有没有办法使用单个可信的第三方authentication机构(CA)签名的通配符安全证书来保护整个Active Directory(AD)域,以便远程访问将无缝地进行:
理想情况下,我喜欢这样做,以便用户在远程login时不会收到安全证书警告(无论计算机位于何处或计算机是否已join域)
https://internal.domain.com/remote
,login并selectPC-01
。 细节:
domain.com
internal.domain.com
server-01.internal.domain.com
server-02.internal.domain.com
pc-01.internal.domain.com
*.internal.domain.com
据我所知,这是不能做到的,因为一个安全证书只能安装在一台计算机上,这种情况下需要在3台计算机(RDG服务器,RDS服务器和PC)上安装安全证书。
但是,我知道AD有自己的公钥基础设施(PKI)和“内部”CA,用于确保域和join域的计算机之间的信任。 那么,有没有办法用可信的第三方CA签名的通配安全证书来取代AD的CA根安全证书?
更新2016/06/30 16:33:我已经取得了重大的进展,一旦问题得到解决,将写出答案。
免责声明:这是我最好的回忆
我们的安全证书提供商SSL247告诉我,通配安全证书:
简而言之,完整的决议是:
internal.domain.com
更改为remote.internal.domain.com
。 在Internet域domain.com
的权威域名服务器上,创buildDNS资源logging(RR):
remote.internal.domain.com 3600 IN A <public IP address>
在路由器上,创build防火墙和NAT规则,允许和转发端口TCP 443到RDG服务器。
*.internal.domain.com
创build证书签名请求(CSR) 实际上,我们的解决办法要复杂得多。
我们原来的设置如下:
server-01.internal.domain.com
上的angular色RDG。 server-02.internal.domain.com
上。 长话短说(要求澄清,如果需要),这个设置只是没有工作。 尽pipe使用域pipe理用户帐户和尽可能configuration为低/打开的所有设置(RDG,CAP,RAP,NPS等),外部RDP失败一致,出现以下错误:
远程桌面无法连接到远程计算机“server-02.internal.domain.com”的原因之一:
1)您的用户帐户无权访问RD网关“remote.internal.domain.com”
2)您的计算机无权访问RD网关“remote.internal.domain.com”
3)您正在使用不兼容的身份validation方法(例如,RD网关可能希望使用智能卡,但您提供了密码)
日志名称:Microsoft-Windows-TerminalServices-Gateway / Operational
来源:Microsoft-Windows-TerminalServices-Gateway
date:2016/06/30 15:47:33
事件ID:201
任务类别:(2)
级别:错误
关键词:审计失败,(16777216)
用户:networking服务
计算机:server-01.internal.domain.com
描述:
客户端计算机“%ourPublicIPAddress%”上的用户“%domainAdministrativeUserAccount%”未满足连接授权策略要求,因此未被授权访问RD网关服务器。 使用的身份validation方法是:“NTLM”和使用的连接协议:“HTTP”。 发生以下错误:“23003”。
我对这种情况和这些错误进行了深入的研究,发现了相当多的资源,但没有解决问题。
我有我们的networking运营中心(NOC)进行调查,他们的结论是,问题是由于使用Essentials造成的。
我将angular色RDG从服务器#1移到服务器#2(我意识到这几乎是毫无意义的),更新了networking,它的工作非常迅速。
好吧。 至less它工作。