Я налаштовую ферму віддалених служб робочого столу, і у мене виникають проблеми з налаштуванням сертифікатів для її використання. Демонстрацію проблеми, яку я бачу, можна знайти на кроці №4.
На даний момент я переконаний, що з інтерфейсом користувача є проблеми, і шукаю шляхи їх вирішення. Чи є спосіб налаштувати сертифікати в службах віддаленого робочого столу так, щоб налаштування трималися і відображалися в графічному інтерфейсі? Якщо ні, чи є мені спосіб перевірити правильність налаштувань?
Крок №1 - Створіть сертифікат для використання.
Я налаштував сертифікат для використання з веб-доступом RD. Сертифікат зберігається в MMC-сертифікатах мого брокера RD Connection, і я конфігурую ферму з цього комп'ютера.
Я виявив, дозволяючи RD Web Access генерувати власний сертифікат, що потрібні наступні властивості:
- Розширене використання ключів
- Аутентифікація сервера
- Аутентифікація клієнта
- Це може не знадобитися, але сертифікат самопідписаний включає його.
- Ключове використання
- Цифровий підпис
- Основна угода
- Тема Альтернативна назва
- Ім'я DNS = domain.com
Переїзд щодо самостійного підписання генерації сертифікатів
Як швидкий об’їзд, я зміг подолати проблему зі створенням самопідписаних сертифікатів за допомогою патронної оболонки. Документація для командлету New-RDCertificate дає такий приклад:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Введення цього тексту в оболонку призведе до повідомлення про помилку, що стверджує, що функцію Get-Server
неможливо знайти. Перед використанням New-RDCertificate
потрібно імпортувати модуль RemoteDesktop за допомогою Import-Module RemoteDesktop
.
Крок №2 - Дотримуйтесь поведінки поза межами коробки
При першому відвідуванні діалогового вікна "Властивості розгортання" перейдіть до Менеджера серверів -> Служби віддаленого робочого столу -> Колекції та виберіть "Редагувати властивості розгортання" зі спадного списку "ЗАВДАННЯ" у групі "КОЛЕКЦІЇ", ви побачите наступний екран :
Це вікно вводить в оману, оскільки level
поле вказане як "Не налаштовано". Якщо я правильно розумію, усі три служби ролей використовують сертифікат, який підписує самостійно. Для ролі RD Web Access це можна перевірити, відвідавши веб-сайт:
Сертифікат, що використовується, також відображається в сертифікаті MMC:
Крок №3 - Призначте новий сертифікат
Діалогове вікно "Властивості розгортання" дозволить мені вибрати свій існуючий сертифікат. Сертифікат повинен бути розміщений у локальних комп'ютерах Сертифікати MMC у магазині сертифікатів "Особистий". Приватний ключ потрібно буде експортувати, і вам потрібно буде вказати пароль. Я тимчасово експортував свій сертифікат у файл, названий temp.pfx
паролем, а потім імпортував його в сервіси віддаленого робочого столу звідти.
Після цього GUI вкаже, що він готовий прийняти нову конфігурацію.
Після натискання кнопки «Застосувати» графічний інтерфейс вказує на успіх.
Це можна переконатися, відвідавши веб-сайт RD Access Web вдруге. Немає помилки сертифіката.
Крок №4 - GUI не підтримує свій стан
Якщо графічний інтерфейс закритий і повторно відкритий, всі ці налаштування видаються втраченими.
Насправді сертифікат, який я налаштував, досі використовується. Я можу продовжувати доступ до веб-сайту RD Access без будь-яких помилок сертифікату.
Як не дивно, якщо я використовую кнопку "Створити новий сертифікат ...", щоб створити сертифікат самопідписаного, це вікно оновиться до рівня "Недовірений". Це налаштування буде збережено через відкриття та закриття діалогового вікна Властивості розгортання.
Чи можу я щось зробити, щоб мої налаштування залишалися придатними? Я відчуваю, що щось не так, коли GUI стверджує, що я не повністю налаштував сертифікати.