Je suis en train de configurer une batterie de serveurs Remote Desktop Services et je ne parviens pas à configurer les certificats à utiliser. Vous trouverez une démonstration du problème rencontré à l’étape 4.
À ce stade, je suis convaincu qu'il existe des problèmes avec l'interface utilisateur et je cherche des solutions pour les résoudre. Existe-t-il un moyen de configurer des certificats dans les services de bureau à distance pour que les paramètres soient conservés et reflétés dans l'interface graphique? Sinon, est-il possible pour moi de vérifier que les paramètres sont corrects?
Étape n ° 1 - Créer un certificat à utiliser.
J'ai configuré un certificat à utiliser avec RD Web Access. Le certificat est stocké dans la console MMC Certificats de mon agent de connexion RD et je configure la batterie à partir de cet ordinateur.
J'ai trouvé en laissant RD Web Access générer son propre certificat que les propriétés suivantes sont requises:
- Utilisation améliorée des clés
- Authentification du serveur
- Authentification du client
- Cela n'est peut-être pas obligatoire, mais le certificat auto-signé l'inclut.
- Utilisation clé
- Signature numérique
- Accord clé
- Sujet Nom alternatif
- Nom DNS = domaine.com
Détour sur la génération de certificats auto-signés
Pour faire un détour rapide, j’ai pu résoudre un problème de création de certificats auto-signés à l’aide de powershell. La documentation de la cmdlet New-RDCertificate donne l'exemple suivant:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
En tapant ceci dans le shell, vous obtiendrez un message d'erreur indiquant qu'une fonction Get-Server
est introuvable. Avant d'utiliser New-RDCertificate
, vous devez importer le module RemoteDesktop avec Import-Module RemoteDesktop
.
Étape n ° 2 - Observez le comportement prêt à l'emploi
La première fois que vous visitez la boîte de dialogue Propriétés de déploiement en accédant au Gestionnaire de serveur -> Services de bureau à distance -> Collections et en sélectionnant "Modifier les propriétés de déploiement" dans la liste déroulante "Tâches" du groupe "Collections", l'écran suivant s'affiche. :
Cette fenêtre est trompeuse car le level
champ est répertorié comme "Non configuré". Si je comprends bien, les trois services de rôle utilisent un certificat auto-signé. Pour le rôle d'accès Web aux services Bureau à distance, vous pouvez vérifier cela en visitant le site Web:
Le certificat utilisé apparaît également dans la MMC Certificats:
Étape 3 - Attribuer un nouveau certificat
La boîte de dialogue Propriétés de déploiement me permettra de sélectionner mon certificat existant. Le certificat doit être placé dans les ordinateurs locaux Certificats MMC dans le magasin de certificats "Personnel". La clé privée devra être exportable et vous devrez fournir le mot de passe. J'ai temporairement exporté mon certificat dans un fichier nommé temp.pfx
avec un mot de passe, puis importé à partir de là dans les services de bureau à distance.
Une fois cette opération effectuée, l'interface graphique indiquera qu'elle est prête à accepter la nouvelle configuration.
Une fois que je clique sur le bouton "Appliquer", l'interface graphique indique le succès.
Cela peut être vérifié en visitant le site Web Accès Web RD pour une deuxième fois. Il n'y a pas d'erreur de certificat.
Étape n ° 4 - L'interface graphique ne parvient pas à maintenir son état
Si l'interface graphique est fermée et rouverte, tous ces paramètres semblent être perdus.
En fait, le certificat que j'ai configuré est toujours utilisé. Je peux continuer à accéder au site d'accès Web de RD sans aucune erreur de certificat.
Bizarrement, si j'utilise le bouton "Créer un nouveau certificat ..." pour générer un certificat auto-signé, cette fenêtre sera mise à jour à un niveau "Non approuvé". Ce paramètre sera ensuite conservé lors de l'ouverture et de la fermeture de la boîte de dialogue Propriétés de déploiement.
Y a-t-il quelque chose que je puisse faire pour que mes paramètres semblent coller? J'ai l'impression que quelque chose ne va pas lorsque l'interface graphique affirme que je n'ai pas entièrement configuré les certificats.
la source
Réponses:
J'ai vérifié notre ferme hier et j'ai remarqué qu'il s'agissait de Windows 2008 ... Le vôtre date de 2012. Je suis sûr qu'il existe de grandes différences, mais j'espère que mes informations m'aideront.
Ouverture de MMC -> Certificats -> Compte d'ordinateur Je vois 2 certificats dans le dossier "Personnel / Certificats":
L'auto-signé indique une erreur dans les détails, votre certificat a-t-il la même erreur?
Pour résoudre cette erreur, il suffit de copier et coller le certificat du sous-dossier "personal / Certificates" dans "Autorités de certification racines de confiance / Certificats". Avec cette étape, le même certificat ne donne aucune erreur.
Ensuite, vous ne pouvez configurer le certificat (dans RDS Windows 2008) que deux fois.
Notre gestionnaire RemoteApp montre:
Les paramètres de signature numérique:
Et dans la configuration de l'hôte de session Bureau à distance, dans les paramètres de la connexion:
À la fin , et si je me souviens bien, nous avons résolu le problème en vérifiant toutes les options, l'observateur d'événements, en veillant à ce qu'il n'y ait pas d'erreur de certificat, en remplissant certains groupes locaux, en leur donnant accès conformément à la politique de sécurité ...
Bonne chance.
---- Mis à jour ----
N'oubliez pas d'importer dans le profil utilisateur, l'autorité de certification de l'émetteur ou le certificat (s'il est auto-signé) dans "Autorités de certification racines de confiance / Certificats" afin que le client ne reçoive aucune erreur de certificat. Ce point était important dans notre système.
la source
J'ai eu exactement le même problème et j'ai trouvé le correctif. Tout se passe comme vous avez créé le modèle de certificat et demandé le certificat.
Voici le correctif:
Exemple:
CN = rdweb.domain.local
CN = rdcb.domain.local
CN = rdsh1.domain.local
CN = rdsh2.domain.local
CN = rdsh3.domain.local
rdweb.domain.local
rdcb.domain.local
rdsh1.domain.local
rdsh2.domain.local
rdsh3.domain.local
Vous faites tout cela et Level sera Trusted et Status OK
la source