更新 SSL 證書後遠端桌面網關伺服器暫時不可用
我們的 RDS Web Gateway 的 SSL 證書將於 7 月底到期。
我已經獲得了明年的 SSL 替代品。
但是,即使它是相同的證書(相同的主題,沒有 SAN),我在外部連接時收到遠端桌面伺服器暫時不可用錯誤(內部使用者很好)。
證書正確,安裝良好,附加了私鑰,我已將其添加到 Web Gateway 伺服器上的 IIS 並添加到 SSL 綁定(沒有其他惡意 SSL 綁定,我已檢查)。
我已將其添加到 RD Manager 中的 SSL 設置中。
並將其添加到 RD 部署中的 4 個實例(2x 代理、1x Web 訪問、1x 網關)
還添加到 ISA,它處理身份驗證通行證和 DUO 2fa。
基本上和以前完全一樣。(從備份中回滾 RD 伺服器以仔細檢查所有設置)。
可以訪問網頁,新證書正確顯示,通過 DUO 驗證並正常載入應用程序頁面。
但是嘗試啟動任何應用程序都會出現:“您的電腦無法連接到遠端電腦,因為遠端桌面網關伺服器暫時不可用。”
有趣的是,域管理員可以連接到應用程序,但沒有標準使用者可以。
為了防止服務中斷,我將所有內容都回滾到舊證書並且它工作正常——除了在我測試新證書的筆記型電腦上。標準使用者現在不能再訪問應用程序,但管理員可以再次訪問。我什至嘗試完全刪除使用者配置文件並重新載入,但仍然出現相同的錯誤——同一使用者可以從任何其他筆記型電腦正常訪問它。
另一個在我測試新證書時啟動 RD INTERNALLY 的使用者現在即使在回滾後也會收到相同的錯誤。
所以這不是配置文件問題,似乎是個別電腦上的問題 - 就像新證書仍然存在阻止應用程序載入 - 但我已經瀏覽了機器上的所有證書儲存並且看不到它添加到任何儲存,“清除 SSL 狀態”在 IE 中也不起作用。
我在Google上搜尋了很多錯誤,除了檢查是否附加了私鑰(它是)之外,還有很多沒有附加解決方案的錯誤範例。
非常感謝任何幫助。
編輯:
通過回滾目前工作的伺服器(證書過期)我注意到 RD Manager 的 SSL 證書部分沒有安裝證書: 目前 RDWeb 伺服器
不知道這是如何管理的(我從以前的管理員那裡繼承了這個 RD 伺服器)。
證書安裝在 RD 部署中(2x 代理、1x Web 訪問、1x 網關)。
如果我嘗試僅將新證書安裝到部署區域,那麼它會使用新的 SSL 自動填充上面的 RD 管理器。
我在想的是,因為 ISA 實際上是在為網頁提供服務並處理身份驗證,所以客戶端會看到 ISA 提供的 SSL,並且可以訪問 CA 來驗證證書。但是,當 ISA 訪問 RDWeb 伺服器時——如果它在 RDManager 中安裝了該證書——ISA 本身無權通過 CA 進行驗證——從而導致了問題。
那麼-如何嘗試將證書添加到部署而不將其添加到 RD 管理器?
謝謝。
閱讀大量文件後,發現我做錯了什麼。我自己在 RDWeb 伺服器上手動將新證書添加到 IIS,從而破壞了一切。不知道為什麼這會破壞一切。
正確的方法顯然是通過伺服器管理器(到每個 RDWeb、網關、代理等)將證書添加到部署配置中,這會使用新證書自動填充 IIS。
一旦這樣做了,一切都很好。
當設置出錯時連接的客戶端仍然存在問題。似乎是他們的 DUO 個人資料中的一些內容 - 正在與 DUO 合作解決,一旦我擁有它,將更新更多內容。
謝謝。
編輯:
好吧,DUO 沒有找到殺死這個客戶的原因,但無論如何重建解決了這個問題,所以絕對是客戶端的東西,與 DUO 或 RD 配置文件無關。