我正在尝试通过RemoteApp(Windows Server 2008中的应用程序stream式传输RDP)部署应用程序来部署应用程序。
TS网关服务器(称为srv-web)和托pipe应用程序的盒子(称为srv-app)是两个不同的盒子。
连接需要通过HTTPS通过TS网关服务器,因为srv-app位于NAT后面的内部LAN上。
只有srv-web暴露在互联网上,只有端口443(HTTPS)打开。
如果我忽略/接受各种警告,连接就完美了。
这里的目的是让我们的客户尽可能顺利地工作。
我在srv-web和srv-app上都安装了SSL证书。 srv-web被设置为使用TS Gateway,并且工作正常。 证书的CN与外部公共主机名匹配。
我得到的警告如下(我从屏幕截图中篡改了真实的主机名)
替代文字http://i25.tinypic.com/14mwahe.png
我想问的是,如何selectsrv-app使用的SSL证书来提供连接客户端的身份certificate?
编辑:我发现在哪里设置 – 这是在远程桌面会话主机configuration – > RDP-Tcp属性,一般标签在底部。
不过,我还有一个问题,有点可以预料,我现在有一个不匹配的服务器名称:
替代文字http://i27.tinypic.com/23j3gqx.png
我怀疑这将需要在某个地方进行拓扑更改。 来自已经完成的人的反馈会很棒。
编辑2:我已经通过在自定义RDP设置中设置以下选项解决此问题。
authentication level:i:0 然而,这不是一个令人满意的解决scheme,因为它只是禁用检查。 我仍然希望有更多的反馈意见。
非常感谢。
转到您的rdp-tcp属性,然后select常规选项卡 – >,然后在属性表底部select您的外部证书。 这将允许所有通信基于外部证书,而不是rdp使用服务器本身的默认内部不匹配
对我来说,就像你试图用“内部名称”连接到服务器一样,但是你已经select了指定了“外部名称”的证书。
如果你想让“内部名称”在“防火墙后面”工作,而你的NAT防火墙不支持“发夹式NAT”(即将来自LAN接口的请求转换回LAN接口),那么你可以经典的“欺骗”是在名为“publicname.ourdomain.com”的内部DNS服务器中创build一个DNS区域,其中包含服务器计算机的内部IP地址。
这就像“水平分割DNS”,但是被限制为一个单一的名字(这样“ourdomain.com”区域其余部分的“正常”名称parsing不受影响)。
我在我们自己的环境中看到了这一点。 从我所看到的,网关隧道RDP连接实际上将使用两套证书:首先它将encryption客户端和网关之间的隧道,然后是客户端和服务器之间的隧道(尽pipe此stream量已经在网关安全隧道)。 它也让我感到困惑,而且我还没有find任何其他“正确”的方式来使用它,而不是使用两个证书,一个匹配你的网关的外部名称,一个匹配你的TS服务器的内部名称。 请更新此线程,如果你发现任何东西!
设置
authentication level:i:0
在自定义的RDP设置解决这个问题(正如我的问题)
获取具有多个名称和本地主机名或IP地址的SAN证书。 这将工作完美。
如果要解决此问题而不减less身份validation级别,请打开远程应用程序pipe理器,然后单击“RD会话主机服务器设置”旁边的更改确认连接设置服务器名称包含corerct外部DNS。 在同一个对话框中点击数字签名选项卡并将其设置为正确的SSL证书。
请注意,您还必须在会话主机configurationRDP-Tcp属性中将外部证书configuration为JT发布。