none
Мапирование USB в виртуальную коллекцию сеансов. RRS feed

  • Вопрос

  • Доброго времени суток Уважаемые коллеги. В домене имеется виртуализация коллекции узлов сеансов WS 2012 R2 в Failover Cluster-ре виртуальных машин. Четыре узла сеансов с одним балансировщиком. Все узлы коллекции сконфигурированы одинаково.Стоит задача установить на все узлы коллекции сеансов сертификат личного ключа в Крипто Про.Все бы ничего, но контейнер ключа находится на флэшке и эту флэшку необходимо каr-то "прокинуть" в виртуальные машины. Более того, ключи нужно устанавливать под профилем каждого пользователя для которого необходимо установить сертификат.

    Настроен режим Enhansed Session Mode, но после его включения и пробной аутентификации в виртуалке появляется темный экран и виртуалка обратно выкидывает окно аутентификации. В базовом же режиме все работает штатно, но естественно диск не перенаправлен.

    Вопрос:

    Что можно предпринять в данной ситуации, покупать устройство что-то вроде usb-over-ethernet ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 22 июня 2016 г. 13:11
    22 июня 2016 г. 13:06

Ответы

Все ответы

  • Добрый день.

    В рамках проекта делали выгрузку контейнера в стандартный *.pfx.

    Как вариант, поступить так же и установить потом как обычный сертификат (руками или GPO).

    Описание взято http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380297

    утилита P12FromGostCSP

    22 июня 2016 г. 14:28
  • Чтобы пробросить usb, можно воспользовать аппаратными средствами, например вот:

    http://www.digi.com/ru/products/usb/anywhereusb

    Или ПО с аналогичным функционалом - http://www.usb-over-network.com/usb-over-network.html


    22 июня 2016 г. 14:30
  • Бог с ним с "пробросом" , решается банальным присоединением физического диска в виртуалку, так как ЭЦП на обычной флэшке записано. а не на Токене. Можно просто копирнуть содержимое на диск в виртуалку и импортировать ключи.

    Теперь вопрос в другом, как унифицировать импорт ЭЦП для каждого пользователя в реестр своего профиля, если ферма состоит из 4-рех серверов и каждый узел сеансов должен иметь соответствующую ЭЦП.
    На данный момент есть старые терминалки, где и работают пользователи и там уже импортированы некоторые ЭЦП.
    Возможно ли как то экспортировать данные сведения об ЭЦП из реестра на новые узлы сеансов, да и как в дальнейшем поступить, либо пользователю приедтся четыре раза аутентифицироваться на каждом из узлов сеансов для того что бы можно было импортировать новую ЭЦП ?
    Спасибо!

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    23 июня 2016 г. 14:45
  • Что бы пользователь 4 раза не аутентифицировался на каждом узле есть перемещаемые профили (Configuring Roaming User Profiles), которые так же решат проблему переноса профиля со старых серверов.

    Если сертификаты для всех пользователей одинаковые, можно импортировать средствами GPO.

    23 июня 2016 г. 16:24
  • Что бы пользователь 4 раза не аутентифицировался на каждом узле есть перемещаемые профили (Configuring Roaming User Profiles), которые так же решат проблему переноса профиля со старых серверов.

    Если сертификаты для всех пользователей одинаковые, можно импортировать средствами GPO.

    Доброго дня Алексей! Да я забыл указать, что у нас используются именно перемещаемые профили. Если я правильно понимаю, то все настройки ЭЦП и ключи прописаны в ключах реестра, которые так же перемещаются ? Просто пробовали уже на одном из тех исходных терминалок (Без фермы), аутентифицироваться на терминалке с перемещаемым профилем, где не было импорта ЭЦП в Крипто Про -> похоже что не работает такая схема.

    По вопросу об импорте сертификатов через GPO- можно по подробнее,или ссылочку на пример-статью.

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    24 июня 2016 г. 6:03
  • Добрый день.

    С КриптоПРО все немного сложнее почитайте Перенос сертификатов и ключей к ним

    По вопросу GPO Install pfx cert in user personal store via gpo

    24 июня 2016 г. 6:21