Zertifikat lässt sich für RDS-Rollen nicht konfigurieren

Gegeben sind einige RDS-Hosts welche für sich selbst jeweils alle Rollen (außer das RD-Gateway) installiert haben. Des weiteren existiert in der Domäne ein Windows PKI, welche für die internen Services die Zertifikate zur Verfügung stellt. Nun laufen nach und nach die Zertifikate auf den einzelnen RDS-Hosts ab.

Also habe ich auf dem Server über MMC -> Zertifikate (Computer) ein neues Zertifikat mit den dokumentierten Optionen (DNS-Namen, Private Key exportierbar, etc…) angefordert. Danach das Zertifikat über die MMC-Konsole in eine PFX-Datei exportiert.

Auf dem RDS-Hosts denServer-Manager gestartet und links Remotedesktopdienste angeklickt.
rds-ssl-certificate-connecting

Das Anzeigen des Dashboards nimmt ein wenig Zeit in Anspruch. Zeit um einen Kaffee zu holen. 🙂 Bis ich zurück war, war auch die Seite geladen. Im linken Untermenü den Eintrag „Sammlungen“ anklicken. Dann rechts oben auf die Schaltfläche „Aufgaben“ klicken und den Punkt „Bereitstellungseigenschaften bearbeiten“ ausgewählen. Es öffnet sich daraufhin ein neues Fenster. Um das Zertifikat einzuspielen zu können, in der linken Spalte den gleichnamigen Menüpunkt auswählen. Es erscheint eine Übersicht der installierten Rollen auf diesen Server und deren evtl. existierende Zertifikat an.
rds-ssl-certificate-bereitstellung-konfigurieren-ssl

Die erste Rolle ist bereits ausgewählt und somit kann die Schaltfläche „Vorhandenes Zertifikat auswählen…“ angeklickt werden. Da ich ein Zertifkat vorliegen habe, wähle ich die zweite Option aus , gebe das Passwort des Zertifikats ein und setze zum Schluss noch den Haken. Den Dialog mit „OK“ schließen.
rds-ssl-certificate-bereitstellung-konfigurieren-pfx-import
In der Spalte „Status“ wird jetzt angezeigt, dass das Zertifikat in Ordnung ist. Um dies auf die Rolle anzuwenden auf die Schaltfäche „Anwenden“ klicken (siehe Warnhinweis).
rds-ssl-certificate-bereitstellung-konfigurieren-pfx-commit

Nach 10,20,30 Sekunden steht in der Spalte „Status“ bei der markierten Rolle „OK“ drin. Aber in der Spalte „Stufe“ nach wie vor „Nicht konfiguriert“. Hmm… vllt. ein Anzeigefehler. Daher den Assistent und den Server Manager geschlossen und nochmals gestartet. Parallel dazu eine Powershell gestartet und den Befehl Get-RDCertificate | fl ausgeführt.
rds-ssl-certificate-check-cert-over-ps

Das Zertifikat wurde für die Rolle nicht übernommen! Puhh… also zuerst mal die Zertifikatsvorlage auf der PKI mit den Anforderungen für RDS-Hosts von Microsoft abgeglichen. Kein Fehler o.ä. in den Einstellungen der Vorlage gefunden.

Nach vielen Tests, Recherchen ist mir heute Mittag in meinem TestLab aufgefallen, dass bei dem neuen Zertifikat das Feld Antragssteller leer ist.
rds-ssl-certificate-equals-cert-properties

Also gut, das aktuelle Zertifikat für den RDS-Host auf die Sperrliste gesetzt und im Anschluss über die MMC-Konsole wieder ein Zertifikat angefordert. Im Wizard dieses Mal aber manuell den Antragsstellers gesetzt. Das Prozedere (ab den ersten Absatz im Artikel) nochmals durchgeführt.

Dieses Mal wurde das Zertifikat für die Rolle(n) problemlos übernommen.
rds-ssl-certificate-bereitstellung-konfigurieren-pfx-commit-success

Zum Schluss nicht vergessen, falls die Rolle Web Access installiert ist, im IIS-Manager unter Bindungen das neue Zertifikat anzugeben. Abschließend noch den Dienst neustarten damit die Änderung wirksam wird.