Conexão RDP ao servidor de domínio a partir de prompts do cliente que não é de domínio “Uma verificação de revogação não pôde ser executada”

5

Tenho cerca de 30 servidores do Windows 2008 R2 como membros de um domínio e estou tentando configurar corretamente a parte dos certificados para acesso remoto a esses servidores.

O problema é que os clientes que precisam se conectar a esses servidores não estão no domínio. Os clientes estão na mesma rede interna que todos os computadores do domínio.

Até agora, fiz o seguinte:

  1. Criado o CA
  2. Configurou um modelo de certificado para Autenticação da Área de Trabalho Remota
  3. Configure o GPO padrão para habilitar o registro automático e para que os servidores de área de trabalho remota registrem um certificado do modelo de certificado RDP
  4. Instalou o certificado raiz da CA em meu repositório confiável de computador local no cliente não-domínio

Isso parece funcionar, pois cada servidor passou pelo processo de inscrição automática.

O problema é que quando me conecto com um cliente RDP, recebo um aviso de certificado declarando:

A revocation check could not be performed for the certificate

Olhando os detalhes do certificado, posso ver que é o certificado correto para a máquina e que ele foi assinado pela raiz da CA, que eu instalei e confiei. A entrada CRL Distribution Points nos estados do certificado:

URL=ldap:///CN=domain-ad-CA,CN=host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)

O certificado da CA raiz não tem nenhum local da CRL listado.

Por suposto, o cliente está tentando entrar em contato com o URL do LDAP e falhando, mas não está claro por que isso deveria acontecer. Como faço para que o cliente realize verificações de revogação?

    
por growse 29.08.2012 / 11:48

1 resposta

1

Ah, eu sei porque. Isso aconteceu com a gente também, para computadores que não fazem parte do domínio (o que seria o motivo pelo qual eu removi os certificados RDP).

Se um usuário anônimo não puder consultar seu LDAP ou não tiver permissões para visualizar esse local específico, um computador não associado a um domínio não poderá alcançar esse local para obter a CRL. não conseguir realizar a verificação de revogação. (Assumindo, claro, que a localização não é inacessível por outro motivo, como não existir).

    
por 30.08.2012 / 02:33