Windows-Server-2008

Server 2008 上的 RemoteApp 證書問題

  • May 2, 2019

我正在嘗試設置一個概念驗證展示,用於通過 RemoteApp 部署應用程序,這是 Windows Server 2008 中的應用程序流式處理 RDP 的東西。

TS 網關伺服器(稱為 srv-web)和託管應用程序的框(稱為 srv-app)是兩個不同的框。

連接需要通過 TS 網關伺服器通過 HTTPS,因為 srv-app 位於 NAT 後面的內部 LAN 上。

只有 srv-web 暴露在網際網路上,並且只有埠 443 (HTTPS) 是開放的。

如果我忽略/接受各種警告,則連接工作得很好。

這裡的目標是讓我們的客戶盡可能順利地工作。

我在 srv-web 和 srv-app 上都安裝了 SSL 證書。srv-web 設置為將其用於 TS 網關,並且工作正常。證書的 CN 與外部公共主機名匹配。

我得到的警告如下(我已經從截圖中篡改了真實的主機名)

替代文字

我想,我的問題是如何選擇 SSL 證書 srv-app 用於向連接的客戶端提供其身份證明?

編輯:我找到了設置它的位置-它在遠端桌面會話主機配置-> RDP-Tcp 屬性,底部的正常選項卡中。

但是我還有另一個問題,可以預見的是,我現在的伺服器名稱不匹配:

替代文字

我懷疑這將需要在某處進行拓撲更改。已經完成此操作的人的回饋會很棒。

編輯 2:我通過在自定義 RDP 設置中設置以下選項來解決這個問題。

authentication level:i:0

然而,這不是一個令人滿意的解決方案,因為它只是禁用了檢查。我仍然希望對此有更多回饋。

非常感謝。

轉到您的 rdp-tcp 屬性並選擇正常選項卡->並在屬性表的底部選擇您的外部證書。當 rdp 使用伺服器本身的預設內部時,這將允許所有通信都基於外部證書而不是不匹配

在我看來,您似乎正在嘗試使用其“內部名稱”連接到伺服器,但您選擇了指定了“外部名稱”的證書。

如果您希望“內部名稱”在“防火牆後”工作並且您的 NAT 防火牆不支持“髮夾式 NAT”(即 NAT 將來自 LAN 介面的請求返回到 LAN 介面),那麼您可以這樣做在您的內部 DNS 伺服器中創建名為“publicname.ourdomain.com”的 DNS 區域的經典“作弊”,其中包含一個“@”記錄,其中包含伺服器電腦的內部 IP 地址。

這就像“水平分割 DNS”,但僅限於單個名稱(因此“ourdomain.com”區域的其餘部分的“正常”名稱解析不受影響)。

引用自:https://serverfault.com/questions/52701