服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 活动目录,通配符安全证书和远程访问
Intereting Posts
Exchange CASarrays中多个DNS名称和IP地址使负载平衡更有效 Apache,nginx和lighttpd可以在Ubuntu系统中共存吗? TLS与GNU Mailutils 0.6 IMAP4d rsync在首次运行时不使用delta传输 简单的方法将300多个IIS站点移动到新的应用程序池? 在Samba中使用ldap有什么好处? Windows Server 2008瘦客户端 – Google Chrome问题 调整ZFS擦洗,141KB / s运行15天 SCCM无法连接到SQL 绑定服务到本地主机和使用SSH隧道 – 可以请求伪造? 我的WHS机器上应该使用什么configuration用于TFS 2010? Oracle VSS编写者与RMAN 拆包并重buildrpm包 CentOS 7在安装过程中禁用可预测的networking接口名称 DHCP与静态IPnetworking中的静态IP,包含40个客户端和〜10个服务器

活动目录,通配符安全证书和远程访问

有没有办法使用单个可信的第三方authentication机构(CA)签名的通配符安全证书来保护整个Active Directory(AD)域,以便远程访问将无缝地进行:

  1. RDP通过远程桌面网关(RDG)使用远程Web访问(RWA)到PC。
  2. RDP使用远程桌面连接通过远程桌面网关(RDG)连接到远程桌面服务(RDS)服务器。

理想情况下,我喜欢这样做,以便用户在远程login时不会收到安全证书警告(无论计算机位于何处或计算机是否已join域)

  1. 浏览到https://internal.domain.com/remote ,login并selectPC-01
  2. 打开RemoteApp并login。

细节:

  • 互联网域名: domain.com
  • AD域名: internal.domain.com
  • AD域控制器和RDG服务器完全限定的域名: server-01.internal.domain.com
  • RDS服务器完全限定的域名: server-02.internal.domain.com
  • PC完全合格的域名: pc-01.internal.domain.com
  • 通配符安全证书: *.internal.domain.com

据我所知,这是不能做到的,因为一个安全证书只能安装在一台计算机上,这种情况下需要在3台计算机(RDG服务器,RDS服务器和PC)上安装安全证书。

但是,我知道AD有自己的公钥基础设施(PKI)和“内部”CA,用于确保域和join域的计算机之间的信任。 那么,有没有办法用可信的第三方CA签名的通配安全证书来取代AD的CA根安全证书?

更新2016/06/30 16:33:我已经取得了重大的进展,一旦问题得到解决,将写出答案。

免责声明:这是我最好的回忆

我们的安全证书提供商SSL247告诉我,通配安全证书:

  1. 只覆盖下一级的子域,而不是根域。
  2. 可以安装在无限的服务器上(也可以是PC?),除非它们是由赛门铁克提供的(如果我没有记错的话)。

简而言之,完整的决议是:

  1. 在RDS服务器上,打开RemoteApp Manager并将RDG从internal.domain.com更改为remote.internal.domain.com

  2. 在Internet域domain.com的权威域名服务器上,创buildDNS资源logging(RR):

    remote.internal.domain.com 3600 IN A <public IP address>

  3. 在路由器上,创build防火墙和NAT规则,允许和转发端口TCP 443到RDG服务器。

  4. 在RDG服务器上,打开IISpipe理器并为*.internal.domain.com创build证书签名请求(CSR)
  5. 将CSR提交给受信任的第三方CA并等待颁发。
  6. 在RDG服务器上,打开IISpipe理器,完成CSR,从而安装通配符安全证书,并将带有私钥的通配符安全证书导出到PFX文件。
  7. 在RDG服务器上,打开RDGpipe理器并configuration安全证书,连接授权策略(CAP)和资源授权策略(RAP)。
  8. 在RDS服务器上,打开MMC>证书并导入PXF文件,从而安装通配符安全证书。
  9. 在RDS服务器上,打开RDS主机configuration并重新configuration连接“RDP-Tcp”更改安全证书。

实际上,我们的解决办法要复杂得多。

我们原来的设置如下:

  1. 安装在运行Windows Server 2012 R2 Essentials的服务器server-01.internal.domain.com上的angular色RDG。
  2. angular色RDS安装在运行Windows Server 2008 R2 Standard的服务器server-02.internal.domain.com上。

长话短说(要求澄清,如果需要),这个设置只是没有工作。 尽pipe使用域pipe理用户帐户和尽可能configuration为低/打开的所有设置(RDG,CAP,RAP,NPS等),外部RDP失败一致,出现以下错误:

远程桌面无法连接到远程计算机“server-02.internal.domain.com”的原因之一:
1)您的用户帐户无权访问RD网关“remote.internal.domain.com”
2)您的计算机无权访问RD网关“remote.internal.domain.com”
3)您正在使用不兼容的身份validation方法(例如,RD网关可能希望使用智能卡,但您提供了密码)

日志名称:Microsoft-Windows-TerminalServices-Gateway / Operational
来源:Microsoft-Windows-TerminalServices-Gateway
date:2016/06/30 15:47:33
事件ID:201
任务类别:(2)
级别:错误
关键词:审计失败,(16777216)
用户:networking服务
计算机:server-01.internal.domain.com
描述:
客户端计算机“%ourPublicIPAddress%”上的用户“%domainAdministrativeUserAccount%”未满足连接授权策略要求,因此未被授权访问RD网关服务器。 使用的身份validation方法是:“NTLM”和使用的连接协议:“HTTP”。 发生以下错误:“23003”。

我对这种情况和这些错误进行了深入的研究,发现了相当多的资源,但没有解决问题。

我有我们的networking运营中心(NOC)进行调查,他们的结论是,问题是由于使用Essentials造成的。

我将angular色RDG从服务器#1移到服务器#2(我意识到这几乎是毫无意义的),更新了networking,它的工作非常迅速。

好吧。 至less它工作。