Соединение RDWeb TS, поврежденное для некоторых пользователей, отправляет изменение сертификата RemoteApp
Мы недавно переиздали наш подстановочный сертификат GoDaddy с алгоритмом подписания SHA256 (к вашему сведению, они все еще отменяют старый сертификат за 72 часа, даже если Вы не повторно вводите его, таким образом, необходимо повторно ввести так или иначе). Мы используем этот сертификат для нашего RemoteApps, RDP Терминальных серверов, RDGateway и RDWeb (IIS).
Когда я изменяюсь на новый Wildcard-сертификат в "менеджере RemoteApp"-> "Настройки Цифровой подписи" на данном Терминальном сервере (иначе Хост-сервер Сессии) Соединения от RDWeb для приложений, опубликованных на том сбое терминального сервера для некоторых пользователей, но соединения с помощью .rdp файл хорошо работают для всех пользователей. Кроме того, и это - самая странная вещь, которую я когда-либо видел, неправильный пользователь зарегистрирован как являющийся запрещенным доступа в шлюзе. Если я возвращаю сертификат старому, отменяемому сертификату для этой установки, то все работает.
Рабочая установка:
- Все серверы Windows 2008 R2 Datacenter
- RDGateway+RDWeb - rdsgateway.contoso.com (новый подстановочный сертификат установил и для IIS и для rdgateway),
- TS - ts1.contoso.com (новый подстановочный сертификат установил только для RDP, СТАРЫЙ сертификат, установил для RemoteAPP),
Нерабочая установка:
- Все серверы Windows 2008 R2 Datacenter
- RDGateway+RDWeb - rdsgateway.contoso.com (новый подстановочный сертификат установил и для IIS и для rdgateway),
- TS - ts1.contoso.com (новый подстановочный сертификат установил для RDP, НОВЫЙ сертификат, установил для RemoteAPP),
При Запуске от RDWeb использования пользователя "CONTOSO\bob" сгенерирована следующая ошибка:
Удаленный рабочий стол не может подключить к удаленному компьютеру "ts1.contoso.com" по одной из этих причин: 1) Ваша учетная запись пользователя не перечислена в списке разрешения Шлюза RD 2), Вы, возможно, указали удаленный компьютер в формате NetBIOS...
Когда я смотрю на Журнал событий "Microsoft-Windows-TerminalServices-Gateway/Operational", я вижу следующую ошибку:
Пользователь "CONTOSO\alice", на клиентском компьютере "123.123.123.123", не отвечал требованиям политики авторизации ресурса и не был поэтому разрешен снабдить "ts1.contoso.com". Следующая ошибка произошла: "23002".
Что продолжается? Почему делает изменение причины сертификата подписания RemoteApp шлюз, чтобы думать, что это - другой пользователь, соединяющийся?
Нашел эту страницу после того, как столкнулся с той же проблемой. Для нас решение состояло в том, чтобы добавить порт 3389 к шлейфу (он же «Шпилька NAT») на нашем брандмауэре.
Некоторые дополнительные детали:
Замена сертификата была сложнее, чем его установка в первый раз, но я думаю, что мы сделали это правильно, и приложения работали нормально день или два. Пользователи начали получать ошибки при запуске, и мы использовали скрипт PowerShell здесь https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80 , чтобы повторно опубликовать полное доменное имя сервер.
Я думаю, что этот сценарий должен был установить полное доменное имя в части конфигурации, которая никогда раньше не указывалась, в результате чего шлюз удаленных рабочих столов ссылался на себя по своему полному доменному имени для передачи запросов. Эти запросы не удались, поскольку наш пограничный брандмауэр разрешил только 80 и 443 как для входящих, так и для запросов обратной связи.
Добавление порта 3389 к правилу обратной связи на брандмауэре немедленно решило проблему.