Remotedesktop (RDP) – Uwe Gradenegger

Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung "Invalid parameter"

Folgendes Szenario angenommen:

Ein manuell beantragtes Remotedesktop-Zertifikat soll auf einem Computer dem Remotedesktop-Sitzungshost zugewiesen werden.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Set-WMIInstance : Invalid parameter
 At line:1 char:1
 Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
 ~~~~~~~~~~~~~~~~~ CategoryInfo          : InvalidOperation: (:) [Set-WmiInstance], ManagementException
 FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance

Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich

Folgendes Szenario angenommen:

Man möchte eine Remotedesktopverbindung herstellen.
Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
Die Verbindung schlägt mit folgender Fehlermeldung fehl:

A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.

Übersicht über die für die PKI relevanten Ereignisse des Remotedesktop-Sitzungshosts

Nachfolgend eine Übersicht über die für die Public Key Infrastruktur relevanten vom Remotedesktop-Sitzungshost erzeugten Ereignisse in der Windows-Ereignisanzeige.

Details zum Ereignis mit ID 1073 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1073 (0xC0000431)
Ereignisprotokoll:	System
Ereignistyp:
Ereignistext (englisch):	The msPKI-Cert-Template-OID column for the template-based certificate %1 returned an unknown data type %2.
Ereignistext (deutsch):	Die Spalte "msPKI-Cert-Template-OID" für das vorlagenbasierte Zertifikat %1 hat den unbekannten Datentyp %2 zurückgegeben.

Details zum Ereignis mit ID 1072 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1072 (0xC0000430)
Ereignisprotokoll:	System
Ereignistyp:
Ereignistext (englisch):	The cn column for the template-based certificate %1 returned an unknown data type %2.
Ereignistext (deutsch):	Die Spalte "cn" für das vorlagenbasierte Zertifikat %1 hat den unbekannten Datentyp %2 zurückgegeben.

Details zum Ereignis mit ID 1065 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1065 (0xC0000429)
Ereignisprotokoll:	System
Ereignistyp:	Fehler
Ereignistext (englisch):	The template-based certificate that is being used by the RD Session Host server for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption has expired and cannot be replaced by the RD Session Host server. The following error occurred: %1.
Ereignistext (deutsch):	Das vorlagenbasierte Zertifikat, das vom Remotedesktop-Sitzungshostserver für Authentifizierung und Verschlüsselung mithilfe von Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) verwendet wird, ist abgelaufen und kann nicht vom Remotedesktop-Sitzungshostserver ersetzt werden. Fehler: %1.

Details zum Ereignis mit ID 1064 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1064 (0xC0000428)
Ereignisprotokoll:	System
Ereignistyp:	Fehler
Ereignistext (englisch):	The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occured: %1.
Ereignistext (deutsch):	Der Remotedesktop-Sitzungshostserver kann kein neues vorlagenbasiertes Zertifikat installieren, das für Authentifizierung und Verschlüsselung mithilfe von Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) verwendet werden soll. Fehler: %1.

Details zum Ereignis mit ID 1063 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1063 (0xC0000427)
Ereignisprotokoll:	System
Ereignistyp:	Information
Ereignistext (englisch):	A new template-based certificate to be used by the RD Session Host server for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption has been installed. The name for this certificate is %1. The SHA1 hash of the certificate is provided in the event data.
Ereignistext (deutsch):	Es wurde ein neues vorlagenbasierten Zertifikat installiert, das vom Remotedesktop-Sitzungshostserver für die Authentifizierung und Verschlüsselung mithilfe von Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) verwendet werden soll. Der Name dieses Zertifikats lautet "%1". Der SHA1-Hashwert des Zertifikats wird in den Ereignisdaten bereitgestellt.

Details zum Ereignis mit ID 1062 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1062 (0xC0000426)
Ereignisprotokoll:	System
Ereignistyp:	Fehler
Ereignistext (englisch):	The RD Session Host server is configured to use a template-based certificate for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption, but the subject name on the certificate is invalid. %1 The SHA1 hash of the certificate is in the event data. Therefore, the default certificate will be used by the RD Session Host server for authentication. To resolve this issue, make sure that template used to create this certificate is configured to use DNS name as subject name .
Ereignistext (deutsch):	Der Remotedesktop-Sitzungshostserver ist für die Verwendung eines vorlagenbasierten Zertifikats für die Authentifizierung und Verschlüsselung mithilfe von Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) konfiguriert, aber der Antragstellername auf dem Zertifikat ist ungültig. %1 Der SHA1-Hashwert des Zertifikats ist in den Ereignisdaten enthalten. Daher verwendet der Remotedesktop-Sitzungshostserver das Standardzertifikat für die Authentifizierung. Zum Lösen des Problems sollten Sie sicherstellen, dass die zum Erstellen dieses Zertifikats verwendete Vorlage für die Verwendung eines DNS-Namens als Antragstellername konfiguriert ist .

