Remote Desktop Services – Passthrough

Im Internet kursieren viele einzelne Blogposts, welche die Voraussetzungen für ein sauberes Passthrough einer Remote Desktop Session (Server 2012+) beschreiben. Ich habe diese in folgendem Beitrag kurz zusammengefasst:

Voraussetzung Nr. 1: Zertifikate

Die Voraussetzung für ein sauberes Durchreichen der Anmeldinformationen sind in erster Linie die gebundenen Zertifikate. In diesem Beispiel habe ich von einer internen CA ein Webserver-Zertifikat tsgate.marcozimmermann.com ausgestellt und dieses in den Deployment Properties des RD-Servers gebunden:

rdspt01

Servereinstellungen

Folgende Einstellungen sind serverseitig notwendig:

Passthrough-Authentifizierungskomponente der Website aktivieren:

C:\Windows\Web\RDWeb\Pages\Web.config

Einstellung “I am using a private computer” per default aktivieren:

private2
C:\Windows\Web\RDWeb\Pages\en-US\Default.aspx

sowie falls erforderlich:
private
C:\Windows\Web\RDWeb\Pages\webscripts-domain.js

 

 

Clienteinstellungen

Site zu den Lokalen Intranet Sites hinzufügen

Falls nicht bereits geschehen muss die Site – ich habe in diesem Fall die komplette marcozimmermann.com verwendet – zu den Lokalen Intranet Sites hinzugefügt werden. Alternativ kann hier auch die vorhandene Zone angepasst werden – wichtig ist hierbei die Berechtigung Anmeldeinformationen an die Seite durchreichen zu dürfen (Zone Settings => User Authentification => Automatic Logon).

intra1

Thumbprint des Zertifikats für vertrauenswürdige .rdp-Files

Als nächstes benötigen wir den Thumbrint des Zertifikates – dieser lässt sich durch Öffnen der erweiterten Zertifikatseigenschaften einsehen:

rdspt03

Um das kopieren des Thumbprints zu erleichtern empfiehlt sich ein kurzer Blick in die Registry:

Nun erstellen wir eine GPO und aktivieren folgende Einträge:

 

gpo

Nach einem gpupdate werden die Anmeldeinformationen sauber durchgereicht.

Zusammenfassung:

Servereinstellungen

  1. Zuweisung SSL-Zertifikate
  2. Anpassung web.config – Aktivierung Windows SSON
  3. Anpassung Default.aspx
  4. Anpassung webscripts-domain.js

Client

  1. Trusted Sites
  2. GPO Trusted .rdp Publisher
  3. GPO Credential Delegation