Conexão RDWeb TS interrompida para alguns usuários postarem alteração do certificado RemoteApp

Navegue suas respostas
2

Recentemente, reeditamos nosso certificado curinga GoDaddy com o algoritmo de assinatura SHA256 (FYI eles ainda revogam o certificado antigo em 72 horas, mesmo que você não o refaça, portanto, você deve reescrever de qualquer maneira). Usamos esse certificado para nossos RemoteApps, RDP de Servidores de Terminal, RDGateway e RDWeb (IIS).

Quando eu mudo para o novo certificado curinga no "RemoteApp Manager" - > "Configurações de Assinatura Digital" em um determinado Terminal Server (servidor host de sessão AKA) As conexões do RDWeb para aplicativos publicados nesse servidor de terminal falham para alguns usuários , mas as conexões usando o arquivo .rdp funcionam bem para todos os usuários. Além disso, e esta é a coisa mais estranha que já vi, o usuário errado está logado como tendo acesso negado no gateway . Se eu alterar o certificado de volta para o certificado antigo e revogado para essa configuração, tudo funcionará.

Configuração de trabalho:

  • Todos os servidores do Windows 2008 R2 Datacenter
  • RDGateway + RDWeb - rdsgateway.contoso.com (novo certificado curinga instalado para o IIS e o rdgateway)
  • TS - ts1.contoso.com (novo certificado curinga instalado apenas para RDP, certificado OLD instalado para RemoteAPP )

Configuração não funcional:

  • Todos os servidores do Windows 2008 R2 Datacenter
  • RDGateway + RDWeb - rdsgateway.contoso.com (novo certificado curinga instalado para o IIS e o rdgateway)
  • TS - ts1.contoso.com (novo certificado curinga instalado para RDP, NOVO certificado instalado para RemoteAPP )

AoiniciarapartirdoRDWebusandoousuário"CONTOSO \ bob" , o seguinte erro é gerado:

A Área de trabalho remota não pode se conectar ao computador remoto "ts1.contoso.com" por um destes motivos: 1) Sua conta de usuário não está listada na lista de permissões do Gateway RD 2) você pode ter especificado o computador remoto no formato NetBIOS ...

Quandovejoologdeeventos"Microsoft-Windows-TerminalServices-Gateway / Operacional", vejo o seguinte erro:

O usuário "CONTOSO \ alice" , no computador cliente "123.123.123.123", não atendeu aos requisitos de diretiva de autorização de recursos e, portanto, não estava autorizado a usar recursos "ts1.contoso.com ". O seguinte erro ocorreu: "23002".

O que está acontecendo? Por que a alteração do certificado de assinatura do RemoteApp faz com que o gateway pense que esse é um usuário diferente se conectando?

    
por BrianCanFixIT 16.01.2015 / 10:07

1 resposta

1

Encontrou esta página depois de experimentar o mesmo problema. Para nós, a solução foi adicionar a porta 3389 ao loopback (também conhecida como Hairpin NAT) em nosso firewall.

Alguns detalhes adicionais:

Substituir o certificado foi mais complicado do que instalá-lo na primeira vez, mas acho que fizemos corretamente, e os aplicativos funcionaram bem por um dia ou dois. Os usuários começaram a receber erros no lançamento e acabamos usando o script do powershell aqui link para publique novamente o FQDN do servidor.

Acho que esse script deve ter definido o FQDN em uma parte da configuração que nunca havia sido especificada antes, fazendo com que o Gateway RD se referisse a si mesmo por seu FQDN para enviar solicitações. Essas solicitações falharam, já que nosso firewall de borda permitia apenas 80 e 443 para solicitações de entrada e de loopback.

A adição da porta 3389 à regra de loopback no firewall resolveu o problema imediatamente.

    
por 20.01.2016 / 05:04

Tags

fail2ban não baniu nada, independentemente das configurações E / OU dependências de serviço no Icinga / Nagios