Atualmente, implantamos seis servidores de terminal em um farm que serão acessados por thin clients que executam o Windows Embedded. A idéia por trás dos thin clients é ter um único logon simples, no qual, assim que um usuário faz login no thin client, ele é imediatamente conectado ao farm RDS sem mais prompts.
Temos o componente de logon único funcionando corretamente (estamos usando software de terceiros que permite que os usuários façam login nos thin clients tocando no crachá de um funcionário em comparação a um leitor de proximidade), mas o usuário ainda é recebido com um certificado erro antes de conectar. Eu quero que isso vá embora.
Eu posso fazer isso funcionar com qualquer um dos servidores individualmente simplesmente importando o certificado autoassinado de cada servidor para a CA raiz confiável do cliente thin, mas isso não funciona ao se conectar ao farm.
A parte que não entendo é que, quando o erro aparece, o certificado que está sendo apresentado é o certificado auto-assinado de qualquer servidor para o qual o agente TS roteava a conexão, que já deveria ser confiável. Eu estou supondo que o corretor de TS é um man-in-the-middle naquele momento talvez? Eu suspeito que tenho que assinar a conexão RDP de cada servidor com o certificado do broker do TS, mas não sei como fazer isso. Eu recebo muitas informações conflitantes quando estou no Google. Temos um servidor de CA raiz, portanto, isso deve ser fácil de fazer.
Veja nossa configuração:
HYPERV-1 é o nosso corretor de TS. É uma caixa Server 2008 (não-R2).
HYPERV-2 e HYPERV-3 são caixas do Server 2012 R2 que hospedam todas as VMs do TS.
TS-1 a TS-6 são os servidores reais aos quais os usuários se conectarão. Eles são o Server 2008 R2
CA1 é o nosso servidor de CA raiz. É uma caixa do Server 2003.
Qualquer ajuda seria apreciada.