken Sie dann in der Liste CSP auf Microsoft RSA SChannnel Cryptographic Provider .

    Hinweis: Dieser Kryptografiedienstanbieter unterstützt Schlüsselableitung für die Protokolle SSL2, PCT1, SSL3 und TLS1 verwendet.
  6. Lassen Sie die Exchange -Option neben Schlüsselverwendung ausgewählt. Diese Option angibt, dass der private Schlüssel um Aktivieren des Austausches vertraulicher Informationen verwendet werden kann.
  7. Klicken Sie auf das Kontrollkästchen Schlüssel als exportierbar . Wenn Sie dies tun, können Sie den öffentlichen Schlüssel und den privaten Schlüssel in einer PKCS # 12-Datei speichern. Daher können Sie dieses Zertifikat zu einem anderen Computer kopieren.
  8. Klicken Sie auf das Kontrollkästchen Zertifikat im Zertifikatspeicher lokalen Computers , und klicken Sie dann auf Speichern .

    wichtig TLS-Authentifizierung funktioniert müssen Sie das Zertifikat im Zertifikatspeicher lokalen Computers speichern.
  9. Wenn eine Webseite Zertifikat wurde ausgestellt angezeigt wird, klicken Sie auf Dieses Zertifikat installieren . Wenn eine Webseite Zertifikat steht noch aus angezeigt wird, müssen Sie warten, bis ein Administrator die Zertifikatsanforderung genehmigt. In diesem Szenario müssen Sie erneut die Certificate Services-Website beziehen und Installieren dieses Zertifikat.
Methode 2: mithilfe des Zertifikatanforderungs-Assistenten
In den folgenden Schritten beschrieben ein Zertifikat von einer Windows Server 2003-Zertifizierungsstelle zu erhalten. Sie können auch ein Zertifikat von einer Windows 2000-Zertifizierungsstelle anfordern. Darüber hinaus müssen Sie Berechtigungen Lesen und registrieren Berechtigungen für die Vorlage-Zertifikatsdatei erfolgreich ein Zertifikat anfordern verfügen. Verwenden Sie diese Methode, wenn eine oder mehrere der folgenden Bedingungen erfüllt sind:
  • Möchten Sie ein Zertifikat von einer Organisationszertifizierungsstelle anfordern.
  • Möchten Sie ein Zertifikat anfordern, die auf ein Vorlage basiert, bei denen der Name des Antragstellers von Windows generiert wird.
  • Möchten Sie ein Zertifikat erhalten, die keine Genehmigung des Administrators erfordert, bevor das Zertifikat ausgestellt wird.
Gehen Sie folgendermaßen vor um ein Zertifikat zu erhalten:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie Mmc ein und klicken Sie dann auf OK .
  2. Klicken Sie im Datei auf Snap-In hinzufügen/entfernen .
  3. Klicken Sie auf Hinzufügen , klicken Sie auf Zertifikate und klicken Sie dann auf Hinzufügen .
  4. Klicken Sie auf Computerkonto , und klicken Sie dann auf Weiter .
  5. Wenn Sie ein Zertifikat auf dem lokalen Computer hinzuzufügen möchten, klicken Sie auf Lokaler Computer . Wenn Sie ein Zertifikat zu einem Remotecomputer hinzufügen möchten, klicken Sie auf einem anderen Computer , und geben Sie dann im Feld anderen Computer den Namen des remote Computers.
  6. Klicken Sie auf Fertig stellen .
  7. Klicken Sie auf Schließen , und klicken Sie dann auf OK im Dialogfeld Snap-In hinzufügen/entfernen , klicken Sie im Dialogfeld Eigenständiges Snap-in .
  8. Klicken Sie unter Konsolenstamm auf Zertifikate (Lokaler Computer) .

