Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für ein Problem, bei dem die Remotedesktopserverzertifikate zweimal täglich erneuert werden, obwohl sie ein Jahr lang gültig sind.
Ursprüngliche KB-Nummer: 2531138
Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
Sie möchten einen Remotedesktopserver aktivieren, um die Serverauthentifizierung mithilfe eines SSL-Zertifikats (Secure Sockets Layer) bereitzustellen.
Sie konfigurieren eine Zertifikatvorlage für Remotedesktopserver. Dazu folgen Sie den Einstellungen, die im folgenden Link beschrieben werden:
In diesem Szenario stellen Sie fest, dass die Server die Zertifikate zweimal täglich erneut anfordern und erneut registrieren. Dies tritt auf, auch wenn die Zertifikatvorlage für ein Jahr gültig ist. Darüber hinaus werden beim erneuten Registrieren des Zertifikats einige Ereignisse im Systemprotokoll protokolliert.
Wenn Sie diese registrierten Zertifikate automatisch in Active Directory veröffentlicht haben, wird die Größe der Active Directory-Datenbank aufgrund der konstanten erneuten Registrierung des Zertifikats erheblich erhöht. Außerdem kann die Active Directory-Replikation Warnungsereignisse anhalten und melden.
Ursache
Die zugrunde liegende Ursache dieses Verhaltens bezieht sich auf die RDS-Komponente und auf einen Konflikt innerhalb der Zertifikatvorlage. Wenn der Anzeigename der Vorlage und der Vorlagenanzeigename unterschiedlich sind, stimmt der RDS-Dienst nicht mit dem vorhandenen Zertifikat mit der Vorlage überein, und der RDS-Dienst registriert regelmäßig ein neues Zertifikat.
Lösung
Um dieses Problem zu beheben, müssen Sie den Anzeigenamen und den Vorlagennamen der Zertifikatvorlage auf denselben Wert festlegen, z. B. RemoteDesktopComputer. Dieses Verfahren wird in "Sicherheit" vorgeschlagen.
Anschließend müssen Sie die GPO-Einstellung Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Terminalserver\Security\Server-Authentifizierungszertifikatvorlage basierend auf dem neuen Vorlagennamen aktualisieren, z. B. RemoteDesktopComputer. Nachdem der Server die neue GPO-Einstellung während der Verarbeitung des Hintergrund-Gruppenrichtlinienobjekts neu gezeichnet hat, werden die Zertifikate nicht mehr zweimal täglich erneuert.
Wichtig
Sie müssen die Attribute "Anzeigename" und "Vorlagenname" der Zertifikatvorlage auf denselben Wert festlegen.