Die Verbindung wurde beendet, da ein unerwartetes Serverauthentifizierungszertifikat

Problem

In einer RDS Farm mit RDS Sessionhosts (RDSH), RDS Gateway und/oder RDS Broker Server(n) tritt „auf einmal“ ein Fehler bei der Verbindung mit einem RDS-Client ab Version  auf. Das fällt meistens bei der Anmeldung über das Web-Gateway auf – dort klappt die Authentifizierung, aber die RDP-Sitzung startet nicht. Der Fehler lautet:

„Ein Authentifizierungsfehler ist aufgetreten (Code: 0x607)“

Lösung (3 Möglichkeiten)

Schuld ist in der Regel eine Unstimmigkeit bei der Zertifikatsauswahl zwischen Client, Broker und Sitzungshost.

Möglichkeit 1: Sitzungssicherheit für die (in der Regel interne) Verbindung Gateway <-> Sitzungshost auf „niedgrig“ stellen. Dann wird der Fingerprint-Mismatch ignoriert und die Verbindung funktioniert sofort wieder.

Server-Manager > (Links) Remotedesktop-Dienste > Sammlungen/Sammlungsname > Aufgaben/Eigenschaften bearbeiten > Sicherheit > Verschlüsselungsstufe > „niedrig“

Nach einem Klick auf „ok“ klappt das sofort, das Gateway nutzt die Verbindungseinstellungen direkt.

Möglichkeit 2: Die „korrekte“ aber äußerst fummelige Lösung besteht darin, das korrekte RDS-Zertifikat das im RDS-Manager festgelegt wurde auf die RDSH zu verteilen, dort manuell (!) in das Computerkonto zu importieren und den zugehörigen Fingerprint in dem Registry-Schlüssel

festzulegen. Nach einem Reboot der Hosts funktioniert die Verbindung meistens. Wie das allerdings klappen soll, wenn man auf einer LAN-Seite interne Zertifikate und auf der WAN-Seite externe nutzt konnte uns bishe rnoch niemand erklären …

Möglichkeit 3: Jemand(tm) hat auf dem Gateway die „Authentifizierung auf Netzwerkebene“ eingeschaltet. Das funktioniert sehr gut im internen Netzwerk, nicht aber wenn sich der Client außerhalb desselben befindet. Sprich: diese Sammlung funktioniert fehlerfrei für interne Nutzer, bei einer externen Anmeldung über RDWeb oder RDP am Gateway tritt der Fehler 0x607 auf.

Microsoft hat im Lauf der letzten Jahre die RDP-Unter­stützung auf mehrere Platt­formen ausgeweitet. So gibt es mittlerweile native Clients für macOS, iOS und Android, hinzu kommt eine UWP-App für Windows 10. Wer jedoch über den Browser auf die RDS zugreifen wollte, musste bis dato auf Produkte von Dritt­anbietern ausweichen. Dies ändert sich nun mit der Verfügbarkeit des Remote Desktop Web Client, wie die Software offiziell heißt.

Nicht kompatibel mit Per-Device-Lizenzen

Bevor man den RD Web Client installiert, sollte man sich überzeugen, dass man Per-User-Lizenzen verwendet und nicht solche für Geräte. Der HTML-Client würde nämlich sämtliche Device-Lizenzen in Beschlag nehmen, so dass er faktisch mit dieser Lizenzform nicht kompatibel ist. Eine entsprechende Warnung erhält man nochmals während der Installation.

Zu den weiteren Voraussetzungen gehört ein RDS-Deployment, das auch unter Windows Server 2019 ein RD Gateway benötigt. Auf dem Windows Server Summit hatte Microsoft noch angekündigt, dass diese RDS-Rolle in der nächsten Version des Servers für den Web Client nicht mehr nötig sein werde, wenn man nur von intern auf die RDS zugreifen will.

Update: Seit Version 1.0.11 kann man sich mit sich mit einem RD Broker unter Server 2019 auch ohne RD Gateway verbinden.

Installation über PowerShell

Der Web Client eignet sich zur Installation auf Windows Server 2016 und 2019, gehört aber bisher nicht zum Liefer­umfang der Betriebs­systeme.

Die Installation erfolgt über das Package Management von PowerShell, welches die benötigten Pakete von der PSGallery herunterlädt.

