我有大约30台Windows 2008 R2服务器作为域的成员,并试图正确configuration证书部分,以便远程桌面访问这些服务器。
问题在于,需要连接到这些服务器的客户端不在域中。 客户端与所有域计算机位于同一个内部networking上。
到目前为止,我做了以下工作:
这似乎工作,每台服务器都经历了自动注册过程。
问题是,当我连接到一个RDP客户端,我收到一个证书警告声明:
A revocation check could not be performed for the certificate
查看证书详细信息,我可以看到它是机器的正确证书,并且已经由我已经安装和信任的CA根签名。 证书上的CRL Distribution Points条目指出:
URL=ldap:///CN=domain-ad-CA,CN=host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)
根CA证书没有列出CRL位置。
猜测,客户正在尝试联系LDAPurl并失败,但目前还不清楚为什么。 我如何让客户执行撤销检查?
哦,我知道为什么。 这也发生在我们身上,对于非域join的计算机(这就是为什么我删除了RDP证书)。
如果匿名用户不能查询您的LDAP,或者没有查看该特定位置的权限,那么非join域的计算机将无法到达该位置以获取CRL,因此将无法执行撤销检查。 (当然,由于其他原因,例如不存在,那个位置是不可能的)。