Recentemente, reeditamos nosso certificado curinga GoDaddy com o algoritmo de assinatura SHA256 (FYI eles ainda revogam o certificado antigo em 72 horas, mesmo que você não o refaça, portanto, você deve reescrever de qualquer maneira). Usamos esse certificado para nossos RemoteApps, RDP de Servidores de Terminal, RDGateway e RDWeb (IIS).
Quando eu mudo para o novo certificado curinga no "RemoteApp Manager" - > "Configurações de Assinatura Digital" em um determinado Terminal Server (servidor host de sessão AKA) As conexões do RDWeb para aplicativos publicados nesse servidor de terminal falham para alguns usuários , mas as conexões usando o arquivo .rdp funcionam bem para todos os usuários. Além disso, e esta é a coisa mais estranha que já vi, o usuário errado está logado como tendo acesso negado no gateway . Se eu alterar o certificado de volta para o certificado antigo e revogado para essa configuração, tudo funcionará.
Configuração de trabalho:
- Todos os servidores do Windows 2008 R2 Datacenter
- RDGateway + RDWeb - rdsgateway.contoso.com (novo certificado curinga instalado para o IIS e o rdgateway)
- TS - ts1.contoso.com (novo certificado curinga instalado apenas para RDP, certificado OLD instalado para RemoteAPP )
Configuração não funcional:
- Todos os servidores do Windows 2008 R2 Datacenter
- RDGateway + RDWeb - rdsgateway.contoso.com (novo certificado curinga instalado para o IIS e o rdgateway)
- TS - ts1.contoso.com (novo certificado curinga instalado para RDP, NOVO certificado instalado para RemoteAPP )
AoiniciarapartirdoRDWebusandoousuário"CONTOSO \ bob" , o seguinte erro é gerado:
A Área de trabalho remota não pode se conectar ao computador remoto "ts1.contoso.com" por um destes motivos:
1) Sua conta de usuário não está listada na lista de permissões do Gateway RD
2) você pode ter especificado o computador remoto no formato NetBIOS ...
Quandovejoologdeeventos"Microsoft-Windows-TerminalServices-Gateway / Operacional", vejo o seguinte erro:
O usuário "CONTOSO \ alice" , no computador cliente "123.123.123.123", não atendeu aos requisitos de diretiva de autorização de recursos e, portanto, não estava autorizado a usar recursos "ts1.contoso.com ". O seguinte erro ocorreu: "23002".
O que está acontecendo? Por que a alteração do certificado de assinatura do RemoteApp faz com que o gateway pense que esse é um usuário diferente se conectando?