Details zum Ereignis mit ID 1059 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1059 (0xC0000423)
Ereignisprotokoll:	System
Ereignistyp:
Ereignistext (englisch):	The RD Session Host Server authentication certificate configuration data was invalid and the service reset it. If the computer was configured to use a specific certificate, please verify it is available in the certificate store and use the administrative tools to select it again.
Ereignistext (deutsch):	Die Konfigurationsdaten des Authentifizierungszertifikats für den Remotedesktop-Sitzungshostserver waren ungültig, und der Dienst hat sie zurückgesetzt. Wenn der Computer für die Verwendung eines bestimmten Zertifikats konfiguriert war, überprüfen Sie, ob es im Zertifikatspeicher verfügbar ist, und verwenden Sie die Verwaltungsdienstprogramme, um es erneut auszuwählen.

Details zum Ereignis mit ID 1058 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1058 (0xC0000422)
Ereignisprotokoll:	System
Ereignistyp:
Ereignistext (englisch):	The RD Session Host Server has failed to replace the expired self signed certificate used for RD Session Host Server authentication on SSL connections. The relevant status code was %1.
Ereignistext (deutsch):	Fehler beim Ersetzen des abgelaufenen selbstsignierten Zertifikats für die Remotedesktop-Sitzungshostserver-Authentifizierung bei SSL-Verbindungen. Zugehöriger Statuscode: %1.

Details zum Ereignis mit ID 1057 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1057 (0xC0000421)
Ereignisprotokoll:	System
Ereignistyp:
Ereignistext (englisch):	The RD Session Host Server has failed to create a new self signed certificate to be used for RD Session Host Server authentication on SSL connections. The relevant status code was %1.
Ereignistext (deutsch):	Fehler beim Erstellen eines neuen selbstsignierten Zertifikats, das für die Remotedesktop-Sitzungshostserver-Authentifizierung bei SSL-Verbindungen verwendet werden soll. Zugehöriger Statuscode: %1.

Details zum Ereignis mit ID 1056 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1056 (0xC0000420)
Ereignisprotokoll:	System
Ereignistyp:	Information
Ereignistext (englisch):	A new self signed certificate to be used for RD Session Host Server authentication on SSL connections was generated. The name on this certificate is %1. The SHA1 hash of the certificate is in the event data.
Ereignistext (deutsch):	Es wurde ein neues selbstsigniertes Zertifikat für die Remotedesktop-Sitzungshostserver-Authentifizierung bei SSL-Verbindungen generiert. Der Name auf diesem Zertifikat ist "%1". Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten.

Details zum Ereignis mit ID 1055 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1055 (0xC000041F)
Ereignisprotokoll:	System
Ereignistyp:
Ereignistext (englisch):	The RD Session Host Server is configured to use a certificate but is unable to access the private key associated with this certificate. %1 The SHA1 hash of the certificate is in the event data. The default certificate will be used for RD Session Host Server authentication from now on. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder.
Ereignistext (deutsch):	Der Remotedesktop-Sitzungshostserver ist für die Verwendung eines Zertifikats konfiguriert, kann jedoch nicht auf den diesem Zertifikat zugeordneten privaten Schlüssel zugreifen. %1 Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten. Ab jetzt wird für die Remotedesktop-Sitzungshostserver-Authentifizierung das Standardzertifikat verwendet. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Dienstprogramms "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung".

Details zum Ereignis mit ID 1054 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:	Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:	1054 (0xC000041E)
Ereignisprotokoll:	System
Ereignistyp:
Ereignistext (englisch):	The RD Session Host Server is configured to use a certificate that does not contain an Extended Key Usage attribute of Server Authentication. %1 The SHA1 hash of the certificate is in the event data. The default certificate will be used for RD Session Host Server authentication from now on. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder.
Ereignistext (deutsch):	Der Remotedesktop-Sitzungshostserver ist für die Verwendung eines Zertifikats konfiguriert, das kein Attribut "Erweiterte Schlüsselverwendung" der Serverauthentifizierung enthält. %1 Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten. Ab jetzt wird für die Remotedesktop-Sitzungshostserver-Authentifizierung das Standardzertifikat verwendet. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Tools "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung".