none
リモートデスクトップと証明書 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    皆様こんにちは。

    リモートデスクトップで使用する証明書について質問させてください

    リモートデスクトップは、非ドメイン環境のサーバー管理のためだけに使用しています。

    FWで接続元を制限していますので特にセキュリティはかけていません。

    (現象)

    急につながらなくなり、サーバのイベントビューアに36870が表示されるようになった。

    サーバはWindows Server2016Datacenterです。

    接続クライアントはWindows10Enterpriseです。

    (原因)

    リモートデスクトップに使用していた自己署名証明書が有効期限切れになっていた。

    (対処方法)

    自己署名ではないサーバ証明書を下記サイトを参考にして、コンピュータアカウントの

    リモートデスクトップ証明書ストアにインストールしたうえで、リモートデスクトップで使用する

    証明書を切り替えた。(PowerShellを使用する方法を使用しました)

    http://www.atmarkit.co.jp/ait/articles/1309/20/news036.html

    (質問)従来、リモートデスクトップを行うにあたり、10年近く運用を続けたサーバでさえ、証明書の管理なんてしたことがありませんでした。

    また、現在稼働中のサーバを数台確認したところ、残り数か月ですが正しく期限内の自己署名証明書が使用されていました。

    なぜ、今回のサーバだけが期限切れになったのかわからないので、今後の為にもご教示いただければ幸いです。

    2017年11月29日 18:27
    |

回答

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、似たような問題についてUSフォーラムに投稿されていて、「Remote Desktop Configuration」とサービスが正常稼働していないと、自己証明書が更新されないようですね。

    https://social.technet.microsoft.com/Forums/azure/en-US/1b528a7b-882a-4dc0-bb63-e36968cc284d/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月29日 20:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    返信ありがとうございます。

    確認したところ、RemoteDesktopConfigurationServiceは起動していました。

    また、本件の調査の過程で数回サーバーの再起動を行っていますが、証明書の更新は行われませんでした。

    不思議なのですが、証明書が先月の末頃に期限切れになっていたにも関わらず再起動を行うまでは

    リモートデスクトップで接続できていたのです。昨日の再起動後から接続できなくなったのも

    不思議な点です。

    2017年11月30日 3:07
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    よくわからないところが多いですね。まあ、可能性があるとすれば、

    不思議なのですが、証明書が先月の末頃に期限切れになっていたにも関わらず再起動を行うまでは
    リモートデスクトップで接続できていたのです。

    というところで、該当サーバーの時刻同期がおかしかったのかもしれません。証明書の有効期限は一度作成されたら変わりませんので(有効期限の延長・更新は書き換えを意味します)、書き換えていないのに有効期限のまま、ならば、OS側の時刻自体がおかしかった可能性はあり得ます。再起動で時刻が正しく変われば、その時点で使えなくなりますね。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月30日 7:31
    |
  • Question
    サインインして投票
    1
    サインインして投票

    やきです。

    今は「CNG Key Location Service」も必要とのことです。

    “CNG Key Isolation” サービスが 無効化による RDP 接続不可について (イベント ID 1057/36870)
    https://blogs.technet.microsoft.com/askcorejp/2017/10/04/schannel-error/

    こちらは2012R2が発生条件として記載がありますが、2016でも同様にSHA1を無効化するような更新が、ちょうどその再起動のタイミングで有効になったのではないでしょうか。

    2017年12月1日 4:13
    |
  • Question
    サインインして投票
    1
    サインインして投票

    イベントログ内に下記がありました。これが原因だったんですね。

    TerminalServices-RemoteConnectionManager

    RD セッション ホスト サーバーで、SSL 接続時に RD セッション ホスト サーバー認証に使用する、新規の自己署名証明書を生成できませんでした。関連する状態コードは アクセスが拒否されました。

    ID:1057

    恐らく正しい解決方法は、

    https://blogs.technet.microsoft.com/the_9z_by_chris_davis/2014/02/20/event-id-1057-the-terminal-server-has-failed-to-create-a-new-self-signed-certificate/

    これだったのでしょう。

    現状別の証明書を使って解決してしまったので試すことが出来ませんが、どなたか未来的に同じ現象に

    当てはまった時、結果をここに書いてくれたらうれしいです。

    皆様ありがとうございました。

    • 回答としてマーク QuarterDeck 2017年12月1日 8:22
    2017年12月1日 8:21
    |