Проблема могла быть решена. Контроллер домена, выполняющий роль эмулятора FSMO PDC, работал на VMware ESXi. Прежде всего, переместил это на аппаратный контроллер домена.
Дополнительно полностью отключил временную синхронизацию в виртуальных контроллерах домена. Подробнее см. http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1189 .
Пока я не видел предупреждений.
Используете ли вы при подключении к клиенту RDP полное имя, соответствующее имени в сертификате? Например, если вы используете RDP для хоста, используя только имя foo
, и позволяете вашему пути поиска DNS определять, что это foo.example.com
, и ваш сертификат имеет значение foo.example.com
, то вы получите сообщение об ошибке.
Итак, чтобы быть более конкретным. Если вы устанавливаете сертификат с именем foo.example.com
, то вы используете RDP для этого хоста, используя только это имя, а не IP-адрес, псевдоним DNS или любые сокращенные формы имени.
Поскольку у вас есть внутренний центр сертификации, вы можете рассмотреть возможность создания сертификата с подстановочными знаками и / или сертификата с несколькими именами.