Адрес сервера, который требуют и предмет сертификата, не делает никакого соответствия
Можно хотеть дерево что-то как:
- com - mycompany - (stuff)
- resellerN - (stuff)
- companyR - (stuff
- companyN - (stuff)Материал состоял бы из деревьев серверов, пользователей и чего-либо еще, что Вы отслеживаете.
Необходимо будет установить ACLs для работы на основе DC зарегистрированного пользователя. Предоставьте им доступ к вещам в их DC и реве.
Это дало бы Вам три уровня DC, расположенные следующим образом:
dc=mycomppany,dc=comdc=resellerN,dc=mycomppany,dc=comdc=companyM,dc=resellerN,dc=mycomppany,dc=comdc=companyN,dc=mycomppany,dc=com
Необходимо будет создать и протестировать соответствующий regexp ACLs на дополнительные уровни. (Я получил бы ACL для Вашей организации, работающей сначала, и работал бы оттуда. Я нахожу, что Zytrax documenation помогает много.
Вот шаги, которые я предпринял, чтобы заставить его работать:
- Выпустить сертификат SSL с субъектом, совпадающим с общедоступным DNS-именем (FQDN)
Использовать порт по умолчанию 3389 / TCP, иначе имя SSL-сертификата выиграет не соответствует полному доменному имени, возвращается ошибка:
Компьютер не может проверить подлинность шлюза удаленных рабочих столов.
или если вы поместите его в доверенные корневые центры сертификации текущего пользователя:
Ваш компьютер не может подключиться компьютер, потому что запрошенный адрес сервера шлюза удаленных рабочих столов и имя сертификата не совпадают.
Также опубликуйте HTTPS-порт 443 / TCP. В противном случае соединение не будет установлено, и появится еще одна бессмысленная ошибка:
Ваш компьютер не может подключиться к удаленному компьютеру, потому что сервер RDG временно недоступен.
См. сообщение в моем блоге об этом.
Судя по всему, MS несколько испортила инструкцию.
Я считаю, что вам нужно создать запрос сертификата в диспетчере iis на компьютере шлюза rdg. В запросе необходимо указать fqdn, используемый клиентами для подключения через Интернет. Для обработки подписи запроса вы используете центр сертификации, которому доверяют ваши клиентские компьютеры. Если у вас есть полный контроль над клиентскими компьютерами, вы можете использовать свой собственный ЦС, если они доверяют вашему корневому сертификату ЦС. В противном случае используйте коммерческий центр сертификации, например Verisign, Thawte или аналогичный. После импорта подписанного сертификата в iis он должен быть доступен для импорта на ваш шлюз rdg.
Все это задокументировано в официальном руководстве: http://technet.microsoft.com/en-us/library/dd983941 % 28WS.10% 29.aspx
, включая полезный, если разглагольствует, комментарий внизу http://technet.microsoft. Перейдите на веб-сайт по умолчанию и настройте «Параметры приложения» для «Веб-сайт по умолчанию \ RDWeb \ Pages». Измените следующий параметр: «DefaultTSGateway» = [fqdn доступного через Интернет шлюза TS]
Примечание: убедитесь, что это также имя сервера, указанное в вашем SSL-сертификате. »
Я уберу этот пост, как только найду правильный компьютер.