Я настраиваю ферму служб удаленных рабочих столов, и у меня возникают проблемы при настройке сертификатов для ее использования. Демонстрацию проблемы, которую я вижу, можно найти в шаге № 4.
На данный момент я убежден, что есть проблемы с пользовательским интерфейсом, и ищу способы их обойти. Есть ли способ настроить сертификаты в Службах удаленных рабочих столов, чтобы параметры сохранялись и отражались в графическом интерфейсе? Если нет, могу ли я проверить правильность настроек?
Шаг № 1 - Создайте сертификат для использования.
Я настроил сертификат для использования с RD Web Access. Сертификат хранится в MMC «Сертификаты» на моем посреднике подключений к удаленному рабочему столу, и я настраиваю ферму с этого компьютера.
Позволив RD Web Access сгенерировать собственный сертификат, я обнаружил, что требуются следующие свойства:
- Расширенное использование ключа
- Проверка подлинности сервера
- Аутентификация клиента
- Это может не требоваться, но самоподписанный сертификат включает его.
- Ключевое использование
- Цифровой подписи
- Соглашение о ключе
- Альтернативное имя субъекта
- DNS-имя = domain.com
Объезд о создании самоподписанного сертификата
Как быстрый обходной путь, я смог обойти проблему с созданием самозаверяющих сертификатов с использованием powershell. Документация по командлету New-RDCertificate содержит следующий пример:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Ввод этого в оболочку приведет к сообщению об ошибке, утверждающем, что функция Get-Serverне может быть найдена. Перед использованием New-RDCertificateвы должны импортировать модуль RemoteDesktop с помощью Import-Module RemoteDesktop.
Шаг № 2 - Соблюдайте стандартное поведение
При первом посещении диалогового окна «Свойства развертывания» перейдите в «Диспетчер серверов» -> «Службы удаленных рабочих столов» -> «Коллекции» и выберите «Редактировать свойства развертывания» в раскрывающемся списке «ЗАДАЧИ» в группе «КОЛЛЕКЦИИ». Появится следующий экран. :
Это окно вводит в заблуждение, потому что levelполе указано как «Не настроено». Если я правильно понимаю, все три службы ролей используют самозаверяющий сертификат. Для роли RD Web Access это можно проверить, посетив веб-сайт:
Используемый сертификат также появляется в MMC Certificates:
Шаг № 3 - Назначить новый сертификат
Диалоговое окно «Свойства развертывания» позволит мне выбрать существующий сертификат. Сертификат должен быть размещен на локальных компьютерах MMC Certificates в «Персональном» хранилище сертификатов. Закрытый ключ необходимо будет экспортировать, а вам нужно будет предоставить пароль. Я временно экспортировал свой сертификат в файл с именем temp.pfxи паролем, а затем импортировал его в Службы удаленных рабочих столов.
Как только это будет сделано, графический интерфейс пользователя покажет, что он готов принять новую конфигурацию.
Как только я нажимаю кнопку «Применить», графический интерфейс показывает успех.
Это можно проверить, посетив веб-сайт RD Web Access во второй раз. Там нет ошибки сертификата.
Шаг № 4 - GUI не может поддерживать свое состояние
Если графический интерфейс пользователя закрыт и вновь открыт, все эти настройки будут потеряны.
На самом деле, настроенный мной сертификат все еще используется. Я могу продолжить доступ к сайту RD Web Access без каких-либо ошибок сертификата.
Как ни странно, если я использую кнопку «Создать новый сертификат ...» для создания самозаверяющего сертификата, это окно обновится до уровня «Ненадежный». Затем этот параметр будет поддерживаться путем открытия и закрытия диалогового окна «Свойства развертывания».
Могу ли я что-нибудь сделать, чтобы мои настройки отображались? Я чувствую, что что-то не так, когда GUI утверждает, что я не полностью настроил сертификаты.
