Estou tentando configurar uma demonstração de demonstração de conceito para implantar aplicativos via RemoteApp, o material de streaming de aplicativo sobre RDP no Windows Server 2008.
O servidor TS Gateway (chame-o srv-web) e a caixa que hospeda os aplicativos (chamem-lhe srv-app) são duas caixas diferentes.
As conexões precisam passar por um servidor TS Gateway por HTTPS, já que o srv-app está em uma LAN interna por trás do NAT.
Apenas o srv-web é exposto à Internet e apenas a porta 443 (HTTPS) está aberta.
Se eu ignorar / aceitar os vários avisos, a conexão funciona perfeitamente bem.
O objetivo aqui é fazer com que as coisas funcionem da melhor maneira possível para nossos clientes.
Eu tenho um certificado SSL instalado em srv-web e srv-app. O srv-web está configurado para usá-lo no TS Gateway e isso funciona bem. O CN do certificado corresponde ao nome do host público externo.
O aviso que estou recebendo é o seguinte (eu tirei o nome do host real da captura de tela)
texto alternativo http://i25.tinypic.com/14mwahe.png
A minha pergunta, suponho, é como escolher o certificado SSL que o srv-app usa para fornecer prova de sua identidade para conectar clientes?
EDIT: Descobri onde definir isso - está na Configuração do Host da Sessão da Área de Trabalho Remota - > Propriedades do RDP-Tcp, guia geral na parte inferior.
No entanto, tenho outro problema, de maneira um tanto previsível. Agora, tenho um nome de servidor incompatível:
texto alternativo http://i27.tinypic.com/23j3gqx.png
Eu suspeito que isso vai exigir uma mudança de topologia em algum lugar. O feedback de alguém que já fez isso seria ótimo.
EDIT 2: Eu trabalhei em torno disso definindo a seguinte opção nas configurações personalizadas do RDP.
authentication level:i:0
No entanto, esta não é uma solução satisfatória, pois está apenas desativando a verificação. Eu ainda gostaria de receber mais feedback sobre isso.
Muito obrigado.
vá para as propriedades do rdp-tcp e escolha a guia geral - > e selecione seu certificado externo na parte inferior da folha de propriedades. Isso permitirá que toda a comunicação seja baseada no certificado externo em vez de uma incompatibilidade quando o rdp usar o padrão interno para o próprio servidor
Parece, para mim, que você está tentando se conectar ao servidor usando seu "nome interno", mas selecionou o certificado que tem um "nome externo" especificado.
Se você quiser que o "nome interno" funcione "atrás do firewall" e o seu firewall NAT não suporta "NAT suspenso" (ou seja, NAT que solicita uma solicitação da interface LAN de volta à interface LAN), poderia fazer o clássico "truque" de criar uma zona DNS em seus servidores DNS internos denominados "publicname.ourdomain.com" com um único "@" Um registro que contenha o endereço IP interno do computador servidor.
É como "split horizon DNS", mas restrito a um único nome (para que a resolução de nomes "normal" do resto da zona "ourdomain.com" não seja afetada).
Eu vi isso em nosso próprio ambiente. Pelo que eu posso ver, uma conexão RDP com túnel de gateway usará dois conjuntos de certificados: Primeiro, criptografará o túnel entre o cliente e o gateway e, em segundo lugar, entre o cliente e o servidor (embora esse tráfego já esteja dentro do túnel protegido por gateway). Também me deixou perplexa, e não encontrei nenhuma outra maneira "adequada" de fazê-lo do que usar dois certificados, um que corresponda ao nome externo do seu gateway e um que corresponda ao nome interno do seu TS Server. Por favor atualize este tópico se você encontrar alguma coisa!
Configuração
authentication level:i:0
nas configurações personalizadas do RDP funciona em torno desse problema (como postado na minha pergunta)
Obtenha um certificado SAN com vários nomes e nomes de host locais ou endereços IP. Isso funcionará perfeitamente.
Se você quiser corrigir isso sem reduzir seu nível de autenticação, abra o Gerenciador de aplicativos remoto e clique em alterar ao lado de "Configurações do servidor host de sessão RD". Verifique se o nome do Servidor de configurações de conexão tem o DNS externo do corerct. Na mesma caixa de diálogo, clique na guia Assinatura digital e defina-a como o certificado SSL correto.
Observe que você também precisa configurar o certificado externo nas propriedades RDP-Tcp de Configuração do Host de Sessão como JT postado.