    Hinweis: Wenn Sie das MMC-Snap-in Zertifikate zum Verwalten eines Remotecomputers konfiguriert haben, klicken Sie auf Zertifikate (servername) anstelle von Zertifikate (Lokaler Computer) .
  9. Klicken Sie im Menü Ansicht auf Optionen .
  10. Klicken Sie im Dialogfeld Anzeigeoptionen auf Zertifikat Zweck , und klicken Sie dann auf OK .
  11. Zeigen Sie im rechten Fensterbereich, klicken Sie mit der rechten Maustaste auf Server-Authentifizierung auf Alle Tasks , und klicken Sie dann auf Neues Zertifikat anfordern .
  12. Klicken Sie im Zertifikat anfordern Assistenten, die gestartet wird, auf Weiter .
  13. Klicken Sie in der Liste Zertifikattypen auf Server-Authentifizierung , klicken Sie dann auf das Kontrollkästchen Erweitert und klicken Sie dann auf Weiter .
  14. Klicken Sie in der Kryptografiedienstanbieter -Liste auf Microsoft RSA SChannel Cryptographic Provider .

    Hinweis: Dieser Kryptografiedienstanbieter unterstützt Schlüsselableitung für die Protokolle SSL2, PCT1, SSL3 und TLS1 verwendet.
  15. Lassen Sie in der Liste Schlüssellänge die Standardoption 1024 ausgewählt oder die Schlüssellänge, die Sie verwenden möchten.
  16. Klicken Sie auf das Kontrollkästchen Schlüssel als exportierbar markieren . Wenn Sie dies tun, können Sie den öffentlichen Schlüssel und den privaten Schlüssel in einer PKCS # 12-Datei speichern. Daher können Sie dieses Zertifikat zu einem anderen Computer kopieren.
  17. Wenn Sie "verstärkte Sicherheit" aktivieren möchten, klicken Sie auf das Kontrollkästchen Verstärkte Sicherheit für den privaten Schlüssel aktivieren .
  18. Klicken Sie auf Weiter , geben Sie den Namen Ihrer Zertifizierungsstelle im Feld ZERTIFIZIERUNGSSTELLE , klicken Sie auf Weiter , geben Sie im Feld Angezeigter Name einen Namen für dieses Zertifikat, klicken Sie auf Weiter und klicken Sie dann auf Fertig stellen .
Methode 3: mithilfe einer Drittanbieter-Zertifizierungsstelle
Beziehen Sie und installieren Sie ein Zertifikat von einer Drittanbieter-Zertifizierungsstelle.

Schritt 2: Konfigurieren von TLS-Authentifizierung und Verschlüsselung

Sie können Verschlüsselungseinstellungen für die auf dem Terminalserver mithilfe von Gruppenrichtlinien konfigurieren. Jedoch können nicht Sie Gruppenrichtlinien verwenden, um Einstellungen für die Authentifizierung auf dem terminal Server zu konfigurieren. Deshalb beschreibt dieser Abschnitt Authentifizierung und Verschlüsselung mithilfe der Terminaldienstekonfiguration konfigurieren. Für TLS, um auf einem terminal-Server ordnungsgemäß zu funktionieren müssen Sie die folgenden Elemente auf der Registerkarte Allgemein im Dialogfeld RDP-TCP-Eigenschaften konfigurieren:
  • Sie müssen ein Zertifikat auswählen, die den Anforderungen entspricht die im Abschnitt "Server prerequisites".
  • Sie müssen die Security Layer festlegen auf aushandeln oder SSL Wert.
  • Sie müssen die Verschlüsselungsstufe festlegen Wert zu Hoch sein, oder Sie müssen die FIPS (Federal Information Processing Standard) aktivieren-konforme Verschlüsselung.

