none
Сертификат на RDS ферму RRS feed

  • Вопрос

  • Добрый день, имеется ферма на win2016. Поднят центр сертификации в организации. Имеется внешний сертификат от Contoso. Хочу, чтобы при подключении использовался внешний сертификат, так как подключение происходит с домашних компов и соответственно они не доверяют внутренним сертификатам.

    В настройках развертывания добавил в 3и службы ролей внешний сертификат, добавил в этот сертификат в личные для компьютера фермы RDS (теперь там 2а сертификата, внутренний и внешний). 

    Но когда подключаешься по RDP, он все равно использует сертификат от внутреннего центра сертификации. Как заставить использовать внешний сертификат?

    Можно отключить проверку сертификата, можно установить доверенный сертификат от внутреннего центра сертификации, но задача именно заставить использовать внешний сертификат.

    22 сентября 2021 г. 6:58

Ответы

  • У Вас классическая ошибка проектирования и не понимания. 

    Да, так не надо. Подключаться нужно на брокер. Дальше он перенаправляет на RDSH который в коллекции.

    Почему так и как правильно настроить, читайте здесь:

    Проблема у пользователя в системе RDS

    Вход в терминальную коллекцию

    Странная проблема с сертификатом RDP + шлюз + WebClient





    22 сентября 2021 г. 14:26
  • 1. Вам придется раздать новый ярлык или обучить пользователей, где его всегда можно взять, а именно по адресу: https://fqdnБрокера/RdWeb

    2. Пользователь Мак, качает в Apple Store клиент RDP от Microsoft и импортирует в него ярлык скачанный по RdWeb.

    3. По старому ярлыку ? Да. Но они по прежнему будут подключаться на RDSH по Вашим DNS RR, что не верно как мы выяснили.

    • Помечено в качестве ответа RK3DNP 23 сентября 2021 г. 8:58
    22 сентября 2021 г. 15:38
  • Ну я же Вам объяснил и дал ссылки. 

    Очевидно, что у Вас нет имени "srv-rds.domain.local" в сертификате. Соответственно несоответствие - куда Вы подключаетесь и того, что в сертификате. 

    Потому я дал Вам командлет, который поправит в RDP ярлыке адрес подключения. 

    Предположим у меня имя брокера: RDCB01.oilservice.local

    А имя в сертификате: rds.oilservice.group

    Соответственно, мне нужно, чтоб и адрес подключения был rds.oilservice.group.

    Потому я применяю командлет:

    Set-RDSessionCollectionConfiguration -CollectionName "RDS" -CustomRdpProperty "full address:s:rds.oilservice.group" -ConnectionBroker RDCB01.oilservice.local
    Теперь когда я скачаю заново обновленный ярлык с RdWeb, если Вы его откроете текстовым редактором, увидите, что full address, а это адрес подключения, у Вас обновился.

    Но у меня нет на внутреннем DNS сервере зоны rds.oilservice.group, потому я создаю прямую зону просмотра rds.oilservice.group и делаю пустую "А" запись в IP брокера. Теперь клиенты могут подключиться по этому имени. Оно совпадает с именем сертификата и соответственно ошибки сертификата нет. 

    Я так же мог бы создать и зону oilservice.group, а в ней создать запись типа "А" rds.oilservice.group в IP брокера, но если есть внешний домен такой же, а там еще и сайт, то могут начаться популярные проблемы, когда сайт не открывается, так как запросы перехватывает внутренний DNS сервер и тогда нужно делать еще отдельные записи по типу www в IP внешнего сайта и другие костыли.

    • Помечено в качестве ответа RK3DNP 23 сентября 2021 г. 8:58
    23 сентября 2021 г. 7:38

Все ответы

  • Здравствуйте. 

    1. Подключение должно быть через брокер. Если нет шлюза, имя подключения должно быть как в сертификате. Меняется через:

    Set-RDSessionCollectionConfiguration -CollectionName "RDS" -CustomRdpProperty "full address:s:rds.oilservice.group" -ConnectionBroker RDCB01.oilservice.local

    2. Сертификат ставите на брокере, на все сервисы. В свойствах развёртывания на брокере в разделе сертификаты.

