RDP6

Hm.. Miesiac prawie minal odkad cos tu napisalem, no ale lepiej póżno niż wcale. Przez owy miesiac zmienil sie layout na worldpressie i nie dosc ze sie gubie to durny system nonstop przelacza mi jezyk klawiatury z PL na EN-GB i skutecznie uniemozliwia mi pisanie takich znaków jak  a i e z haczykami wiec bedzie bez. Rozwikłam ten problem może póżniej. A nóż ktoś trafnie skomentuje moja zapewne karygodna wiedze w kwesti ustawien regionalnych workstacji.. ;) Domyślna czcionka też widze sie zmieniła. Zobaczymy co to będzie jak będę chciał te wypociny opublikować…

Cała ta historia dotyczy tylko sytuacji, w której kogoś obchodzą certyfikaty w RDP, wiec jesli ktos sie tym nie interesuje to nie ma nic do czytania ;) Dziś na szybko troche o RDP6 i certyfikatach w srodowiskach NLB oraz o  takim małym narzdzedziu o nazwie RDPsign dostepnym natywnie pod W2k8 i co ciekawe wogóle nie działajacym pod Vista po próbie skopiowania samego tylko rdpsign.exe. Ale do rzeczy, jakis prawie miesiac robie sobie przedbiegi z wdrozeniem w firmie środowiska terminalowego opartego w całości na W2k8, a które działa obecznie pod uwaga NT4 i Citrixem chyba 3.coś.  Przy okazji może kogoś zainteresuje ten dokument całkiem krótko i treściwie (z wykresami które powinny przemówić do zarzadu) omawiajacy wydajność RDP6.  Czytaj dalej…

Certyfikaty, Certsrv, Store Certificate..

Co jakiś czas na WSS przewija się wątek w stylu ‚Nie mam opcji Store certificate in local computer store’ lub ‚Na Viscie nie działa Certsrv z W2K3’ Spróbuje to troche ugruntować by rozwiać wszelkie wątpliwości, może nawet ktoś to przeczyta ;) W sumie pisałem juz troche o tym wcześniej ale nie bezpośrednio, albo nikt tego nie czytał co bardziej prawdopodobne.

Jak powszechnie wiadomo certsrv z W2K3 na Viscie nie działa. Przynajmniej nie odrazu. Aby to zaczeło działać jak trzeba niezbędna jest poprawka KB922706. Poprawke można instalować w locie, nie wymaga restartów systemu itp. Jedyne co ma moment przestanie działać to certsrv. Pechowo po instalacji zawartośc certsrv w skrócie jest podmieniana na tą z W2K8. Pech znów chciał, że w W2K8 opcji ‚Store Certificate in Local Computer Store’ nie ma. Szukałem dość sporo czemu jej tam nie ma i w sumie to jedyny powód jaki przychodzi mi do głowy jest taki:  W Viscie IE nie korzysta z konta administratora, a opcja, o którą się rozchodzi takowych wymaga, wiec ludzie z MS postanowili ją chyba w ogóle usunąc z certsrv pod W2K8.

Jaki jest tego efekt: Nie da się już wygenerować certyfikatu komputera korzystajac z certsrv. Jak obejśc ten problem, no cóż sa dwa rozwiązania oba w polskich realiach cięzkie do zaakceptowania, pechowo przyjmie się pewnie to drugie:

1. Porządnie. Zapomnieć o certsrv i korzystać z AD do dystrybucji certyfikatów, tylko wtedy trzeba mieć całkiem niezłą infrastrukturę no i firmowe laptopy dla użytkowników, którzy np chcieli by się łączyć do firmy po sensownie zabezpieczonym VPN-ie. W małych firmach to nie przejdzie i tu trzeba sie troche zastanowić czy nie lepiej (taniej) będzie zestawić PPTP, kwestia oceny ryzyka itp.

2. Byle osiągnąć cel. Generować certyfikaty samemu poprzez schemat offline router. I dystrybuować je w jakiś bezpieczny sposób (żaden nie przychodzi mi do głowy) użytkownikom. Bo w końcu kto zabroni userowi zainstalować sobie ten certyfikat gdziekolwiek albo go zgubić/wyexportować itp.

Warto jeszcze dodać ze do obu tych manewrów trzeba W2K3/W2K8 w wersjach Enterprise.

Poprawka co nic nie poprawia.

Ostatnio zmagałem się z poprawieniem/usprawnieniem/ułatwieniem dostępu poprzez VPN pracowników z domowych komputerów. Przepastną instrukcje w stylu ‘Od zera do mastera z VPN’ przerobiłem przy pomocy CMAK-a na 2 stronnicową broszukrę, która skupiała się w sumie tylko na generowaniu sobie poprzez https://ca/certsrv certyfiaktu komputera. (CA na w2k3 STD)

 

Teoria jest prosta, user wtyka płytkę CD do napędu, kolejno instaluje mu sie gdzie trzeba cert usera, cert CA, potem connectoid połączenia PPTP, user się łączy klika swoje by wygenerować sobie cert komputera. Rozłącza, instaluje mu sie connectoid połączenia L2TP, PPTP sie usuwa. Klasa, jeśli się ma XP.

 

Praktyka. Jak wiadomo CA w2k3 (STD lub EE) słabo obsługuje Visty. W sumie wcale. Jednak pojawił się ratunek – poprawka o numerze KB922706, która modyfikuje strony certsrv by Vista działała. Nawet działa (IE w Viscie musi mieć CA w Trusted Sites , i certsrv musi chodzić po HTTPS) ale.. z CA znika magiczna opcja ‘Store certificate in the local computer store’ tym samym certyfikatu komputera wygenerować się nie da. I to nie tylko w Viscie bo w XP też. (Odświeżone certsrv z CA w2k8 wogóle tej opcji nie ma)

 

I teraz zachodzi pytanie. Jak rozwiązać taki problem bez migracji do CA na w2k3 EE ? No bo dołączanie kompa usera do domeny nie wchodzi w gre. Wciskanie mu firmowego laptopa – może, z tym, że wtedy powstanie masa dodatkowej roboty przy przygotowaniu i  supportowaniu tych laptopow i problemow z nimi zwiazanych.

Certyfikaty

Długo nic nie pisałem, ale to dlatego, że mi sie nie chciało ;)  Tak czy owak ostatnio, siedziałem trochę nad zagadnieniem bezbolesnego zainstalowania VPN-a (L2TP)  po stronie usera w domu dzięki czemu udało mi się natrafić na dwa fajne narzędzia.

 

Certmgr.exe – pozwala nam bezproblemowo zainstalowac w odpowiednim miejscu certyfikat .cer czyli np root certyfikat naszego fimowego CA.  Szybki przykład:

 

certmgr /add jakis_root.cer /s /r localmachine root  

Umieści certyfikat w lokalnym repozytorium usera do tego w sekcji zaufanych certyfikatów.

 

Winhttpcertcfg.exe – importuje, wraz z kluczem prywatnym certyfikaty .pfx plus pare bajerów, np rozszerzenie uprawnien klucza prywatnego na inne konto np:

 

winhttpcertcfg -i user.pfx -c CURRENT_USER\My -a administrator -p haslo_certa

Zainstaluje, a własciwie zaimportuje do lokalnego repozytorium certyfikatów certyfikat z pliku pfx opatrzonego hasłem dodatkowo rozszerzając uprawnienia klucza prywatnego na konto administratora.