我使用的是Windows 7,服务器是Windows 2008 R2。 到目前为止,至less有4个服务器显示这种行为。
有时我会在尝试通过RDP进行连接时收到警告,说明证书名称是错误的。 当我重新启动服务器时,此警告消失。 重新启动后,或2或3警告再次显示。 我总是只使用主机名连接。
当显示警告时,单点login不再起作用。 证书可能是自签名的或从我们的内部pki。 唯一的区别是当证书是自签名的时候,额外的“发布者不信任”警告。
当我使用fqdn时,我通过了证书检查,但是Kerberos SSO仍然不起作用。
哪里不对? 我怎样才能解决这个问题? 我如何debugging以获取更多信息? 重启后有什么变化,所以它再次工作?
问题可能已经解决了。 运行FSMO PDC模拟器angular色的域控制器在VMware ESXi上运行。 首先移动到一个硬件DC。
此外,完全禁用虚拟DC中的时间同步。 有关详细信息,请参阅http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1189 。
到目前为止,我还没有看到警告。
在与RDP客户端连接时,是否使用了与证书中的名称相匹配的全名? 例如,如果您将RDP发送给仅使用名称foo的主机,并且允许您的DNSsearchpath找出这是foo.example.com ,并且您的证书的值为foo.example.com ,那么您将得到一个错误。
所以要更具体。 如果你安装了一个名字为foo.example.com的证书,那么你对这个主机的大多数RDP只使用这个名字,而不是IP地址,一个DNS别名或者任何缩写forms的名字。
由于您拥有内部CA,因此您可能需要考虑创build通配符证书和/或具有多个名称的证书。