Server 2012 R2: Serviços de Área de Trabalho Remota, certificados e domínio .local interno

3

Sem um domínio exclusivo do Active Directory resolvível publicamente (ou seja, usando foo.local vs. corp.foo.com), é possível obter o certificado RDP / SSO Nirvana? ou seja, sessões RDP de ponta a ponta, com zero, (RemoteApp + Área de Trabalho Remota) sem exigindo a instalação de certificados do lado do cliente.

Eu quero manter esse alto nível: posso trabalhar com o processo de planejamento / configuração (e fazer perguntas adicionais conforme necessário), mas antes de seguir esse caminho (em comparação com alternativas como a Citrix), quero saber se isso é possível.

    
por gravyface 14.03.2014 / 18:13

1 resposta

1

Sem instalar certificados em seus clientes? Então a resposta é simplesmente não. Não, não.

No entanto, é possível iff distribuir o certificado raiz usado para as sessões RDP para todos os clientes que farão essas conexões RDP.

Se eu tiver um domínio chamado INamedMyDomainPoorly.local, nenhuma autoridade de certificação confiável globalmente, como a Godaddy ou a Cybertrust, emitirá um certificado para isso. Mas posso facilmente levantar minha própria autoridade de certificação interna, ca.INamedMyDomainPoorly.local, fazer com que ela emita um certificado para rdsessionhost.INamedMyDomainPoorly.local e, em seguida, adicione o certificado da CA raiz (e a cadeia, se aplicável) ao armazenamento da CA Raiz Confiável todos os meus clientes.

Eu poderia distribuir este certificado com a Diretiva de Grupo se todos os meus clientes ingressassem em um domínio do Active Directory.

O certificado precisaria refletir com precisão o nome do host da sessão RD à qual seus clientes estão se conectando, seus clientes precisam de resolução DNS para INamedMyDomainPoorly.local e ele precisa incluir um CDP (ponto (s) de distribuição CRL) acessível por seus clientes.

    
por 14.03.2014 / 18:23