    Hinweis: Sie können auch FIPS-konforme Verschlüsselung aktivieren, mithilfe von Gruppenrichtlinien. Allerdings können Sie TLS nicht aktivieren, mithilfe von Gruppenrichtlinien.
Hinweis: Wenn Sie TLS-Authentifizierung in einer Sitzung Verzeichnis Farm aktivieren, müssen Sie eine der folgenden Einstellungen auf jedem der Server konfigurieren, die Mitglieder der Sitzung Verzeichnis Farm sind:
  • Legen Sie den Layer Security -Wert zu SSL .
  • Legen Sie den Layer Security -Wert auf aushandeln . Wenn Sie die Sicherheit Layer auf aushandeln festlegen, wird die TLS-Authentifizierung nur aktiviert, wenn der Clientcomputer die TLS-Authentifizierung unterstützt.
Gehen Sie folgendermaßen vor um TLS-Authentifizierung und Verschlüsselung auf dem Server zu konfigurieren:
  1. Starten Sie das Terminaldienste-Konfigurationsprogramm. Dazu klicken Sie auf Start , zeigen Sie auf Verwaltung und klicken Sie dann auf Terminaldienstekonfiguration .
  2. Klicken Sie in den linken Bereich auf Verbindungen .
  3. Klicken Sie im im rechten Bereich mit der rechten Maustaste auf die Verbindung, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften .
  4. Klicken Sie auf der Registerkarte Allgemein auf Bearbeiten , neben dem Zertifikat .
  5. Klicken Sie im Dialogfeld Zertifikat auswählen auf das Zertifikat, das Sie verwenden möchten.

    Hinweis: Serverauthentifizierung muss in der Spalte Beabsichtigte Zwecke für dieses Zertifikat angezeigt. Dieses Zertifikat muss außerdem ein x. 509-Zertifikat mit einem entsprechenden privaten Schlüssel sein. Um festzustellen, ob das Zertifikat einen privaten Schlüssel besitzt klicken Sie auf Zertifikat anzeigen . Der folgende Nachrichtentext wird am unteren Rand der Zertifikatsinformationen angezeigt:
    Sie haben einen privaten Schlüssel, der die dieses Zertifikat entspricht.
    Klicken Sie auf OK .
  6. Klicken Sie auf OK .
  7. Klicken Sie in der Liste Security Layer auf eine der folgenden Optionen:
    • aushandeln : Diese Sicherheitsmethode TLS 1.0 verwendet, um den Server zu authentifizieren, wenn TLS unterstützt wird. Wenn TLS nicht unterstützt wird, wird der Server nicht authentifiziert.
    • RDP-Sicherheitsstufe : Diese Sicherheitsmethode Remotedesktopprotokoll-Verschlüsselung verwendet, um sichere Kommunikation zwischen dem Client und dem Server. Wenn Sie diese Einstellung aktivieren, wird der Server nicht authentifiziert.
    • SSL : Diese Sicherheitsmethode erfordert TLS 1.0 zum Authentifizieren des Servers. Wenn TLS nicht unterstützt wird, können nicht Sie eine Verbindung zum Server herstellen. Diese Methode ist nur verfügbar, wenn Sie ein gültiges Zertifikat auswählen.
    Hinweis: Wenn Sie in der Liste Security Layer Negotiate oder SSL klicken, müssen Sie auch eine der folgenden konfigurieren:
    • Legen Sie die Verschlüsselungsstufe auf Hoch .
    • Konfigurieren Sie FIPS-konforme Verschlüsselung.
  8. Klicken Sie in der Liste Verschlüsselungsstufe auf eine der folgenden Optionen:
    • FIPS-konforme : Wenn Sie diese Einstellung verwenden oder wenn Sie festlegen der Systemkryptografie: verwenden FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Option mithilfe von Gruppenrichtlinien, Daten verschlüsselt und entschlüsselt zwischen dem Clientcomputer und der Server mit FIPS 140-1-Verschlüsselungsalgorithmen mithilfe von Microsoft-Kryptografiemodule.
    • Hoch Wenn Sie diese Einstellung verwenden, werden zwischen dem Clientcomputer und Server gesendeten Daten mit 128-Bit-Verschlüsselung verschlüsselt.
    • Clientkompatibel Wenn Sie diese Einstellung verwenden, werden Daten, die zwischen dem Clientcomputer und Server gesendet wird verschlüsselt, mithilfe der maximalen Schlüsselstärke, die von dem Client-Computer unterstützt wird.
    • Niedrig Wenn Sie diese Einstellung verwenden, werden zwischen dem Clientcomputer und Server gesendeten Daten mithilfe von 56-Bit-Verschlüsselung verschlüsselt.

