none
Доверенный сертификат на ферму RDS серверов 2012 RRS feed

  • Вопрос

  • Добрый день. Подскажите пжлст. Есть брокер ( dns: rds-broker). 2 терминальных сервера ( dns: ts1 и ts2). Название DNS фермы - farmts. Как бы сделать так, чтобы при подключении не возникало ошибки по сертификату? Есть желание купить сторонний, но непонятно куда его прикрутить? в свойствах server manager - remote desktop services - overview - edit deployment properties - certificates есть возможность подставить сертифкат для ролей. туда я всё прикрутил, однако при подключении к farmts через mstsc, всё равно появляется ошибка по недоверенному сертификату ts1 или ts2 ( в завасимости куда отправил брокер).  Если же опубликовать rdp как webapp - то ошибки по сертификату нет, т.к. используется тот сертификат, который я прикрутил к роли web access, а его я добавил в доверенные. Однако по ТЗ нужно использовать именно локальный mstsc. 

    Как бы заставить использовать сертификат брокера, а не конечных серверов? или как бы заменить сертификат конечных серверов, на доверенный? 

    24 ноября 2020 г. 14:20

Ответы

  • парни, я разобрался. Открываеся MMC на TS1 и TS2. там - сертификаты локального компа - там сертификаты удалённого рабочего стола - подкидываем нужный и готово
    • Помечено в качестве ответа Graf_de_Baz 26 ноября 2020 г. 16:47
    26 ноября 2020 г. 16:47

Все ответы


  • Когда Вы подключаетесь по DNS записи типа "А" - farmts, которая ведет на IP адрес rds-broker, он должен ругаться на сертификат rds-broker.

    В сертификате у Вас должно быть имя брокера, то есть rds-broker

    Так же LetsEncrypt( wacs под винду ) имеет в себе шаблон автоматизации перевыпуска и установки на все сервисы RDS.

    Забегу наперед, надеюсь у Вас не Round Robin DNS записи farmts для всех ts1\2


    24 ноября 2020 г. 15:51
  • добрый день. До этого было 2 dns записи farmts, c A записями на каждый сервер ts1 и ts2. Сейчас сдела 1ну А запись farmts, с IP брокера, однако при потытке подключения, всё равно ругается именно на сертификат TS1, а не брокера. 
    25 ноября 2020 г. 10:00
  • Потому что farmst должен смотреть на ts01/ts02, а не на брокер.
    25 ноября 2020 г. 11:00
  • Потому что farmst должен смотреть на ts01/ts02, а не на брокер.

    А вот и нет. Допустим у Вас один брокер и тысяча RDSH, будете все время делать новую запись ?

    Технически правильно - Пользователи должны коннектиться по специальному рдп ярлыку, который скачан по https://RDCB.DOMAIN.RU/RdWeb, в котором прописана коллекция, в которой в свою очередь добавлены RDSH сервера на брокере. + Этот ярлык подписанный сертификатом как минимум избавляет от лишнего вопроса о безопасности.

    То есть в нем должно быть:

    use redirection server name:i:1
    loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.RDS

    Таким образом при коннекте на брокер, он перекидывает на RDSH уже.

    Graf_de_Baz, какой сертификат прикрутили и распространили ли Вы его по клиентам ? Лучше примените LetsEncrypt.

    wacs.exe --target manual --host rdcb01.domain.com,rdsh02.domain.com,rdsh01.domain.com --certificatestore My --installation iis,script --installationsiteid 1 --script "Scripts\ImportRDSFull.ps1" --scriptparameters "{CertThumbprint}"

    У меня так. Но мне кажется, что можно было бы и не включать RDSH


    25 ноября 2020 г. 14:56
  • парни, я разобрался. Открываеся MMC на TS1 и TS2. там - сертификаты локального компа - там сертификаты удалённого рабочего стола - подкидываем нужный и готово
    • Помечено в качестве ответа Graf_de_Baz 26 ноября 2020 г. 16:47
    26 ноября 2020 г. 16:47
  • У Вас так или иначе не верно настроено. Будете так всегда делать на всех RDSH?

    Сделайте себе для теста правильный ярлык и проверьте. Клиент должен ругаться только на брокер.

    27 ноября 2020 г. 6:04
  • я уже так пробовал -в итоге вообще не работает. Не то что сертификат не тот, а просто не работает. 
    1 декабря 2020 г. 10:10
  • Ну если есть желание сделать правильно, нужно описывать, что Вы и как делали. А лучше лабу проделать, чтоб стало всё ясно. Пока можно посочувствовать.
    1 декабря 2020 г. 10:41
  • Есть просто желание сделать, желание исправлять бесконечные проблемы MS - желания нет.

    не все люди, готовы тратить свою жизнь, на иправление бесконечных проблем Майкрософт. Лабу надо делать тем криворуким, что это писал на C++, а не мне - мне работать надо.

    я помню как в 2006м году частенько подвисал spooler на 2003, прошло 14! лет и теперь он подвисает на 2016. 

    Работа MS стабильна настолько же, как путин. Только 2 вещи будут бесконечно, кривая винда и путлер на троне. 

    P.s. если есть желание чтобы работало правильно - использхуйте Unix, везде где возможно. Работает - проверено 


    1 декабря 2020 г. 15:22