ฉันจะแก้ไขปัญหาเกี่ยวกับการกำหนดค่าใบรับรองในบริการเดสก์ท็อประยะไกลได้อย่างไร


32

ฉันกำลังตั้งค่าฟาร์มบริการเดสก์ท็อประยะไกลและมีปัญหาในการกำหนดค่าใบรับรองเพื่อใช้งาน การสาธิตปัญหาที่ฉันเห็นสามารถพบได้ในขั้นตอนที่ 4

ณ จุดนี้ฉันเชื่อว่ามีปัญหากับส่วนติดต่อผู้ใช้และกำลังมองหาวิธีการรอบ ๆ พวกเขา มีวิธีใดบ้างในการกำหนดค่าใบรับรองในบริการเดสก์ท็อประยะไกลเพื่อให้มีการตั้งค่าและแสดงใน GUI ถ้าไม่มีวิธีใดบ้างที่ฉันจะตรวจสอบว่าการตั้งค่าถูกต้องหรือไม่

ขั้นตอนที่ # 1 - สร้างใบรับรองที่จะใช้

ฉันกำหนดค่าใบรับรองเพื่อใช้กับ RD Web Access ใบรับรองถูกเก็บไว้ใน MMC ของใบรับรองบนนายหน้าการเชื่อมต่อ RD ของฉันและฉันกำลังกำหนดค่าฟาร์มจากคอมพิวเตอร์เครื่องนั้น ใบรับรอง

ฉันพบโดยให้ RD Web Access สร้างใบรับรองของตนเองว่าต้องการคุณสมบัติต่อไปนี้:

  • การใช้คีย์ขั้นสูง
    • การตรวจสอบเซิร์ฟเวอร์
    • การตรวจสอบลูกค้า
      • อาจไม่จำเป็นต้องใช้ แต่ใบรับรองที่ลงนามเองรวมอยู่ด้วย
  • การใช้คีย์
    • ลายเซ็นดิจิทัล
    • ข้อตกลงที่สำคัญ
  • ชื่อสำรองของหัวเรื่อง
    • ชื่อ DNS = domain.com

ทางอ้อมเกี่ยวกับการสร้างใบรับรองที่ลงนามด้วยตนเอง

เพื่อเป็นการอ้อมอย่างรวดเร็วฉันสามารถแก้ไขปัญหาเกี่ยวกับการสร้างใบรับรองที่ลงชื่อด้วยตนเองโดยใช้ PowerShell เอกสารสำหรับcmdlet ใหม่ -RDCertificateให้ตัวอย่างต่อไปนี้:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

การพิมพ์สิ่งนี้ลงในเชลล์จะส่งผลให้เกิดข้อผิดพลาดโดยอ้างว่าGet-Serverไม่พบฟังก์ชัน ก่อนที่จะใช้New-RDCertificateคุณต้องนำเข้า RemoteDesktop Module Import-Module RemoteDesktopกับ

ขั้นตอนที่ 2 - สังเกตพฤติกรรมนอกกรอบ

ครั้งแรกที่คุณไปที่กล่องโต้ตอบคุณสมบัติการปรับใช้โดยไปที่ Server Manager -> Remote Desktop Services -> คอลเล็กชันและเลือก "แก้ไขคุณสมบัติการปรับใช้" จากรายการแบบเลื่อนลง "งาน" ในกลุ่ม "COLLECTIONS" คุณจะเห็นหน้าจอต่อไปนี้ : ป้อนคำอธิบายรูปภาพที่นี่

หน้าต่างนี้ทำให้เข้าใจผิดเนื่องจากlevelฟิลด์แสดงเป็น "ไม่ได้กำหนดค่า" หากฉันเข้าใจอย่างถูกต้องว่าบริการบทบาททั้งสามกำลังใช้ใบรับรองที่ลงนามเอง สำหรับบทบาทการเข้าถึงเว็บ RD นี้สามารถตรวจสอบได้โดยการเยี่ยมชมเว็บไซต์: ข้อผิดพลาดของใบรับรอง

ใบรับรองที่ใช้อยู่จะปรากฏใน MMC ของใบรับรองด้วย: ใบรับรอง MMC แสดงใบรับรอง RD Web Access