      Hinweis: Diese Option ist nicht verfügbar, wenn Sie SSL in der Liste Security Layer klicken.
  9. Klicken Sie auf das Kontrollkästchen standard Windows Anmeldung Schnittstelle , um anzugeben, dass Benutzer am Terminalserver anmelden durch Eingabe Ihrer Anmeldeinformationen in der standardmäßigen Windows-Anmeldedialogfeld.
  10. Klicken Sie auf OK .
Hinweis:
  • Zum Konfigurieren dieser Optionen müssen ein Mitglied der Gruppe Administratoren auf dem lokalen Computer sein oder Sie müssen sein, können die entsprechenden Rechte delegiert. Wenn der Computer einer Domäne angehört, verfügen Mitglieder der Sicherheitsgruppe Domänen-Admins ausreichend Berechtigungen zum Ausführen dieser Schritte.
  • Verschlüsselungsgrade, die Sie mithilfe von Gruppenrichtlinien konfigurieren überschreiben die Konfiguration-Optionen, die Sie mit dem Tool Terminaldienstekonfiguration festgelegt. Darüber hinaus Wenn Sie aktivieren die Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Richtlinie, die Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Richtlinie überschreibt die Verbindung Clientverschlüsselung festlegen Ebene Gruppenrichtlinien Einstellung.
  • Wenn Sie die Verschlüsselungsstufe ändern, wirksam die neue Verschlüsselungsstufe, die Sie konfigurieren der nächsten Anmeldung ein Benutzers. Wenn Sie mehrere Verschlüsselungsstufen benötigen, installieren Sie mehrere Netzwerkadapter, und konfigurieren Sie jeden Netzwerkadapter mit einem anderen Verschlüsselungsstufe.

So konfigurieren Sie den Clientcomputer

Gehen Sie folgendermaßen vor um den Clientcomputer für TLS-Authentifizierung zu konfigurieren:

Schritt 1: Anfordern eines Computerzertifikats

  1. Starten Sie Internet Explorer, und besuchen Sie http:// servername / Certsrv.
  2. Klicken Sie auf eine ZERTIFIZIERUNGSSTELLE, einer Zertifikatkette oder einer ZERTIFIKATSSPERRLISTE downloaden .
  3. Klicken Sie auf Diese ZERTIFIZIERUNGSSTELLEN-Zertifikatkette installieren , um Ihre Clientcomputer allen Zertifikaten vertrauen, die von dieser Zertifizierungsstelle ausgestellt werden zu konfigurieren.
  4. Klicken Sie auf Ja , wenn Sie aufgefordert werden, die Zertifikate von der Certification Authority-Website hinzufügen.
  5. Nachdem Sie die folgende Meldung erhalten haben, beenden Sie Internet Explorer:
    Die ZERTIFIZIERUNGSSTELLEN-Zertifikatkette wurde erfolgreich installiert.
Hinweis:
  • Sie haben keinen auf dem Computer angemeldet sein, das über Administratorrechte zum Ausführen dieses Vorgangs verfügt.
  • Sie installieren das ZERTIFIZIERUNGSSTELLEN-Zertifikatkette um sicherzustellen, dass die Client-Computer den Stamm Zertifikat des terminal Servers vertrauen. Dies bedeutet, dass das Zertifikat der Stamm-CA, die den Terminalserver Zertifikat ausgestellt hat in dem Clientcomputer vertrauenswürdige Stammzertifizierungsstellen lokalem Zertifikatspeicher aufbewahren gespeichert ist. Dies ist erforderlich für TLS zur Serverauthentifizierung verwendet werden, wenn Clientcomputer zum Terminalserver eine Verbindung herstellen.
  • Die Option Diese ZERTIFIZIERUNGSSTELLEN-Zertifikatkette installieren können Sie die Vertrauensstellung in einer untergeordneten Zertifizierungsstelle einrichten, wenn Sie nicht gerade das Zertifikat der Stamm-CA in Ihrem Zertifikatspeicher verfügen.

