要求されたサーバーアドレスと証明書のサブジェクトが一致しません
仮想Windows Server 2012 R2にリモートデスクトップゲートウェイ(ターミナルサービスゲートウェイ)をセットアップしようとしています。しかし、インターネット経由で(Win7 RDPクライアントから)接続すると、エラーが発生します。
要求されたリモートデスクトップゲートウェイサーバーのアドレスと証明書の件名が一致しないため、コンピューターはリモートコンピューターに接続できません。
これが私の設定です:
- ホストはWindows Server 2008 R2 Stdを実行しています
- RDGはWindows Server 2012 R2 Stdを仮想的に実行しています(2008 R2も同じ結果で試しました)
- ADも仮想(dc.domain.localなど)
- ホストはserver.domain.localです
- ホストはNATでRRASを実行しているため、ポートHost:33899はrdg:3389に転送されます
- RDGはrdg.domain.localです
- RDGは、Gateway Managerで設定されたexample.comの自己署名SSL証明書を使用します。
SSL証明書に使用する名前が何であれ、クライアントはSubject=rdg.domain.local!
また、makecertを使用して手動で自己署名証明書を作成し、それを使用/インポートしようとしましたが、結果は同じでした。
これを機能させるために私が取った手順は次のとおりです。
- サブジェクトがパブリックDNS名(FQDN)と一致するSSL証明書を発行する
デフォルトのポート3389/TCPを使用しないと、SSL証明書名がFQDNと一致せず、エラーが返されます。
コンピューターは、RDゲートウェイのIDを確認できません。
または、現在のユーザーの信頼されたルート証明機関に配置する場合:
要求されたリモートデスクトップゲートウェイサーバーのアドレスと証明書名が一致しないため、コンピューターはコンピューターに接続できません。
HTTPSポート443/TCPも公開します。そうしないと、接続が確立されず、別の意味のないエラーが返されます。
RDGサーバーが一時的に利用できないため、コンピューターがリモートコンピューターに接続できません。
それについて 私のブログ投稿 を参照してください。
どうやらMSは命令をやや失敗させた。
Rdgゲートウェイコンピューターのiisマネージャーで証明書要求を作成する必要があると思います。リクエストでは、クライアントがインターネット経由で接続するために使用するfqdnを指定する必要があります。要求の署名を処理するには、クライアントコンピューターが信頼するCAを使用します。クライアントコンピューターを完全に制御できる場合は、CAルート証明書を信頼する限り、独自のCAを使用できます。それ以外の場合は、Verisign、Thawteなどの商用CAを使用します。署名された証明書をiisにインポートした後、rdgゲートウェイにインポートできるようになります。
すべて公式ガイドに記載されています: http://technet.Microsoft.com/en-us/library/dd983941%28WS.10%29.aspx
http://technet.Microsoft.com/en-us/library/dd983949(v = ws.10).aspx の下部にコメントを許可する場合に役立つ情報を含めます
そして、明らかにこの小さな詳細を除いて: http://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/
「「管理ツール」メニューから「IIS管理」コンソールを開きます。デフォルトのWebサイトに移動し、「アプリケーションの設定」で「デフォルトのWebサイト\ RDWeb\Pages」を構成します。次の設定を変更します。「DefaultTSGateway」= [インターネットアクセス可能なTSゲートウェイのfqdn]
注:SSL証明書に記載されているサーバー名でもあることを確認してください。」
適切なコンピュータの後ろに着いたら、すぐにこの投稿を片付けます。