ขั้นตอนที่ # 3 - กำหนดใบรับรองใหม่

กล่องโต้ตอบคุณสมบัติการปรับใช้จะอนุญาตให้ฉันเลือกใบรับรองที่มีอยู่ของฉัน ต้องวางใบรับรองไว้ในเครื่องคอมพิวเตอร์ MMC ของใบรับรองในที่เก็บใบรับรอง "ส่วนบุคคล" รหัสส่วนตัวจะต้องสามารถส่งออกได้และคุณจะต้องให้รหัสผ่าน ฉันส่งออกใบรับรองของฉันเป็นการชั่วคราวไปยังไฟล์ที่ชื่อtemp.pfxด้วยรหัสผ่านแล้วนำเข้าสู่ Remote Desktop Services จากที่นั่น

เมื่อดำเนินการเสร็จแล้ว GUI จะระบุว่าพร้อมที่จะยอมรับการกำหนดค่าใหม่ พร้อมที่จะรับใบรับรอง

เมื่อฉันคลิกปุ่ม "สมัคร" GUI จะแสดงความสำเร็จ ป้อนคำอธิบายรูปภาพที่นี่

สิ่งนี้สามารถตรวจสอบได้โดยการเยี่ยมชมเว็บไซต์ RD Web Access เป็นครั้งที่สอง ไม่มีข้อผิดพลาดใบรับรอง ป้อนคำอธิบายรูปภาพที่นี่

ขั้นตอนที่ # 4 - GUI ล้มเหลวในการรักษาสถานะ

หาก GUI ถูกปิดและเปิดใหม่การตั้งค่าทั้งหมดเหล่านี้จะหายไป การตั้งค่าจะหายไป

ที่จริงแล้วใบรับรองที่ฉันกำหนดค่ายังคงถูกใช้งานอยู่ ฉันสามารถเข้าถึงไซต์ RD Web Access ต่อได้โดยไม่มีข้อผิดพลาดเกี่ยวกับใบรับรอง

ถ้าฉันใช้ปุ่ม "สร้างใบรับรองใหม่ ... " เพื่อสร้างใบรับรองที่ลงชื่อด้วยตนเองหน้าต่างนี้จะอัปเดตเป็นระดับ "ไม่น่าเชื่อถือ" การตั้งค่านี้จะได้รับการดูแลผ่านการเปิดและปิดกล่องโต้ตอบคุณสมบัติการปรับใช้

มีอะไรที่ฉันสามารถทำได้เพื่อให้การตั้งค่าของฉันดูเหมือนจะติดอยู่หรือไม่? ฉันรู้สึกว่ามีบางอย่างผิดปกติเมื่อ GUI อ้างว่าฉันยังไม่ได้กำหนดค่าใบรับรองทั้งหมด


7
นี่เป็นคำถามที่คิดมาอย่างดี ความรุ่งโรจน์
Ryan Ries

คำถามยอดเยี่ยม; เลวร้ายเกินไปไม่สามารถกำหนดเพิ่ม + 1 .. อย่ามีห้องปฏิบัติการสำหรับการทดสอบ แต่ก็พบว่าการเชื่อมโยงที่ดีบางอย่าง: technet.microsoft.com/en-us/library/cc730805.aspx technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8และrivald.blogspot.com/2011/06/...นอกจากนี้: blog.kristinlgriffin.com/2010/07/...
Lizz

มีโชคยังไมเคิล?
Lizz

@Lizz เท่าที่ฉันสามารถบอกได้ว่าใบรับรองที่เราใช้สำหรับการบริการบทบาท RD Web Access นั้นกำลังได้รับการยอมรับจากลูกค้า อินเทอร์เฟซผู้ใช้ยังคงรายงาน "ไม่ได้กำหนดค่า" แม้ว่าจะใช้ใบรับรองที่ฉันระบุ
Michael Steele

เหมือนการเบลอของคุณ ไม่ใช่แบบดั้งเดิม
ผู้ใช้ StackExchange

คำตอบ:


2

ฉันตรวจสอบฟาร์มของเราเมื่อวานนี้และพบว่าเป็น Windows 2008 ... ของคุณคือปี 2555 ฉันแน่ใจว่ามีความแตกต่างใหญ่ แต่ฉันหวังว่าข้อมูลของฉันจะช่วยได้