    RDSH Вы ни как не должны трогать и даже подключаться на них, как многие делают ошибку, производя подключение через DNS RR на них. Ярлык входа должен быть скачан с RDWeb, который приведет на коллекцию созданную на брокере со списком RDSH.


    22 сентября 2021 г. 13:53
  • Не совсем понял, у меня так:

    1ин Брокер, он же сервер лицензирования (SRV-RDS)

    2а сервера узел сеансов удаленных рабочих столов (SRV-RDS01 и SRV-RDS02)

    1ин сервер приложения RemoteApp (SRV-RDS03)

    На сервера SRV-RDS01 и SRV-RDS02 подключаются удаленщики, для них и надо в первую очередь сделать сертификат. В ДНС создана запись RDS на эти два сервера, в результате броккер отрабатывает, подключает к тому же сеансу, если человек отключился. По вашим словам не так надо? Если подключаться к броккеру, то происходит подключение именно на него, а не на узы сеансов.

    На сервере  SRV-RDS03 опубликовано несколько приложения для других задач.

    22 сентября 2021 г. 14:13
  • У Вас классическая ошибка проектирования и не понимания. 

    Да, так не надо. Подключаться нужно на брокер. Дальше он перенаправляет на RDSH который в коллекции.

    Почему так и как правильно настроить, читайте здесь:

    Проблема у пользователя в системе RDS

    Вход в терминальную коллекцию

    Странная проблема с сертификатом RDP + шлюз + WebClient





    22 сентября 2021 г. 14:26
  • Привет,

    Спасибо за ваш вопрос и обращение. Меня зовут Пракаш, и я буду более чем счастлив помочь вам с вашим вопросом.

    Я хотел бы предложить вам проверить следующие шаги.

    Убедитесь, что внутренние клиенты могут найти servername.yourcompanyname.com, который указывает на ваш внутренний ресурс, который на самом деле является servername.yourcompany.local.

    1) Проверьте, какой DNS-сервер используется внешними клиентами при подключении через VPN. Предположим, это DNS Active Directory на DC. Затем создайте новую зону прямого просмотра «servername.companyname.com» (да, включите имя сервера в имя зоны). Затем создайте запись Host A внутри: оставьте имя пустым, просто введите IP-адрес вашего сервера RDS. Запустите тест от клиента, подключенного через VPN, если он может разрешить servername.companyname.com.
    :

    2) Обязательно добавьте сертификат во все записи в свойствах развертывания RDS и перезагрузите сервер.

    3) Ваша роль посредника соединений может продолжать использовать свое локальное полное доменное имя при ответе на входящие удаленные соединения, поэтому вам нужно будет изменить его с помощью PowerShell:

    Set-RDClientAccessName -ConnectionBroker "servername.yourcompany.local" -ClientAccessName "yourservername.companyname.com"


    - Если ответ полезен, пожалуйста, проголосуйте за и примите его как ответ -
    22 сентября 2021 г. 14:33
  • Спасибо, за ссылку. У меня такой вопрос, если забыть про сертификат временно, для правильной настройки подключения:

    1. Я правильно понимаю, чтобы при подключении к брокеру, брокер отправлял на рабочие столы необходимо в RDP файле внести изменения? Я где-то смогу скачать этот файл или надо вручную внести правки?

    2. А что делать, если у пользователя MAC ?
    3. Если я внесу правки через powershell, пользователи смогут подключаться как и раньше? чтобы не нарушить работу. Set-RDSessionCollectionConfiguration 

    22 сентября 2021 г. 15:10
  • 1. Вам придется раздать новый ярлык или обучить пользователей, где его всегда можно взять, а именно по адресу: https://fqdnБрокера/RdWeb

    2. Пользователь Мак, качает в Apple Store клиент RDP от Microsoft и импортирует в него ярлык скачанный по RdWeb.

