Один для наблюдения в будущем, DirectAccess в соответствии с Windows 2008 R2 вместе с Windows 7.
Красота этой системы состоит в том, что она установит соединение VPN без пользователя, имеющего необходимость даже быть зарегистрированным. Таким образом, как только ноутбук видит сетевое соединение, он попытается говорить с Вашим шлюзом Windows 2008 R2 DirectAccess и попытаться создать безопасное соединение. Это особенно удобно для удаленных admining/patching ноутбуков в поле и т.д. И, можно также осуществить Групповые политики этот путь, поскольку ноутбук уже говорит контроллерами домена, когда пользователь войдет в систему, они возьмут GP.
Пользователи не будут знать, что им установили соединение VPN; они не должны 'набирать' или 'разъединять' соединение VPN, они просто нажимают на ссылку на тот совместно используемый файл в том электронном письме, которое они просто получили, и файл откроется непосредственно от Вашего сетевого файлового сервера. Минимальная пользовательская поддержка требуется!
Определенно стоящий слежения позже в этом году.
Оказывается, большая часть данных конфигурации для RDSH хранится в классе Win32_TSGeneralSetting
в WMI в пространстве имен root \ cimv2 \ TerminalServices
. На настроенный сертификат для данного соединения ссылается значение отпечатка этого сертификата в свойстве с именем SSLCertificateSHA1Hash
.
ОБНОВЛЕНИЕ: Вот обобщенное решение Powershell, которое захватывает и устанавливает отпечаток первого SSL-сертификат в личном магазине компьютера. Если в вашей системе несколько сертификатов, вам следует добавить параметр -Filter
к команде gci
, чтобы убедиться, что вы ссылаетесь на правильный сертификат. Я оставил свой исходный ответ без изменений для справки.
# get a reference to the config instance
$tsgs = gwmi -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"
# grab the thumbprint of the first SSL cert in the computer store
$thumb = (gci -path cert:/LocalMachine/My | select -first 1).Thumbprint
# set the new thumbprint value
swmi -path $tsgs.__path -argument @{SSLCertificateSHA1Hash="$thumb"}
Чтобы получить значение отпечатка
Теперь, когда у вас есть значение отпечатка пальца, вот однострочник, который вы можете использовать для установки значения с помощью wmic:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
Или, если вам подходит PowerShell , вы можете использовать это вместо:
$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}
Примечание: сертификат должен быть в «Личном»
Вам нужен Ваш domain.pfx
& цифровой отпечаток в txt файле SSLCertificateSHA1Hash.txt
.
Затем выполняет это в CMD:
pushd %~dp0
cls
::FreeSoftwareServers.com
certutil.exe -p "" -importpfx "%~dp0domain.pfx"
set /p FingerPrint=<"%~dp0SSLCertificateSHA1Hash.txt"
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="%FingerPrint%"
icacls.exe "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" /grant "NETWORK SERVICE":R
shutdown /r /t 5
Если вы получаете «Недопустимый параметр» при попытке решения Райана, убедитесь, что вы используете командную строку с повышенными привилегиями (запускайте от имени администратора).