Schritt 2: Konfigurieren der Authentifizierung auf dem Clientcomputer

Verwenden Sie um die Authentifizierung auf dem Clientcomputer zu konfigurieren, eine der folgenden Methoden.
Methode 1: Verwenden von Remotedesktopverbindung
  1. Starten Sie Remotedesktopverbindung.
  2. Klicken Sie auf Optionen und dann auf die Registerkarte Sicherheit .

    Hinweis: Die Registerkarte Sicherheit wird angezeigt, wenn Sie Windows Server 2003 SP1-Version von Remotedesktopverbindung installieren.
  3. Klicken Sie in der Liste Authentifizierung auf eine der folgenden Optionen:
    • keine Authentifizierung : das ist die Standardoption. Wenn Sie diese Option auswählen, wird der terminal Server nicht authentifiziert.
    • Authentifizierung versuchen : Wenn Sie diese Option auswählen; wenn TLS unterstützt und ordnungsgemäß konfiguriert ist, wird TLS 1.0 zum Authentifizieren des terminal Servers verwendet.

      Wenn Sie versuchen Authentifizierung klicken, können Sie die Terminaldienste-Verbindung ohne TLS-Authentifizierung fortgesetzt, wenn eine der folgenden Authentifizierungsfehler auftreten:
      • Das Serverzertifikat ist abgelaufen.
      • Das Serverzertifikat ist nicht von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt.
      • Der Name im Zertifikat entspricht nicht den Namen des Clientcomputers.
      Terminaldienste-Verbindung zu einem Ausfall zu anderen Authentifizierungsfehlern führen.
  4. Authentifizierung erforderlich : Wenn Sie diese Option klicken, TLS muss den terminal Server zu authentifizieren. Wenn TLS nicht unterstützt wird oder wenn TLS nicht richtig konfiguriert ist, ist der Verbindungsversuch nicht erfolgreich. Diese Option steht nur für Clientcomputer, die Verbindung zum Terminalserver herstellen, auf denen Windows Server 2003 SP1 ausgeführt wird.
Hinweis: Sie müssen über Administratorrechte zum Konfigurieren von Remotedesktopverbindung. Nachdem Sie diese Verbindung konfiguriert haben, können Sie außerdem Ihre Änderungen als eine Remotedesktop-Datei (RDP) speichern. Konfigurieren Sie andere Clientcomputer für die Sicherheitseinstellungen verwenden, die Sie konfiguriert haben, verteilen Sie die RDP-Datei an diese Computer.

