O servidor Gateway de Área de Trabalho Remota está temporariamente indisponível após a atualização do Certificado SSL

2

O certificado SSL do nosso RDS Web Gateway expira no final de julho.

Já recebi um SSL de substituição para o próximo ano.

No entanto, mesmo que seja o mesmo certificado (mesmo assunto, não há SANs) recebo um servidor de Área de Trabalho Remota que está temporariamente indisponível ao conectar-se externamente (os usuários internos estão bem).

O certificado está correto, está bem instalado, com a chave privada anexada, eu adicionei-o ao IIS no servidor Web Gateway e adicionei às ligações para SSL (não há outras ligações SSL desonestos, verifiquei).

Eu adicionei-o às configurações de SSL no Gerenciador de RD.

E também foi adicionado às 4 instâncias na implantação de RD (2x corretor, 1x acesso à Web, 1x gateway)

Também foi adicionado ao ISA que manipula o auth pass embora e o DUO 2fa.

Basicamente, exatamente o mesmo que antes. (recuperou o servidor RD dos backups para verificar novamente todas as configurações).

Pode chegar à página da Web, o novo certificado é exibido corretamente, passa pela autenticação via DUO e carrega a página de aplicativos bem.

No entanto, tentar iniciar qualquer aplicativo traz uma: "Seu computador não consegue se conectar ao computador remoto porque o servidor Gateway de Área de Trabalho Remota está temporariamente indisponível".

Curiosamente, um administrador de domínio PODE se conectar aos aplicativos, mas nenhum usuário padrão pode.

Para evitar a interrupção do serviço, revirei tudo para o certificado antigo e ele funciona bem, exceto no laptop em que testei o novo certificado. Um usuário padrão agora não pode mais acessar os aplicativos, mas novamente um administrador pode. Eu até tentei remover completamente o perfil do usuário e recarregá-lo, e ainda obter o mesmo erro - o mesmo usuário pode acessá-lo de qualquer outro laptop bem.

Outro usuário que iniciou o RD INTERNALMENTE enquanto eu testava o novo CERT, agora também recebe o mesmo erro, mesmo após a reversão.

Portanto, não é um problema de perfil, parece ser algo no computador individual - como o novo certificado ainda está em vigor impedindo o carregamento do aplicativo -, mas passei por todos os armazenamentos de certificados na máquina e não consigo vê-lo adicionado a qualquer loja, nem um "Clear SSL State" funciona no IE.

Eu pesquisei muito sobre o erro e, além de verificar se a chave privada está anexada (é), há muitos exemplos do erro sem soluções anexadas.

Qualquer ajuda muito apreciada.

EDITAR:

Examinando o servidor atualmente recuperado em funcionamento (com certificado de expiração) notei que a parte do Certificado SSL do RD Manager não tem nenhum certificado instalado: Servidor RDWeb atual

Nenhuma ideia de como isso foi gerenciado (eu herdei este servidor RD de um administrador anterior).

O certificado está instalado na implantação do RD (2x corretor, 1x acesso à Web, 1x gateway).

Se eu tentar instalar o novo Certificado SOMENTE na área de Implantação, ele executará automaticamente o Gerenciador de RD acima com o novo SSL.

O que eu estou pensando é, porque o ISA está realmente servindo a página da web e tratando auth, o cliente vê o SSL servido pelo ISA e pode acessar um C.A para verificar o Cert. Mas quando o ISA atinge o servidor RDWeb - se ele tiver esse Cert instalado no RDManager - o próprio ISA não tem acesso para ir e verificar com um C.A - causando o problema.

Então - Como posso adicionar o Cert à Implantação SEM adicioná-lo ao Gerenciador de RD?

Obrigado.

    
por Martin 20.07.2017 / 10:57

1 resposta

2

Depois de ler muita documentação, descobri o que eu fiz de errado. Eu tinha quebrado tudo adicionando manualmente o novo Cert ao IIS no servidor RDWeb. Não sei por que isso quebrou tudo.

O método correto aparentemente é apenas adicionar o Certificado à Configuração de Implantação por meio do Gerenciador de Servidores (para cada RDWeb, Gateway, Broker etc) e isso preenche automaticamente o IIS com o novo Certificado.

Uma vez feito dessa maneira, tudo bem.

Ainda tenho um problema com clientes que se conectaram quando a configuração estava com falha. Parece ser algo em seu perfil DUO - estou trabalhando com DUO para resolver, irá atualizar com mais uma vez eu tenho isso.

Obrigado.

Editar:

Bem, não tenho nenhum lugar com o DUO descobrindo o que matou esse cliente, mas uma recompilação resolveu o problema de qualquer maneira, então definitivamente algo do lado do cliente e não relacionado ao DUO ou ao Perfil do RD.

    
por 01.08.2017 / 14:58