กำลังเปิด MMC -> ใบรับรอง -> บัญชีคอมพิวเตอร์ฉันเห็น 2 ใบรับรองในโฟลเดอร์ "ส่วนตัว / ใบรับรอง":

  • ใบรับรองที่ลงนามเอง (ผู้ออกหัวเรื่องเดียวกัน)
  • ใบรับรองที่ออกโดย Domain CA ของเรา

การลงชื่อเองแสดงข้อผิดพลาดในรายละเอียดใบรับรองของคุณมีข้อผิดพลาดเหมือนกันหรือไม่? ความผิดพลาด

เพื่อแก้ไขข้อผิดพลาดนี้เพียงแค่คัดลอกและวางใบรับรองจากโฟลเดอร์ย่อย "ส่วนตัว / ใบรับรอง" ไปยัง "ใบรับรอง / ผู้ออกใบรับรองหลักที่เชื่อถือได้" ในขั้นตอนนั้นใบรับรองเดียวกันจะไม่มีข้อผิดพลาด ตกลงใบรับรอง

หลังจากนั้นมีเพียงสองที่ที่คุณกำหนดค่าใบรับรอง (ใน RDS Windows 2008) ที่ฉันได้พบ

ตัวจัดการ RemoteApp ของเราแสดง: หลัก

การตั้งค่าลายเซ็นดิจิทัล: DSS

และใน 'RD Session Host Configuration ในการตั้งค่าการเชื่อมต่อ: RDSHC

ในตอนท้ายและถ้าฉันจำได้ถูกต้องเราจะแก้ไขการตรวจสอบตัวเลือกทั้งหมดตัวแสดงเหตุการณ์ทำให้แน่ใจว่าไม่มีข้อผิดพลาดใบรับรองบรรจุกลุ่มท้องถิ่นบางกลุ่มให้พวกเขาเข้าถึงได้โดยนโยบายความปลอดภัย ...

โชคดี.

---- อัปเดต ----

อย่าลืมนำเข้าในโปรไฟล์ผู้ใช้, ผู้ออก CA หรือใบรับรอง (หากลงนามด้วยตนเอง) ใน "ผู้ใบรับรอง / ผู้ออกใบรับรองหลักที่เชื่อถือได้" เพื่อให้ลูกค้าไม่ได้รับข้อผิดพลาดใบรับรองใด ๆ ประเด็นนี้สำคัญในระบบของเรา


ขอบคุณสำหรับข้อมูล. เรากำลังใช้ใบรับรองที่ลงนามโดย CA ของเราเอง ปัญหาที่ฉันมีอยู่นั้นไม่ซ้ำกับ Windows Server 2012 GUI อ้างว่าใบรับรองไม่ได้รับการกำหนดค่าอย่างถูกต้องหรือแม้แต่ทั้งหมด
Michael Steele

2

ฉันมีปัญหาที่แน่นอนเหมือนกันและพบการแก้ไข เป็นวิธีการสร้างเทมเพลตใบรับรองและขอใบรับรอง
นี่คือการแก้ไข:

  1. สร้างแม่แบบใบรับรองจากโดยทำซ้ำแม่แบบคอมพิวเตอร์
  2. แก้ไขใบรับรองใหม่และ mod ที่สำคัญสองข้อ 2a อนุญาตให้ส่งออกคีย์ส่วนตัว 2b บนแท็บชื่อเรื่องให้เลือกปุ่มตัวเลือก "จัดหาในคำขอ"
  3. เผยแพร่เทมเพลตใหม่
  4. สร้างคำขอใหม่และเลือกเทมเพลตใหม่
  5. เพิ่มชื่อสามัญและ DNS สำหรับ RDWeb (ฉันเพิ่มเซิร์ฟเวอร์ RD Farm ทั้งหมด)

ตัวอย่าง:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. เพิ่ม rdweb.domain.local เป็นชื่อที่จำง่ายและจากนั้นสร้างใบรับรอง
  2. ส่งออกใบรับรองด้วยส่วนตัว
  3. นำเข้าสู่คอนโซลการปรับใช้ RD

คุณทำทุกอย่างแล้วระดับจะเป็นที่เชื่อถือได้และสถานะตกลง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.