Remotedesktop-Serverzertifikate werden zweimal täglich verlängert, obwohl sie ein Jahr lang gültig sind.
Dieser Artikel bietet eine Lösung für ein Problem, bei dem die Remotedesktopserverzertifikate zweimal täglich erneuert werden, obwohl sie ein Jahr lang gültig sind.
Gilt für: Windows 7 Service Pack 1, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2531138
Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
Sie möchten es einem Remotedesktopserver ermöglichen, die Serverauthentifizierung mithilfe eines SSL-Zertifikats (Secure Sockets Layer) bereitzustellen.
Sie konfigurieren eine Zertifikatvorlage für Remotedesktopserver. Dazu folgen Sie den Einstellungen, die unter dem folgenden Link beschrieben werden:
In diesem Szenario stellen Sie fest, dass die Server die Zertifikate zweimal täglich erneut anfordern und erneut registrieren. Dies geschieht, obwohl die Zertifikatvorlage ein Jahr lang gültig ist. Darüber hinaus werden bei der erneuten Registrierung des Zertifikats einige Ereignisse im Systemprotokoll protokolliert.
Wenn Diese registrierten Zertifikate automatisch in Active Directory veröffentlicht werden, nimmt die Größe der Active Directory-Datenbank aufgrund der konstanten erneuten Registrierung des Zertifikats erheblich zu. Außerdem kann die Active Directory-Replikation angehalten und Warnungsereignisse gemeldet werden.
Ursache
Die zugrunde liegende Ursache für dieses Verhalten hängt mit der RDS-Komponente und einem Konflikt innerhalb der Zertifikatvorlage zusammen. Wenn sich der Vorlagenname und der Anzeigename der Vorlage unterscheiden, stimmt der RDS-Dienst nicht mit dem vorhandenen Zertifikat mit der Vorlage überein, und der RDS-Dienst registriert regelmäßig ein neues Zertifikat.
Lösung
Um dieses Problem zu beheben, müssen Sie den Vorlagenanzeigenamen und den Vorlagennamen des Attributs der Zertifikatvorlage auf denselben Wert festlegen, z. B. RemoteDesktopComputer. Dieses Verfahren wird unter Sicherheit empfohlen.
Anschließend müssen Sie die GPO-Einstellung Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Terminalserver\Sicherheit\Server-Authentifizierungszertifikatvorlage basierend auf dem neuen Vorlagennamen aktualisieren, z. B. RemoteDesktopComputer. Nachdem der Server die neue GPO-Einstellung während der Verarbeitung des Hintergrund-GPO-Redraws erhält, werden die Zertifikate nicht mehr zweimal täglich erneuert.
Wichtig
Sie müssen die Attribute Vorlagenanzeigename und Vorlagenname der Zertifikatvorlage auf denselben Wert festlegen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für