Anzumerken wäre dazu, dass im ersten Schritt das Modul PowerShellGet nicht nur unter Server 2016, sondern auch unter Server 2019 aktualisiert werden muss. Diesem Zweck dient der Befehl

Install-Module -Name PowerShellGet -Force

Die eigentliche Installation erfordert vier Befehle, so wie es diese Anleitung auf Microsoft Docs beschreibt:

Install-Module -Name RDWebClientManagement
Install-RDWebClientPackage
Import-RDWebClientBrokerCert <vom RD Broker exportierte .cer-Datei>
Publish-RDWebClientPackage -Type Production -Latest

Gleiches Zertifikat wie RD Broker

Für Umgebungen, in der nur solche Clients mit Session Hosts oder virtuellen Desktops kommu­nizieren, die von der IT des Unter­nehmens verwaltet werden, kann man ein Zertifikat verwenden, das man über die Enterprise CA des Active Directory ausgestellt hat.

Zu beachten ist hier aber generell, dass in der Konfiguration der RDS-Bereitstellung das Zertifikat für RD-Verbindungsbroker - einmaliges Anmelden aktivieren stets mit dem übereinstimmt, das man für den Web Client vom RD Broker übernommen hat.

Andernfalls läuft man in den Fehler "Uner­wartetes Server­authentif­izierungs­zertifikat". Daher sollte man das Zertifikat in den Web Client reimportieren, wenn man es für den RD Broker erneuert hat.

Web Client öffnen

Nach dem erfolgreichen Hinzufügen des Pakets für den Web Client kann man diesen dann über die URL nach dem Muster https://<FQDN des Servers>/RDWeb/webclient aufrufen. Unterstützt werden aktuell die neueren Versionen der Desktop-Browser wie Edge, IE 11, Google Chrome, Safari oder Firefox. Nicht gedacht ist er zurzeit für mobile Geräte.

Desktops und RemoteApp

Sobald man sich angemeldet hat, sieht man sowohl Sammlungen für RemoteApp oder Remote Desktops. Wenn der Administrator mehrere RemoteApp publiziert hat, dann öffnen diese alle innerhalb des gleichen Fensters. Umschalten kann man zwischen ihnen über die Leiste mit den aktiven Programmen am oberen Bildschirm­rand.

Während der Anmeldung wird man gefragt, welche lokalen Ressourcen in der Remote-Sitzung zugänglich sein sollen. Zur Auswahl stehen hier nur die Zwischenablage und Drucker, aber keine Laufwerke oder USB-Geräte wie beim nativen RDP-Client.

Drucken, dynamische Fenstergröße, Zwischenablage

Der Bildaufbau ist relativ flüssig und der Browser-Client ist auch in der Lage, Videos in einiger­maßen akzeptabler Qualität inklusive Sound abzuspielen. Der umgeleitete virtuelle Remotedesktop-Drucker erweist sich als eine Print-to-PDF-Funktion, die das PDF-Dokument nach seiner Erstellung automatisch auf den lokalen Rechner herunterlädt.

Während Anwender beim konven­tionellen RDP-Client relativ lange warten mussten, bis dieser ein nachträgliches Verändern der Fenstergröße erlaubte, bietet der HTML5-Client dieses Feature gleich von Anfang an. Ein Vollbildmodus steht ebenfalls zur Verfügung.

Eine größere Einschränkung gibt es zurzeit noch beim Daten­austausch zwischen der entfernten Sitzung und dem lokalen Endgerät.

Copy & Paste funktioniert nur für Text, andere Content-Typen wie Grafiken lassen sich über die Zwischenablage nicht transferieren. Zwischen den Anwendungen der Remote-Session gibt es diese Einschränkung aber nicht.

Auf das Kopieren von Dateien über HTTP, so wie von RDP gewohnt, muss man erwartungs­gemäß verzichten.

Fazit

Das Web-Frontend rundet Microsofts Client-Portfolio für die Remote Desktop Services um eine Option ab, die keine lokale Installation von Software benötigt. Da jedoch keine Mobil­geräte unterstützt werden und die meisten Endgeräte nach wir vor Windows-PCs sind, gehört der native RDP-Client dort ohnehin zum Liefer­umfang. Dieser bietet zudem ein wesentlich besseres Benutzer­erlebnis.

Aufgrund der aktuell bestehenden Ein­schränkungen handelt es sich beim Web Client um eine Nischen­anwendung, die für Ad-hoc-Verbindungen von außer­halb des Firmen­netzwerks interessant sein kann. Für den admini­strativen Zugriff auf Windows Server per Remote­desktop kann man sich den Aufwand für den Web Client sparen, ein solcher ist nämlich auch Bestandteil des Admin Center.

Was ist ein Remote Fehler?

Warum funktioniert Remotedesktop Verbindung nicht?

Welches Zertifikat wird für RDP verwendet?