Server2008上のRemoteAppでの証明書の問題
Windows Server2008のRDPを介したアプリケーションストリーミングであるRemoteAppを介してアプリケーションを展開するための概念実証デモをセットアップしようとしています。
TSゲートウェイサーバー(srv-webと呼びます)とアプリケーションをホストするボックス(srv-appと呼びます)は、2つの異なるボックスです。
Srv-appはNATの背後にある内部LAN上にあるため、接続はHTTPS経由でTSゲートウェイサーバーを経由する必要があります。
Srv-webのみがインターネットに公開され、ポート443(HTTPS)のみが開いています。
さまざまな警告を無視/受け入れると、接続は完全に機能します。
ここでの目的は、クライアントのために物事を可能な限りスムーズに機能させることです。
Srv-webとsrv-appの両方にSSL証明書をインストールしています。 srv-webは、TSゲートウェイで使用するように設定されており、正常に機能します。証明書のCNは、外部のパブリックホスト名と一致します。
私が得ている警告は次のとおりです(スクリーンショットから実際のホスト名を修正しました)
私の質問は、srv-appが接続しているクライアントにIDの証明を提供するために使用するSSL証明書をどのように選択するかということです
編集:これを設定する場所を見つけました-リモートデスクトップセッションホスト構成-> RDP-Tcpプロパティ、下部の[一般]タブにあります。
しかし、別の問題があります。予想通り、サーバー名が一致していません:
これには、どこかでトポロジーの変更が必要になると思います。すでにこれを行っている人からのフィードバックは素晴らしいでしょう。
編集2:カスタムRDP設定で次のオプションを設定することでこれを回避しました。
authentication level:i:0
ただし、これはチェックを無効にするだけなので、満足のいく解決策ではありません。これについては、これ以上のフィードバックをいただければ幸いです。
どうもありがとう。
rdp-tcpプロパティに移動し、[全般]タブを選択し、プロパティシートの下部にある外部証明書を選択します。これにより、rdpがサーバー自体のデフォルトの内部を使用する場合、すべての通信が不一致ではなく外部証明書に基づくことが可能になります。
「内部名」を使用してサーバーに接続しようとしているように見えますが、「外部名」が指定されている証明書を選択しました。
「内部名」を「ファイアウォールの背後」で機能させたい場合、NATファイアウォールは「ヘアピンNAT」をサポートしていません(つまり、LANインターフェイスからのリクエストをNATしてLANインターフェース)次に、サーバーの内部IPアドレスを含む単一の「@」レコードを使用して「publicname.ourdomain.com」という名前の内部DNSサーバーにDNSゾーンを作成するという古典的な「チート」を行うことができます。コンピューター。
これは「スプリットホライズンDNS」に似ていますが、単一の名前に制限されます(したがって、「ourdomain.com」ゾーンの残りの「通常の」名前解決は影響を受けません)。
私はこれを私たち自身の環境で見ました。私が見ることができることから、ゲートウェイトンネルRDP接続は実際には2セットの証明書を使用します:最初にクライアントとゲートウェイの間のトンネルを暗号化し、次にクライアントとサーバーの間のトンネルを暗号化します(このトラフィックはすでに内部にありますがゲートウェイで保護されたトンネル)。それも私を困惑させました。ゲートウェイの外部名と一致する証明書と、TSサーバーの内部名と一致する証明書の2つを使用する以外に、「適切な」方法は見つかりませんでした。何か見つけたらこのスレッドを更新してください!
認証レベルを下げずにこれを修正する場合は、リモートアプリマネージャーを開き、[RDセッションホストサーバー設定]の横にある[変更]をクリックします。接続設定サーバー名に正しい外部DNSがあることを確認します。同じダイアログで、[デジタル署名]タブをクリックし、正しいSSL証明書に設定します。
JTが投稿したように、Session Host ConfigurationRDP-Tcpプロパティで外部証明書も構成する必要があることに注意してください。
複数の名前とローカルホスト名またはIPアドレスを持つSAN証明書を取得します。これは完全に機能します。
設定
authentication level:i:0
カスタムRDP設定でこの問題を回避します(私の質問に投稿されています)