我们的 RDS Web Gateway 的 SSL 证书将于 7 月底到期。
我已经获得了明年的替换 SSL。
但是,即使是同一个证书(相同主题无 SAN),在外部连接时我也会出现远程桌面服务器暂时不可用的错误(内部用户没问题)。
证书是正确的,安装得很好,附有私钥,我已将其添加到 Web 网关服务器上的 IIS 并添加到 SSL 的绑定中(我已经检查过,没有其他恶意 SSL 绑定)。
我已将其添加到 RD Manager 中的 SSL 设置中。
并将其添加到 RD 部署中的 4 个实例(2x Broker、1x Web Access、1x Gateway)
还添加到了处理身份验证通过和 DUO 2fa 的 ISA。
基本上,与以前完全相同。(从备份回滚 RD 服务器以仔细检查所有设置)。
可以进入网页,新证书正确显示,通过 DUO 进行身份验证并正常加载应用程序页面。
但是尝试启动任何应用程序都会出现这样的情况:“您的计算机无法连接到远程计算机,因为远程桌面网关服务器暂时不可用。”
有趣的是,域管理员可以连接到应用程序,但标准用户却不能。
为了防止服务中断,我将所有内容回滚到旧证书,并且一切正常 - 除了在我测试新证书的笔记本电脑上。标准用户现在无法再访问应用程序,但管理员可以访问。我甚至尝试完全删除用户配置文件并重新加载,但仍然出现相同的错误 - 同一用户可以从任何其他笔记本电脑正常访问它。
在我测试新证书时,另一个启动了 RD INTERNALLY 的用户现在即使在回滚后也遇到了同样的错误。
所以这不是一个配置文件问题,似乎是单个计算机上的某些问题 - 比如新的证书仍然存在阻止应用程序加载 - 但我已经浏览过机器上的所有证书存储,并没有看到它被添加到任何存储中,IE 中的“清除 SSL 状态”也不起作用。
我用 Google 搜索了大量有关该错误的信息,除了检查私钥是否附加(确实附加了)之外,还有很多错误示例,但没有提供任何解决方案。
非常感谢您的帮助。
编辑:
通过回滚当前正在运行的服务器(证书即将过期),我注意到 RD Manager 的 SSL 证书部分没有安装证书: 当前 RDWeb 服务器
不知道这是如何管理的(我从以前的管理员那里继承了这个 RD 服务器)。
证书已安装在 RD 部署 (2x Broker、1x Web Access、1x Gateway) 中。
如果我尝试仅将新证书安装到部署区域,那么它会使用新的 SSL 自动填充上面的 RD 管理器。
我的想法是,由于 ISA 实际上是在提供网页服务并处理身份验证,因此客户端可以看到 ISA 提供的 SSL,并且可以访问 CA 来验证证书。但是,当 ISA 访问 RDWeb 服务器时(如果该服务器已在 RDManager 中安装了该证书),ISA 本身无权访问 CA 进行验证,从而导致问题。
那么 - 我该如何尝试将证书添加到部署而不将其添加到 RD Manager?
谢谢。
答案1
在阅读了大量文档后,我发现我做错了什么。我在 RDWeb 服务器上手动将新证书添加到 IIS,从而破坏了一切。不知道为什么这会破坏一切。
正确的方法显然是通过服务器管理器将证书添加到部署配置中(添加到每个 RDWeb、网关、代理等),然后使用新证书自动填充 IIS。
一旦这样做了,一切都会好起来。
我仍然遇到客户端在设置出现故障时连接的问题。似乎是他们的 DUO 配置文件中存在问题 - 我正在与 DUO 合作解决,一旦我收到更多信息,就会更新。
谢谢。
编辑:
好吧,DUO 没有找到导致该客户端死亡的原因,但重建还是解决了该问题,所以肯定是客户端的问题,与 DUO 或 RD 配置文件无关。