我正在尝试在虚拟 Windows Server 2012 R2 上设置远程桌面网关(终端服务网关)。但是当通过互联网连接时(从 Win7 RDP 客户端)出现错误:
您的计算机无法连接到远程计算机,因为请求的远程桌面网关服务器地址和证书主题不匹配。
这是我的配置:
- 主机运行的是 Windows Server 2008 R2 Std
- RDG 虚拟运行的是 Windows Server 2012 R2 Std(我也试过 2008 R2,结果一样)
- AD 也是虚拟的(dc.domain.local 等)
- 主机是 server.domain.local
- 主机正在运行带有 NAT 的 RRAS,因此端口 host:33899 被转发到 rdg:3389
- RDG 是 rdg.domain.local
- RDG 使用网关管理器中设置的自签名 SSL 证书来访问 example.com:
无论我对 SSL 证书使用什么名称,客户端都可以看到它Subject=rdg.domain.local!
我也尝试手动创建自签名证书makecert并使用/导入它,但结果相同。
答案1
显然,MS 在某种程度上搞砸了该指令。
我认为您需要在 rdg 网关计算机上的 iis 管理器中创建证书请求。请求需要指定客户端用于通过互联网连接的 fqdn。要处理请求签名,请使用客户端计算机信任的 CA。如果您对客户端计算机有完全控制权,则可以使用自己的 CA,只要它们信任您的 CA 根证书即可。否则,请使用商业 CA,例如 Verisign、Thawte 等。将签名的证书导入 iis 后,它应该可以导入到您的 rdg 网关。
官方指南中记录了所有内容:http://technet.microsoft.com/en-us/library/dd983941%28WS.10%29.aspx
包括底部有帮助的咆哮评论http://technet.microsoft.com/en-us/library/dd983949(v=ws.10).aspx
但显然还有这个小细节:http://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/
从“管理工具”菜单打开“IIS Admin”控制台。导航到默认网站并配置“Default Web Site\RDWeb\Pages”的“应用程序设置”。更改以下设置:“DefaultTSGateway” = [可访问 Internet 的 TS 网关的 fqdn]
注意:确保这也是您的 SSL 证书上列出的服务器名称。”
一旦我找到合适的电脑,我就会整理这篇文章。
答案2
以下是我使其正常运行所采取的步骤:
- 颁发主题与公共 DNS 名称 (FQDN) 匹配的 SSL 证书
使用默认端口 3389/TCP,否则 SSL 证书名称将与 FQDN 不匹配并返回错误:
计算机无法验证 RD 网关的身份。
或者如果你把它放到当前用户的受信任的根证书颁发机构:
您的计算机无法连接到计算机,因为请求的远程桌面网关服务器地址和证书名称不匹配。
同时发布 HTTPS 端口 443/TCP。否则将无法建立连接并返回另一个毫无意义的错误:
您的计算机无法连接到远程计算机,因为 RDG 服务器暂时不可用。
看我的博客文章关于它。