Nach der Installation der Windows Updates vom April 2026 erscheint auf so manchem Client beim Verbindungsaufbau zu einem Terminal-Server diese Fehlermeldung.
Der Grund liegt darin, dass Microsoft eine Korrektur am Remote Desktop vorgenommen hat um RDP-Verbindungen besser gegen Phishing-Angriffe zu schützen.
Wenn Sie eine RDP-Datei öffnen, kann sie den Zugriff auf Ressourcen auf Ihrem lokalen Gerät anfordern. Diese Anforderungen werden als Umleitungen bezeichnet. Sie teilen Teile Ihres lokalen Geräts mit dem Remotecomputer. Nach diesem Update werden alle von RDP-Dateien angeforderten Umleitungen standardmäßig deaktiviert , es sei denn, Sie entscheiden sich dafür.
Wenn eine RDP-Datei nicht digital signiert ist, gibt es keine Möglichkeit, zu überprüfen, wer sie erstellt hat oder ob sie manipuliert wurde. In diesem Fall zeigt das Sicherheitsdialogfeld ein Banner mit dem Titel Vorsicht: Unbekannte Remoteverbindung und legt das Feld Publisher auf “Unbekannter Herausgeber” fest.
Signieren von RDP-Dateien
Abhilfe schafft das Signieren der RDP-Datei mit Hilfe eines Zertifikats. Hierfür benötigt man ein Code-Signing-Zertifikat in einer der folgenden drei Varianten:
- Öffentliches Code-Sigining Zertifikat (lokale Geräte an verschiedenen Orten)
- Code-Signing Zertifikat einer internen Zertifizierungsstelle (eigenes Active Directory vorhanden)
- Selbstsigniertes Code-Signing Zertifikat (für kleine Umgebungen bzw. Testumgebungen)
Die Signatur der RDP-Datei erfolgt mit Hilfe eines Tools von Microsoft namens RDPSIGN. Die Funktionsweise bzw. der Ablauf wird in diesem Artikel von Microsoft beschrieben: https://learn.microsoft.com/de-de/windows-server/administration/windows-commands/rdpsign
Wurde die RDP-Datei mit einem Zertifikat signiert, bestätigt die Signatur wer die Datei erstellt hat und es ändert sich die Art der Meldung:
Verteilung der Code-Signing Zertifikate
Damit auch dieser Warnhinweis nicht mehr erscheint, muss der Inhaber des Code-Signig Zertifikats auf den betroffenen Clients als vertrauenswürdig gekennzeichnet werden. Dies erreicht man am einfachsten durch Verteilung des Thumbprints des Code-Singing Zertifikats mit Hilfe einer entsprechenden Gruppenrichtlinie:
Nun sollte eine Verbindung zum Terminal-Server wieder ohne Fehlermeldung möglich sein.
Temporäre Abhilfe (ohne Zertifikat)
Dieser Sicherheitsdialog kann temporär auch mittels Registry-Eintrag deaktiviert werden:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
- Name: RedirectionWarningDialogVersion
- Typ: REG_DWORD
- Wert: 1
ACHTUNG:
Dieser Workaround sollte aus Sicherheitsgründen nur als temporäre Abhilfe verwendet werden. Außerdem könnten zukünftige Windows Updates dieses Verhalten ändern.