none
Problème de certificat SSL auto-signé pour ferme RDS Windows 2012R2 (round robin DNS) RRS feed

  • Discussion générale

  • Bonjour Technet !

     

    Je viens de terminer mon lab sur RDS 2012R2 qui se compose des éléments suivants :

    RDS01 : 1 machine virtuelle (Vmware ESXI) Windows 2012R2 sur laquelle j’ai fait un deployment rapide pour les services de rôle Hôte de session, Accès web et Connexion Broker.

    RDS02 : 1 machine virtuelle (Vmware ESXI) Windows 2012R2 sur laquelle j’ai également les services de rôles Hôte de session, Accès web et Connexion Broker.

    RDLS01 : 1 machine virtuelle (Vmware ESXI) Windows 2012R2 sur laquelle j’ai installé le service des licences du bureau à distance.

    DC01 : 1 machine virtuelle (Vmware ESXI) Windows 2008R2 contrôleur de domaine.

    Je n’ai pas d’autorité de certification au sein de mon organisation.

    J’ai crée une collection de test sur laquelle j’ai activé la sécurité TLS, le chiffrement élevé et le NLA

    J’ai configuré la haute disponibilité du service broker ; j’ai bien installé SQL Serveur Express 2012 sur le serveur RDLS01 et les fichiers .mdf et .ldf sont également stockés sur ce serveur dans un partage. Les native clients sont installés sur les serveurs RDS01 et RDS02. Les connexions SQL sont correctement crée également. Dans le serveur DNS, j’ai créé 2 entrées de type Hôte A qui portent le même nom en l’occurrence clusterrds pour faire du round robin (la première entrée pointe sur l’adresse ip du premier serveur broker RDS01 et la seconde entrée pointe sur l’adresse ip du second serveur broker RDS02). Lorsque je lance la connexion depuis mon poste Windows 10 (update 1607) sur l’adresse clusterrds j’arrive à me connecter sur l’un ou l’autre des serveurs RDS car si l’un est éteint l’autre serveur prend le relais.

    Le mode Haute disponibilité est donc activé et fonctionnel.

     

    Par contre, j’ai systématiquement cet avertissement concernant le certificat « Ce certificat de sécurité n’émane pas d’une autorité de certification digne de confiance ».

    J’ai pourtant bien exporter le certificat personnel de chaque serveur RDS01 et RDS02 sous la forme de 2 fichier .cer que j’ai ensuite importer sur mon pc Windows dans le magasin d’autorité racine de confiance.

    Au niveau des propriétés de déploiements je n’ai pas configuré la gestion des certificats.


    A l’article suivant (https://social.technet.microsoft.com/Forums/fr-FR/5dcd967e-2e9a-4ffc-9910-f119c0b2704e/rds-rr-nla-problme-de-certificats-autosign?forum=windowsserver8fr), j’ai lu qu’il fallait configurer le certificat SSL avec le nom DNS round robin qui correspond aux deux nœuds  (2 broker).

    Comment faire pour créer un certificat non signé pour qu’il porte le nom DNS round robin ?

     Merci bien et bonne journée.

     

     

     

    mardi 6 septembre 2016 07:41

Toutes les réponses

  • Bonjour et merci pour ces infos.

    Ces articles s'appliquent à mon cas car j'ai correctement configuré le round robin sur le serveur DNS.

    Lorsque que je me connecte en bureau à distance et qu'un des deux serveurs n'est pas disponible je suis bien redirigé par le broker sur l'hôte de session disponible dans la ferme RDS.

    En revanche, le problème se situe au niveau du certificat à générer pour la ferme RDS. En effet, lorsque je me connecte avec mstsc à partir de mon poste j'ai toujours l'erreur de certificat alors que j'ai bien importé dans mon magasin (mmc) d'autorité de certification racine de confiance les 2 certificats des serveurs broker.

    Si quelqu'un sait comment générer un certificat auto signe pour la ferme je suis preneur :)

    Merci !

    mardi 6 septembre 2016 15:59
  • Bonjour Audit69005,

    La création /génération des certificats SSL pour l'ensemble de services de rôles RDS se fait via :

    Le Wizard "Propriétés de déploiement" > volet : Certificats

    Windows PowerShell  : Cmd-let 

    Les certificats créés sont des fichiers PFX stockés dans un emplacement que vous aurez spécifié lors de la création.

    Une fois créé, le statut de ceux-ci passe en "OK" et "Non approuvé" > ce sont des certificats auto-signé et non pas signé par une CA (authorité de certification).

    Après la création des certificats, ceux-ci sont présents dans le store des certificats de chacun des serveurs RD du déploiement.

    Le magasin de certificat est accessible :

    > en lancant l'outil MMC.EXE

    > Ajouter le snap-in "Certificats" pour le compte d'ordinateur /machine locale

    > Personal et ensuite Certificats

    Vous devez l'exporter pour l'importer ensuite sur chaque poste client se connectant sur votre infra RDS.

    (Pour info : j'ai écrit un ouvrage qui explique tout cela en détail et dans un vrai scénario "Real World" > voir signature TechNet

    Goodluck pour la suite.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    Livre de référence RDS 2012 R2 désormais disponible !
    RDS 2012 R2 reference book is now available !


    mardi 6 septembre 2016 22:13
  • Bonjour Hicham,

    J'ai bien suivi la procédure indiquée, à savoir :

    - dans les propriétés du déploiement j'ai lancé l'assistant de configuration puis j'ai créé un certificat que j'ai stocké dans un dossier du serveur à partir duquel j'ai lancé le wizard. Il s'agit bien d'un fichier .pfx que j'ai nommé comme le DNS RR de la ferme RDS.

    Les services de rôle pour broker sont passés en état OK et non approuvé. De ce côte tous semble OK comme décrit précédemment.

    Ensuite, j'ai donc lancé la mmc (compte ordianetuer) du serveur RDS sur lequel je viens de faire la configuration des propriétés du serveur et j'ai exporter le certificat .pfx avec les options par défaut.

    Sur mon pc Windows 10 j'ai importer ce certificat dans le magasin Autorité de certification racines de confiance/certificats => le certificat .pfx apparait bien dans la liste.

    J'ai par la suite lancé le client bureau à distance (mstsc) sur mon pc windows 10 mais j'ai l’avertissement suivant qui apparait "Le nom du serveur dans le certificat est incorrecte".

    Est qu'il faut rajouter des informations dans ce certificat pour que ce message d'avertissement disparaisse ?

    Merci de votre aide et excellente journée.

    mercredi 7 septembre 2016 07:29
  • Bonjour

    Je partage ma solution concernant ce problème "Le nom du serveur dans le certificat est incorrect".

    1 - Avec le wizard de création du certificat il faut nommer le certificat avec le FQDN de la ferme RDS.Le nom du fichier .pfx est libre

    2 - Ensuite copier/coller le fichier .pfx sur le poste client

    3-Ouvrir le composant certificat (compte ordinateur) sur le poste client et importer dans Autorité racine de confiance le fichier .pfx

    4- Ouvrir mstsc et dans le champ ordinateur saisir le FQDN de la ferme RDS.

    Ces étapes ont corriger mon problème car je n'ai plus d'avertissement concernant l'identité du serveur distant.

    Merci pour votre aide

    jeudi 8 septembre 2016 14:56