Проблема сертификата с RemoteApp на Сервере 2008
перейдите к своим rdp-tcp свойствам и выберите вкладку "Общие"-> и выберите свой внешний сертификат у основания листа свойств. Это позволит всей коммуникации быть основанной на внешнем сертификате вместо несоответствия, когда rdp будет использовать значение по умолчанию, внутреннее для самого сервера
Это смотрит мне, как Вы пытаетесь соединиться с сервером с помощью его "внутреннего имени", но Вы выбрали сертификат, который имеет "внешнее имя", указанное.
Если Вы хотите, чтобы "внутреннее имя" работало "позади брандмауэра", и Ваш брандмауэр NAT не поддерживает "шпильку NAT" (т.е. NAT'ting запрос, прибывающий из интерфейса LAN назад к интерфейсу LAN) затем, Вы могли сделать классический "обман" создания зоны DNS в Ваших внутренних серверах DNS под названием "publicname.ourdomain.com" с синглом запись в нем, которая содержит внутренний IP-адрес сервера.
Это похоже "на расщепленный горизонт DNS", но ограниченный к единственному имени (так, чтобы "нормальное" определение имен остальной части зоны "ourdomain.com" было незатронуто).
-
1Хм, I' m не так уверенный это - проблема. Помните, что сервер Шлюза TS используется, и это позволяет Вам соединяться с машиной ее " внутренний name" (например, srv-app.ourdomain.local), даже когда вне LAN. DNS и маршрутизация мудрого, все здесь прекрасно. У меня должен быть сертификат с " внешний name" выбранный, потому что сертификат с " внутренний name" isn' t выпущенный доверяемым корнем Приблизительно. Я собираюсь обновить свой вопрос с обходным решением I' ve, просто найденный, так или иначе. – tomfanning 11 August 2009 в 16:48
-
2Если Ваши клиенты используют " внутренний name" но сертификат имеет " внешний name" указанный затем you' ре, собирающееся получить ошибку. Аналогично, если Вы используете сертификат с " внутренний name" но сертификат недоверяем клиентам you' ре, также собирающееся получить ошибку. – Evan Anderson 11 August 2009 в 22:27
Я видел это в нашей собственной среде. Из того, что я вижу, туннелировавшее Шлюзом соединение RDP будет на самом деле использовать два набора сертификатов: Сначала это зашифрует туннель между клиентом и шлюзом, и затем во-вторых, между клиентом и сервером (хотя этот трафик уже в защищенном от шлюза туннеле). Это экранировало меня также, и я не нашел никакой другой "надлежащий" способ сделать это, чем использовать два сертификата, тот, который соответствует внешнему названию Вашего шлюза и тому, которое соответствует внутреннему названию Вас Сервер TS. Обновите этот поток при нахождении чего-нибудь!
Установка
authentication level:i:0
в пользовательском RDP настройки работает вокруг этой проблемы (как отправлено в моем вопросе)
Получите сертификат SAN с несколькими именами и локальными именами хостов или IP адресами. Это будет работать отлично.
Если Вы хотите зафиксировать это, не снижая Ваш подлинный уровень, открыть Remote App Manager и нажать изменение рядом с "Настройками Хост-сервера Сессии RD", Проверяют, что Имя сервера Настроек подключения имеет корректный внешний DNS. В том же диалоговом окне нажимают вкладку Digital Signature и устанавливают его на корректный сертификат SSL.
Обратите внимание, что также необходимо настроить внешний сертификат в свойствах Session Host Configuration RDP-Tcp как отправленный JT.