Change RDS Certificate Parameter Invalid

Es gibt solche und solche Tage. In einer Kundensituation baue ich gerade eine sehr große RDS Landschaft auf Basis Windows Server 2016 auf. In der Umgebung arbeiten wir mit vielen verschiedenen RDP Client Versionen und verschiedenen Plattformen. Als wir einen Zertifikatsfehler nicht lösen konnten, entschloss ich mich testweise das RDP Zertifikat an einigen Sessionhosts zu tauschen. Normalerweise spielt das Session Host Zertifikat ab RDP 8.0 keine Rolle mehr. Microsoft ermöglichte die Änderung bis 2008R2 in der GUI, ab 2012 nur noch per Powershell. Dazu gibt es mittlerweile auch einen Hilfeartikel von Microsoft. Im Bild zu sehen ist die Änderung vom Self-Signed RDP Zertifikat auf das Externe.

153

Nachdem der Tausch auch keine Lösung für das ursprüngliche Problem brachte, war klar dass es wieder zurück gerollt werden musste. Der erste Befehl liest den Zertifkatsfingerabruck aus dem Zertifikat im Speicher Remotedesktop aus. Der zweite Befehl soll das verwendete Zertifikat tauschen.

$Thumb = (Get-ChildItem -Path ‚Cert:\LocalMachine\Remote Desktop‘).Thumbprint
$path = (gwmi -class „Win32_TSGeneralSetting“ -Namespace root\cimv2\terminalservices -Filter „TerminalName=’RDP-tcp'“).__path
swmi -Path $path -argument @{SSLCertificateSHA1Hash=“$Thumb“}

Leider hat das zurückändern nicht mehr funktioniert. Obwohl der Zertifikat im Speicher war, erschien die Fehlermeldung swmi : Invalid Parameter

155

Das Internet und die Blogs sind voll von Empfehlungen, andere Schreibweise des Thumbs, CMD statt Powershell, aber auch viele Artikel ohne Lösung. So erging es auch mir, keine Lösungsempfehlung half. Neuaufbau beim Kunden war keine Option. Nach einer langen Nacht konnte ich den Fehler in der Windows Registry ausfindig machen. Dort wird ein fehlerhafter Wert generiert und verhindert dann sämtliche Änderungsversuche. Nachdem der Wert SSLCertificateSHA1Hash aus der Registry gelöscht wurde, klappte auch die Änderung auf ein neues RDS Zertifikat. Der Fehler tritt aktuell unter Windows Server 2012 bis 2016 auf.

156 157