有時 RDP 顯示證書警告並且 kerberos 單點登錄不起作用
我使用的是 Windows 7,伺服器是 Windows 2008 R2。到目前為止,至少有 4 個伺服器表現出這種行為。
有時我在嘗試通過 RDP 連接時收到警告,說明證書名稱錯誤。當我重新啟動伺服器時,此警告消失。重新啟動或可能 2 或 3 次後,警告再次顯示。我總是只使用主機名連接。
顯示警告時,單點登錄不再起作用。證書可能是自簽名的,也可能來自我們的內部 pki。唯一的區別是當證書是自簽名的時額外的“發布者不受信任”警告。
當我使用 fqdn 時,我通過了證書檢查,但 Kerberos SSO 仍然無法工作。
怎麼了?我怎樣才能解決這個問題?如何調試它以獲取更多資訊?重新啟動後發生了什麼變化,所以它再次工作?
問題可能已經解決了。執行 FSMO PDC 仿真器角色的域控制器在 VMware ESXi 上執行。首先將其移至硬體 DC。
此外,在虛擬 DC 中完全禁用了時間同步。有關詳細資訊,請參見http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1189。
到目前為止,我還沒有看到警告。
當您連接 RDP 客戶端時,您是否使用與證書中的名稱匹配的全名?例如,如果您 RDP 到僅使用 name 的主機
foo
,並允許您的 DNS 搜尋路徑找出這是foo.example.com
,並且您的證書具有 valuefoo.example.com
,那麼您將得到一個錯誤。所以要更具體一些。如果您安裝一個名為 的證書
foo.example.com
,那麼您大多數 RDP 到該主機僅使用該名稱,而不是 IP 地址、DNS 別名或名稱的任何縮寫形式。由於您有內部 CA,您可能需要考慮創建萬用字元證書和/或具有多個名稱的證書。