Single-Sign-on (SSO) für Terminal-Server konfigurieren

Grundsätzlich unterstützt Microsoft das SSO für die Terminaldienste bereits seit Vista und Server 2008. Die dort notwendige Protokollkonfiguration auf jedem Session Host ist in den neuen Ausführungen des Systems jedoch nicht mehr erforderlich. Damit vereinfacht sich die Einrichtung dieses Features, aber einige bekannte Limits bestehen weiterhin.

Insgesamt gelten für hier beschriebene SSO-Konfiguration folgende Voraussetzungen und Einschränkungen:

• Der Connection Broker und alle Session Hosts innerhalb des Deployments müssen mindestens unter Server 2012 laufen
• Die Clients benötigen RDP 8.0
• SSO ist nur mit Konten aus einer AD-Domäne möglich
• Ein Single-Sign-on funktioniert nur bei einer Authentifizierung über Passwort, Smartcards werden nicht unterstützt.

Vorkonfiguriertes SSO in RD Web Access

Am einfachsten erlangt man unter Windows Server 2012 ein Single-Sign-on mittels RD Web Access, weil es keine separate Konfiguration erfordert.

Zwar muss man sich auch dort eigens über das HTML-Formular anmelden, weil ja auch der Zugang von beliebigen Clients außerhalb der Domäne möglich ist. Danach lassen sich aber alle Desktops und RemoteApp über die Web-Seite ohne weitere Eingabe von Kennwörtern starten.

Konfiguration des RDP-Clients über GPO

Innerhalb des Firmennetzes wird man Anwendungen und Desktops in der Regel nicht über RD Web Access starten, sondern entweder direkt über den RDP-Client oder über Icons, die man mit dem Webfeed zum Startmenü bzw. zur Startseite von Windows 8.x hinzufügt. Auf Touch-Geräten dient die Remotedesktop-App als zentrale Schaltstelle, die ebenfalls über den Webfeed konfiguriert werden kann.

Um bei diesem gängigen Szenario auf eine redundante Anmeldung zu verzichten, muss man die Client-PCs über eine Gruppenrichtlinie konfigurieren. Die zuständige Einstellung Delegierung von Standardanmelde­informationen zulassen findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Delegierung von Anmelde­informationen.

Wenn man sie aktiviert, dann muss man den Namen des RD Connection Broker oder einer Session-Host-Farm eingeben, für die ein SSO möglich sein soll. Gefragt ist hier eine Kombination aus TERMSRV/ und FQDN, also zum Beispiel TERMSRV/broker.contoso.com.

Die Richtlinie lässt die Eingabe von beliebig vielen Hosts zu, wobei man das Eintippen einer langen Liste von Namen durch die Verwendung von Wildcards abkürzen kann. So würde TERMSRV/*.contoso.com alle Session Hosts der Domäne contoso.com zulassen.

Wenn man den RDP-Client nach der Ausführung des GPO startet, dann blendet er die Eingabefelder für Benutzername und Passwort aus, sobald man einen Hostnamen eingibt, der in der Server-Liste des GPO enthalten ist.

Möchte man sich jedoch unter einer anderen Kennung anmelden, dann klickt man auf Optionen einblenden und aktiviert die Checkbox Immer Anmeldeinformationen anfordern.

Eine zentrale Konfiguration von SSO beeinflusst auch RD Web Access, wenn man es auf einem PC nutzt, der die genannte Gruppenrichtlinie ausführt. In diesem Fall kann man sich zwar im HTML-Formular unter einer beliebigen Kennung authentifizieren, aber anschließend starten Sessions auf dem Terminal-Server unter dem Namen des Benutzers, der am lokalen Rechner angemeldet ist.

SSO über RD Gateway

Die bisherige Beschreibung ging davon aus, dass man sich im Firmennetzwerk mit RD Web Access, einem Connection Broker oder einer TS-Farm verbindet. Benutzer, die von außerhalb auf Terminal-Server zugreifen, tun dies meistens über ein RD Gateway.

Auch diese Komponente einer Remotedesktop-Bereitstellung lässt sich unter Windows Server 2012 (R2) einfach für SSO konfigurieren. Zu diesem Zweck öffnet man im Server Manager die Übersichtsseite der Remotedesktopdienste und führt neben Bereitstellungsübersicht im Menü Aufgaben den Befehl Bereitstellungseigenschaften bearbeiten aus.

In den Einstellungen für Remotedesktopgateway muss die Option RD-Gatewayanmeldeinformationen für Remotecomputer verwenden aktiviert sein.