Eine RDP-Datei enthält alle Informationen für die Verbindung mit terminal Server. Dazu zählen die Sicherheitseinstellungen, die Sie auf der Registerkarte Sicherheit konfigurieren. Sie können Ihre Verbindungen zu einem bestimmten terminal Server anpassen, durch Erstellen von verschiedenen RDP-Dateien, die die Einstellungen, die Sie verwenden entsprechen, wenn Sie eine Verbindung mit diesem Terminalserver herstellen möchten. Darüber hinaus können Sie die RDP-Datei ändern, indem mit einem Texteditor wie Editor. Gehen Sie folgendermaßen vor um die Sicherheitseinstellungen einer RDP-Datei mithilfe von Editor zu ändern,
  1. Suchen Sie die RDP-Datei, die Sie ändern möchten, und öffnen Sie es dann mithilfe von Editor zu.
  2. Suchen Sie die Authentifizierungsebene Zeile in der RDP-Datei.
  3. Legen Sie den Authentifizierung-Level-Wert auf eine der folgenden Werte:
    • 0 dieser Wert entspricht "Keine Authentifizierung".
    • Dieser Wert entspricht 1 "Ist eine Authentifizierung erforderlich."
    • 2 dieser Wert entspricht "Authentifizierung versuchen."
    Geben Sie beispielsweise, um die Remotedesktopverbindung Authentifizierung zu konfigurieren, Authentifizierung Ebene: I:1 .
  4. Speichern Sie die Änderungen in die Datei, und beenden Sie den Editor.
Methode 2: nach Verwenden des Registrierungs-Editors
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie regedit ein und klicken Sie dann auf OK .
  2. Verwenden eines der folgenden Methoden:
    • Die Registrierungseinstellungen für alle Benutzer ändern möchten, die Anmeldung auf dem Computer, suchen Sie, und klicken Sie dann auf den folgenden Registrierungsunterschlüssel:
      Server-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal
    • Um die Registrierungseinstellungen für nur den derzeit angemeldeten Benutzer zu ändern, suchen Sie, und klicken Sie dann auf den folgenden Registrierungsunterschlüssel:
      HKEY_CURRENT_USER\Software\Microsoft\Terminal Server-
  3. Klicken Sie im Menü Bearbeiten auf neu , und klicken Sie dann auf DWORD-Wert .
  4. Geben Sie im Feld Neuer Wert # 1 AuthenticationLevelOverride , und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf AuthenticationLevelOverride , und klicken Sie dann auf Ändern .
  6. Geben Sie im Feld Datenwerte einen der folgenden Werte, und klicken Sie dann auf OK :
    • Geben Sie 0 diesen Wert ein, Konfigurieren der ein Authentifizierungsebene "Keine Authentifizierung".
    • Geben Sie 1 diesen Wert ein, konfigurieren Sie eine Sicherheitsstufe Authentifizierung "Ist eine Authentifizierung erforderlich."
    • Geben Sie 2 diesen Wert ein, Konfigurieren der ein Authentifizierungsebene "Authentifizierung versuchen."
Weitere Informationen über diese Authentifizierungsebenen finden Sie in der "Method 1: By using Remote Desktop Connection" Abschnitt.

Hinweis:
  • Wenn Konfigurieren der Authentifizierungsebene des mithilfe der Registrierung können Benutzer, die auf dem Clientcomputer angemeldet sind, auf die Authentifizierungseinstellungen nicht ändern.
  • Die Authentifizierungsebene, die Sie mithilfe des Unterschlüssels HKEY_CURRENT_USER\Software\Microsoft\Terminal Server-Registrierung festlegen überschreibt eine Authentifizierungsebene, die in den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server-Registrierungsunterschlüssel konfiguriert werden kann.

Informationsquellen

Weitere Informationen zu verwandten Themen finden Sie auf der folgenden Microsoft-Websites:
http://www.microsoft.com/windowsserver2003/technologies/terminalservices/default.mspx

http://technet2.microsoft.com/WindowsServer/en/Library/9d47b6a2-3216-45fc-9bb8-41a7d89e42d11033.mspx

http://technet2.microsoft.com/windowsserver/en/library/590FCC3E-C54F-48B7-95F2-45EE2255FC111033.mspx

http://technet2.microsoft.com/windowsserver/en/library/32AACFE8-83AF-4676-A45C-75483545A9781033.mspx

Eigenschaften

Artikel-ID: 895433 - Geändert am: Freitag, 12. Januar 2007 - Version: 5.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Keywords: 
kbmt kbtermserv kbhowtomaster KB895433 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 895433
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com