我正在尝试设置一个概念验证演示,用于通过 RemoteApp 部署应用程序,即 Windows Server 2008 中的通过 RDP 进行应用程序流式传输。
TS 网关服务器(称之为 srv-web)和托管应用程序的盒子(称之为 srv-app)是两个不同的盒子。
由于 srv-app 位于 NAT 后面的内部 LAN 上,因此连接需要通过 HTTPS 上的 TS 网关服务器进行。
只有 srv-web 暴露在互联网上,并且只开放端口 443(HTTPS)。
如果我忽略/接受各种警告,连接就可以完美运行。
我们的目标是让客户的事情尽可能顺利地进行。
我在 srv-web 和 srv-app 上都安装了 SSL 证书。srv-web 设置为将其用于 TS 网关,并且运行正常。证书的 CN 与外部公共主机名匹配。
我收到的警告如下(我从屏幕截图中篡改了真实的主机名)
我的问题是,我该如何选择 srv-app 使用的 SSL 证书来向连接客户端提供其身份证明?
编辑:我找到了设置它的地方 - 它位于远程桌面会话主机配置-> RDP-Tcp 属性,底部的常规选项卡中。
然而我遇到了另一个问题,可以预见的是,我现在有一个不匹配的服务器名称:
我怀疑这需要改变某个地方的拓扑结构。如果能得到已经做过这件事的人的反馈就更好了。
编辑2:我通过在自定义 RDP 设置中设置以下选项解决了这个问题。
authentication level:i:0
然而,这不是一个令人满意的解决方案,因为它只是禁用了检查。我仍然很感激对此的更多反馈。
非常感谢。
答案1
转到您的 rdp-tcp 属性并选择常规选项卡-->然后在属性表底部选择您的外部证书。这将允许所有通信基于外部证书,而不是当 rdp 使用服务器本身的默认内部证书时不匹配
答案2
在我看来,您正在尝试使用服务器的“内部名称”连接到服务器,但您选择了指定了“外部名称”的证书。
如果您希望“内部名称”在“防火墙后面”工作,并且您的 NAT 防火墙不支持“发夹 NAT”(即将来自 LAN 接口的请求通过 NAT 转回 LAN 接口),那么您可以采取经典的“作弊”方式,在您的内部 DNS 服务器中创建一个名为“publicname.ourdomain.com”的 DNS 区域,其中包含一个“@”A 记录,其中包含服务器计算机的内部 IP 地址。
它类似于“分割水平 DNS”,但限制为单个名称(以便“ourdomain.com”区域其余部分的“正常”名称解析不受影响)。
答案3
我在我们自己的环境中也见过这种情况。据我所知,网关隧道 RDP 连接实际上将使用两组证书:首先它将加密客户端和网关之间的隧道,然后加密客户端和服务器之间的隧道(尽管此流量已经在网关安全隧道内)。这也让我感到困惑,除了使用两个证书(一个与网关的外部名称匹配,另一个与 TS 服务器的内部名称匹配)之外,我还没有找到任何其他“正确”的方法来做到这一点。如果您发现任何内容,请更新此线程!
答案4
获取具有多个名称和本地主机名或 IP 地址的 SAN 证书。这将完美运行。