Estou usando o Windows 7 e os servidores são o Windows 2008 R2. Até agora, há pelo menos 4 servidores que mostram esse comportamento.
Às vezes recebo um aviso ao tentar se conectar via RDP, declarando que o nome do certificado está errado. Quando eu reiniciar o servidor este aviso desaparece. Após uma reinicialização ou talvez 2 ou 3, o aviso é exibido novamente. Eu sempre conecto usando apenas o nome do host.
Quando o aviso é exibido, o logon único não funciona mais. O certificado pode ser auto-assinado ou do nosso pki interno. A única diferença é um aviso adicional "publicador não confiável" quando o certificado é auto-assinado.
Quando uso o fqdn, passo a verificação do certificado, mas o SSO do Kerberos ainda não funciona.
O que está errado? Como posso consertar isso? Como faço para depurar isso para obter mais informações? O que muda depois de uma reinicialização, para que funcione novamente?
O problema pode ter sido resolvido. O controlador de domínio executando a função de emulador FSMO PDC estava sendo executado no VMware ESXi. Primeiro de tudo mudou isso para um DC de hardware.
Além disso, o timesync totalmente desativado nos DCs virtuais. Consulte o link para obter detalhes.
Até agora não vi mais as advertências.
Quando você se conecta ao cliente RDP, está usando o nome completo que corresponde ao nome no certificado? Por exemplo, se você RDP para um host usando apenas o nome foo e permitir que seu caminho de pesquisa DNS descubra que isso é foo.example.com e seu certificado tiver um valor foo.example.com , você receberá um erro. / p>
Então, para ser mais específico. Se você instalar um certificado com o nome foo.example.com , mais você RDP para esse host usando apenas esse nome, e não o endereço IP, um alias de DNS ou qualquer forma encurtada do nome.
Como você tem uma CA interna, convém considerar a criação de um certificado curinga e / ou um certificado com vários nomes.