none
Не удается подключится к по RDP к WS2008R2 с Win 7. RRS feed

  • Вопрос

  • Коллеги, подскажите в чем косяк- столкнулся проблемой: машины под Windows 7 не хотят логинится по RDP на сервер Win2008R2.

    Детально проблема выглядит так:

    • есть домен:  vfrta.loс
    • развернута 2-х двухуровневая PKI: корневой Standalone CA и Ent CA выдающий в домене.
    • CDP и AIA расширения - на локальный web-сервер. Ссылок LDAP нет.
    • OCSP Responder настроен и работает(настраивал по мануалу Настройка OCSP в блоге Вадима ) на Issue Sub CA
    • Standalone CA выключен, но его crt и crl лежат на web-сервере.
    • SubCA естественно включен, и его crt и crl также лежат на web-сервере.
    • Сервер TS имеет сертификат выдвный SubCA(и соответственно всю цепочку сертификатов). CRL на web-сервере доступны.
    • Сервер TS настроен на защиту RDP-сессии с использованием SSL и выданного сертификата.
    • На клиенте win7 цепочка  сертификатов(RootCA- в доверенных корневых УЦ компьютера, SubCA - в промежуточных УЦ компьютера). CRL на web-сервере доступны(через браузер всё нормально читает и скачивает). Сертификата компьютера на клиенте нет (но по идее это не должно мешать).
    • Оснастка EntPKI ошибок не выявляет - всё доступно и работает
    • Клиенты win7 не могут подключится к серверу - вылетает ошибка "Не удалось проверить не был ли отозван этот сертификат" . ИЧСХ, клиенты под XP SP3 заходят .

    Вывод certutil -verify -urlfetch

    Поставщик:
        CN=VFRTA Class 1 Issuing SubCA1
        CN=it-group
        O=VFRTA
        C=RU
    Субъект:
        CN=*********
    Серийный номер сертификата: 14cead0a000000000007

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 1 Days, 20 Hours, 15 Minutes, 37 Seconds

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 1 Days, 20 Hours, 15 Minutes, 37 Seconds

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=VFRTA Class 1 Issuing SubCA1, CN=it-group, O=VFRTA, C=RU
      NotBefore: 28.12.2010 12:46
      NotAfter: 28.12.2011 12:46
      Subject: CN=************
      Serial: 14cead0a000000000007
      SubjectAltName: Другое имя:GUID объекта DS=04 10 b4 f6 1a 74 48 90 f3 47 b4 cc 6a ef 0b a3 17 1b, DNS-имя=VFRTADC1.vfrta.local
      Template: DomainController
      31 1a 55 7a 80 80 a3 d6 eb 25 21 7b bb 88 d9 8c 78 26 d8 59
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] http://********/pki/VFRTA_SubCA1.crt

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (03)" Время: 0
        [0.0] http://********/pki/VFRTA_SubCA1.crl

      Проверено "Разностный CRL (03)" Время: 0
        [0.0.0] http://********/pki/VFRTA_SubCA1+.crl

      ----------------  Базовый CRL CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Проверено "Протокол OCSP" Время: 0
        [0.0] http://$$$$$$$$$/ocsp

      --------------------------------
        CRL (null):
        Issuer: CN=$$$$$$$$$$
        74 a1 17 5c 79 50 1e 9f 83 12 e5 63 28 54 83 e3 97 94 b8 a9
      Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
      Application[1] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
      NotBefore: 27.12.2010 15:54
      NotAfter: 27.12.2020 15:05
      Subject: CN=VFRTA Class 1 Issuing SubCA1, CN=it-group, O=VFRTA, C=RU
      Serial: 613f5495000000000002
      Template: SubCA
      d0 e8 44 40 02 cb e6 f5 26 cc a7 1a d1 11 7e 0c 53 3e 4a 7a
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] http://********/pki/VFRTA_RCA.crt

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (02)" Время: 0
        [0.0] http://*********/pki/VFRTA_RCA.crl

      ----------------  Базовый CRL CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
        CRL 02:
        Issuer: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
        89 60 da d2 62 99 ad 65 84 ef 2a 39 0c 10 e1 b3 76 65 2e 56

    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
      NotBefore: 27.12.2010 14:55
      NotAfter: 27.12.2020 15:05
      Subject: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
      Serial: 5b157d4257712a8f4a90dcbd7bb02045
      16 01 af ae 9f 45 e9 f3 c4 81 1d 57 4f 09 72 04 b9 d0 56 86
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      56 d3 16 5d a1 2e 0d 1d 03 1d 5e bf a3 97 c0 bd f0 39 09 ad
    Full chain:
      b3 59 9d 22 b7 0b d2 92 49 81 ed 58 af f6 9f 1b b5 e9 62 cb
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
        1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.

    Много читал интернетов, в частности Vadims Podans's blog , книгу Brian Komar's "Windows Server 2008. PKI and Certificate Security", и кучу форумов где столкнулись с подобной проблемой, в том числе и тему на TechNet .

    Какие могут быть соображения что настроено не так?

    • Изменено Wizor 24 января 2011 г. 7:08
    28 декабря 2010 г. 23:55

Ответы

  • Сам же себе и отвечу:

    Спасла чистка кеша CRL

    certutil -urlcache CRL delete

    После перезагрузки ошибки больше нет -  проерка проходит успешно.

    • Помечено в качестве ответа Wizor 24 января 2011 г. 5:24
    24 января 2011 г. 5:24