Às vezes, o RDP mostra o aviso de certificado e o logon único do kerberos não funciona

1

Estou usando o Windows 7 e os servidores são o Windows 2008 R2. Até agora, há pelo menos 4 servidores que mostram esse comportamento.

Às vezes recebo um aviso ao tentar se conectar via RDP, declarando que o nome do certificado está errado. Quando eu reiniciar o servidor este aviso desaparece. Após uma reinicialização ou talvez 2 ou 3, o aviso é exibido novamente. Eu sempre conecto usando apenas o nome do host.

Quando o aviso é exibido, o logon único não funciona mais. O certificado pode ser auto-assinado ou do nosso pki interno. A única diferença é um aviso adicional "publicador não confiável" quando o certificado é auto-assinado.

Quando uso o fqdn, passo a verificação do certificado, mas o SSO do Kerberos ainda não funciona.

O que está errado? Como posso consertar isso? Como faço para depurar isso para obter mais informações? O que muda depois de uma reinicialização, para que funcione novamente?

    
por Jonathan 26.04.2012 / 11:53

2 respostas

1

O problema pode ter sido resolvido. O controlador de domínio executando a função de emulador FSMO PDC estava sendo executado no VMware ESXi. Primeiro de tudo mudou isso para um DC de hardware.

Além disso, o timesync totalmente desativado nos DCs virtuais. Consulte o link para obter detalhes.

Até agora não vi mais as advertências.

    
por 03.07.2012 / 15:43
0

Quando você se conecta ao cliente RDP, está usando o nome completo que corresponde ao nome no certificado? Por exemplo, se você RDP para um host usando apenas o nome foo e permitir que seu caminho de pesquisa DNS descubra que isso é foo.example.com e seu certificado tiver um valor foo.example.com , você receberá um erro. / p>

Então, para ser mais específico. Se você instalar um certificado com o nome foo.example.com , mais você RDP para esse host usando apenas esse nome, e não o endereço IP, um alias de DNS ou qualquer forma encurtada do nome.

Como você tem uma CA interna, convém considerar a criação de um certificado curinga e / ou um certificado com vários nomes.

    
por 26.04.2012 / 18:38