Active Directory、通配符安全证书和远程访问

Active Directory、通配符安全证书和远程访问

是否有任何方法可以使用单个受信任的、第三方证书颁发机构 (CA) 签名的通配符安全证书来保护整个 Active Directory (AD) 域,以便无缝进行以下远程访问:

  1. RDP 使用远程 Web 访问 (RWA) 通过远程桌面网关 (RDG) 连接到 PC。
  2. RDP 使用远程桌面连接通过远程桌面网关 (RDG) 到远程桌面服务 (RDS) 服务器。

理想情况下,我希望用户在进行远程处理时不会收到安全证书警告(无论计算机在哪里或计算机是否加入域):

  1. 浏览到https://internal.domain.com/remote、登录并选择PC-01
  2. 打开 RemoteApp 并登录。

细节:

  • 互联网域名:domain.com
  • AD 域名:internal.domain.com
  • AD 域控制器和 RDG 服务器完全限定域名:server-01.internal.domain.com
  • RDS 服务器完全限定域名:server-02.internal.domain.com
  • PC 完全限定域名:pc-01.internal.domain.com
  • 通配符安全证书:*.internal.domain.com

据我所知,这是不可能的,因为单个安全证书只能安装在一台计算机上,而这种情况需要在 3 台计算机(RDG 服务器、RDS 服务器和 PC)上安装安全证书。

但是,我知道 AD 有自己的公钥基础设施 (PKI) 和“内部”CA,用于确保其域与加入域的计算机之间的信任。那么,有没有办法用受信任的第三方 CA 签名的通配符安全证书替换 AD 的 CA 根安全证书?

更新 2016/06/30 16:33:我在这方面取得了重大进展,问题解决后我会写出答案。

答案1

免责声明:这是我记忆中最深刻的

 

我们的安全证书提供商 SSL247 告诉我,通配符安全证书:

  1. 仅覆盖下一级的子域名,而不是根域名。
  2. 可以安装在无限数量的服务器上(也包括 PC?),除非它们由赛门铁克提供(如果我没记错的话)。

 

简而言之,完整的决议是:

  1. 在 RDS 服务器上,打开 RemoteApp Manager 并将 RDG 从 更改internal.domain.comremote.internal.domain.com
  2. 在 Internet 域domain.com的权威名称服务器上,创建 DNS 资源记录 (RR):

    remote.internal.domain.com 3600 IN A <public IP address>

  3. 在路由器上,创建防火墙和 NAT 规则以允许并将端口 TCP 443 转发到 RDG 服务器。

  4. 在 RDG 服务器上,打开 IIS 管理器并创建证书签名请求 (CSR)*.internal.domain.com
  5. 将 CSR 提交给受信任的第三方 CA 并等待颁发。
  6. 在 RDG 服务器上,打开 IIS 管理器,完成 CSR 从而安装通配符安全证书,并将通配符安全证书及其私钥导出为 PFX 文件。
  7. 在 RDG 服务器上,打开 RDG 管理器并配置安全证书、连接授权策略 (CAP) 和资源授权策略 (RAP)。
  8. 在 RDS 服务器上,打开 MMC > 证书并导入 PXF 文件,从而安装通配符安全证书。
  9. 在 RDS 服务器上,打开 RDS 主机配置并重新配置连接“RDP-Tcp”并更改安全证书。

 

事实上,我们的决议要复杂得多。

我们原来的设置如下:

  1. 角色 RDG 安装在server-01.internal.domain.com运行 Windows Server 2012 R2 Essentials 的服务器上。
  2. 角色 RDS 安装在server-02.internal.domain.com运行 Windows Server 2008 R2 Standard 的服务器上。

长话短说(如果需要,请要求澄清),这个设置根本不起作用。尽管使用域管理用户帐户并将所有设置(RDG、CAP、RAP、NPS 等)配置为尽可能低/开放,但外部 RDP 始终失败,并出现以下错误:

远程桌面无法连接到远程计算机“server-02.internal.domain.com”,原因如下:
1) 您的用户帐户无权访问 RD 网关“remote.internal.domain.com”
2) 您的计算机无权访问 RD 网关“remote.internal.domain.com”
3) 您正在使用不兼容的身份验证方法(例如,RD 网关可能需要智能卡,但您提供了密码)

 

日志名称:Microsoft-Windows-TerminalServices-Gateway/Operational
来源:Microsoft-Windows-TerminalServices-Gateway
日期:2016/06/30 15:47:33
事件 ID:201
任务类别:(2)
级别:错误
关键字:审核失败,(16777216)
用户:NETWORK SERVICE
计算机:server-01.internal.domain.com
描述:
客户端计算机“%ourPublicIPAddress%”上的用户“%domainAdministrativeUserAccount%”不符合连接授权策略要求,因此无权访问 RD 网关服务器。使用的身份验证方法是:“NTLM”,使用的连接协议是:“HTTP”。发生以下错误:“23003”。

我深入研究了这种情况和这些错误,并找到了大量资源,但没有一个能解决问题。

我让我们的网络运营中心 (NOC) 进行了调查,他们得出结论,问题是由使用 Essentials 引起的。

我将角色 RDG 从服务器#1 移至服务器#2(我意识到这几乎毫无意义),更新了网络,并且它几乎立即生效。

哦,好吧。至少它能用。

相关内容