Probleme de certificats RDS 2012R2
Question
-
Bonjour a tous ,
J'ai monté une ferme TSE composé de deux serveurs TSE : SRV-TSE01 et SRV-TSE02 et d'un serveur de Broker : SRV-TSEBRK tout les trois sont en 2012R2.
La collection se nomme fermets. L'enregistrement DNS est bien fait, il repond bien. Afin de ne pas avoir de certificats j'ai monté un CA Windows sur mon DC. J'ai suivis ce tuto ci pour le faire : http://www.guillaume-p.net/installation-configuration-rds-2012-r2-broker-windows-serveur-2012-r2/
Mon certificats est bien approuvé dans la configuration de la collection.
Seulements voila lorsque je me connecte en TSE directement a un serveur par ex : SRV-TSE01 pas de souci je me connecte sans message d'erreur.
Lorsque je me connecte en TSE a fermets le message suivant apparait :
J'ai pourtant bien entrée les bons noms ...
J'ai aperçu les deux tutoriels suivants :
http://ryanmangansitblog.com/2014/05/20/rds-2012-rdsh-certificate-deployment-script/
et http://ryanmangansitblog.com/2013/03/10/configuring-rds-2012-certificates-and-sso/
Mais je ne sais pas si il s'applique dans mon cas, ou avez vous une solution ?
Merci d'avance de votre aide.
Julien
Réponses
-
Voici la solution, des que vous avez creer un certificat SAN contenant le nom de la ferme, pour faire un register du certificats, allez sur :
MMC -> ajouter / -> choisir Certificats sur ordinateurs local puis allez dans Personnel et choisir le certificats que vous avez créer Voir chapitre 5
Copier l'empreinte SHA1 du certificats :
La copier dans un fichier texte, supprimé les espaces afin de faire une chaine.
Lancer Powershell :
$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="METTRE VOTRE THUMPRINT ICI"}
Remplacer METTRE VOTRE THUMPRINT ICI par celui copier avant.
Réaliser l'operation sur les serveurs TSE de la ferme et ça doit fonctionner !
- Marqué comme réponse JulienHokini-IT jeudi 23 juillet 2015 17:55
Toutes les réponses
-
Bonjour,
Je pense que vous devriez créer un certificat avec plusieurs SAN (Subject Alternative Name) afin d'avoir un seul certificat pour tout vos nom de machine.
Ici en image : http://blogs.technet.com/b/isablog/archive/2011/10/09/how-to-generate-a-certificate-with-subject-alternative-names-san.aspx
Cordialement,
Mickaël LOPES
Blog : http://lopes.im
-
Bonjour,
Je pense que vous devriez créer un certificat avec plusieurs SAN (Subject Alternative Name) afin d'avoir un seul certificat pour tout vos nom de machine.
Ici en image : http://blogs.technet.com/b/isablog/archive/2011/10/09/how-to-generate-a-certificate-with-subject-alternative-names-san.aspx
Cordialement,
Mickaël LOPES
Blog : http://lopes.im
Vous pensez qu'il faut que je mette en nom DNS les noms de ma ferme et des serveurs tse membre de celle ci ? -
Bonjour,
Oui, pour être sur de ne pas avoir d'erreur de certificat.
Cordialement,
Mickaël LOPES
Blog : http://lopes.im
-
Oui c'est possible :
Computer Configuration / Policies / Administrativ Templates / Windows Components / Remote Desktop Services / Remote Desktop Connection Client
Et les règles sont :
Allow .rdp files from valid publishers ans user's default .rdp settings : Enabled
Specify SHA thumprints of certificates representing trusted .rdp publishers : Renseigner le Thumprint du certificat (dans les propriété de celui-ci)
Cordialement,
Mickaël LOPES
Blog : http://lopes.im
-
Oui.
Vous n'avez pas installé le rôle Gateway dans votre infrastructure RDS?
J'ai du mal à voir pourquoi vous avez une erreur.
Cordialement,
Mickaël LOPES
Blog : http://lopes.im
-
Oui.
Vous n'avez pas installé le rôle Gateway dans votre infrastructure RDS?
J'ai du mal à voir pourquoi vous avez une erreur.
Cordialement,
Mickaël LOPES
Blog : http://lopes.im
Cette fonction peut elle être sur le même serveur que le broker ? -
Voici la solution, des que vous avez creer un certificat SAN contenant le nom de la ferme, pour faire un register du certificats, allez sur :
MMC -> ajouter / -> choisir Certificats sur ordinateurs local puis allez dans Personnel et choisir le certificats que vous avez créer Voir chapitre 5
Copier l'empreinte SHA1 du certificats :
La copier dans un fichier texte, supprimé les espaces afin de faire une chaine.
Lancer Powershell :
$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="METTRE VOTRE THUMPRINT ICI"}
Remplacer METTRE VOTRE THUMPRINT ICI par celui copier avant.
Réaliser l'operation sur les serveurs TSE de la ferme et ça doit fonctionner !
- Marqué comme réponse JulienHokini-IT jeudi 23 juillet 2015 17:55