    3. По старому ярлыку ? Да. Но они по прежнему будут подключаться на RDSH по Вашим DNS RR, что не верно как мы выяснили.

    • Помечено в качестве ответа RK3DNP 23 сентября 2021 г. 8:58
    22 сентября 2021 г. 15:38
  • Спасибо большое, ярлык получил, сейчас при подключении все равно ошибка:

    Не удалось проверить подлинность удаленного компьютера из-за проблем с сертификатом.
    Имя в сертификате *.domain.ru
    Ошибка сертификата:
    Не удалось проверить, не был ли отозван этот сертификат.

    Если зайти в просмотр сертификата, в состоянии отображается, что сертификат действительный.

    Это с не доменной машины, через интернет подключаемся через Cisco any connect к офису. Когда Vpn подключен, на компе интернет не доступен, только офисная сеть.

    В свойствах rdp подключение происходит к серверу srv-rds.domain.local (это броккер)

    23 сентября 2021 г. 6:41
  • Ну я же Вам объяснил и дал ссылки. 

    Очевидно, что у Вас нет имени "srv-rds.domain.local" в сертификате. Соответственно несоответствие - куда Вы подключаетесь и того, что в сертификате. 

    Потому я дал Вам командлет, который поправит в RDP ярлыке адрес подключения. 

    Предположим у меня имя брокера: RDCB01.oilservice.local

    А имя в сертификате: rds.oilservice.group

    Соответственно, мне нужно, чтоб и адрес подключения был rds.oilservice.group.

    Потому я применяю командлет:

    Set-RDSessionCollectionConfiguration -CollectionName "RDS" -CustomRdpProperty "full address:s:rds.oilservice.group" -ConnectionBroker RDCB01.oilservice.local
    Теперь когда я скачаю заново обновленный ярлык с RdWeb, если Вы его откроете текстовым редактором, увидите, что full address, а это адрес подключения, у Вас обновился.

    Но у меня нет на внутреннем DNS сервере зоны rds.oilservice.group, потому я создаю прямую зону просмотра rds.oilservice.group и делаю пустую "А" запись в IP брокера. Теперь клиенты могут подключиться по этому имени. Оно совпадает с именем сертификата и соответственно ошибки сертификата нет. 

    Я так же мог бы создать и зону oilservice.group, а в ней создать запись типа "А" rds.oilservice.group в IP брокера, но если есть внешний домен такой же, а там еще и сайт, то могут начаться популярные проблемы, когда сайт не открывается, так как запросы перехватывает внутренний DNS сервер и тогда нужно делать еще отдельные записи по типу www в IP внешнего сайта и другие костыли.

    • Помечено в качестве ответа RK3DNP 23 сентября 2021 г. 8:58
    23 сентября 2021 г. 7:38
  • Спасибо, все заработало.

    Последний вопрос, а можно еще через файл RDP исключить появления сообщения:

    Вы доверяете издателю этого удаленного подключения?

    Издатель *.domain.ru
    Удаленный компьютер rds.domain.ru

    • Изменено RK3DNP 23 сентября 2021 г. 8:34
    23 сентября 2021 г. 8:13
  • Спасибо, все заработало.

    Последний вопрос, а можно еще через файл RDP исключить появления сообщения:

    Вы доверяете издателю этого удаленного подключения?

    Издатель *.domain.ru
    Удаленный компьютер rds.domain.ru

    Это бай дизайн, не ошибка. Но Вы можете это исправить с помощью групповых политик, не доменные компы всё равно будут видеть это, пока не нажмут галку больше не показывать.

    Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Клиент подключения к удаленному рабочему столу — Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP.

    Более подробно можете прочесть из любой ссылки в гугле.


    23 сентября 2021 г. 8:52
  • Про доменные компы я знаю, читал. Спасибо большое за помощь. 
    23 сентября 2021 г. 8:57