Запрошенный адрес сервера и тема сертификата не совпадают
Я пытаюсь настроить шлюз удаленного рабочего стола (Terminal Service Gateway) на виртуальной Windows Server 2012 R2. Но при подключении через интернет (из Win7 RDP-клиента) появляется ошибка:
Ваш компьютер не может подключиться к удаленному компьютеру, поскольку запрошенный адрес сервера шлюза удаленных рабочих столов и тема сертификата не совпадают.
Вот моя конфигурация:
- Хост работает под управлением Windows Server 2008 R2 Std
- RDG работает под управлением Windows Server 2012 R2 Std (я также пробовал 2008 R2 с одинаковым результатом)
- AD также является виртуальным (dc.domain.local и т. Д.)
- Хост является server.domain.local
- На хосте работает RRAS с NAT, поэтому порт host:33899 пересылается на rdg: 3389
- RDG - это rdg.domain.local
- RDG использует самоподписанный SSL-сертификат для example.com, установленный в Gateway Manager:
Какое бы имя я не использовал для SSL-сертификата, клиент видит его с Subject=rdg.domain.local
!
Я также попытался создать самозаверяющий сертификат вручную, используя makecert
и использовать / импортировать его, но с равным результатом.
2 ответа
Вот шаги, которые я предпринял, чтобы заставить это работать:
- Выдать SSL-сертификат с темой, совпадающей с публичным DNS-именем (FQDN)
Используйте порт по умолчанию 3389/TCP, иначе имя SSL-сертификата не будет соответствовать FQDN, возвращающему ошибку:
Компьютер не может подтвердить подлинность шлюза удаленных рабочих столов.
или если вы поместите его в доверенные корневые центры сертификации текущего пользователя:
Ваш компьютер не может подключиться к компьютеру, поскольку запрошенный адрес сервера шлюза удаленных рабочих столов и имя сертификата не совпадают.
Также опубликуйте порт HTTPS 443/TCP. В противном случае соединение не будет установлено, возвращая еще одну бессмысленную ошибку:
Ваш компьютер не может подключиться к удаленному компьютеру, поскольку сервер RD G временно недоступен.
Смотрите мой блог об этом.
Видимо MS несколько испортил инструкцию.
Я считаю, что вам нужно создать запрос на сертификат в диспетчере iis на компьютере шлюза rdg. В запросе необходимо указать fqdn, используемый клиентами для подключения через Интернет. Для обработки подписания запроса вы используете ЦС, которому доверяют ваши клиентские компьютеры. Если у вас есть полный контроль над клиентскими компьютерами, вы можете использовать свой собственный ЦС, если они доверяют корневому сертификату ЦС. В противном случае используйте коммерческий CA, такой как Verisign, Thawte или тому подобное. После импорта подписанного сертификата в iis он должен быть доступен для импорта на ваш шлюз rdg.
Все это описано в официальном руководстве: http://technet.microsoft.com/en-us/library/dd983941%28WS.10%29.aspx
в том числе полезный, если вы хотите оставить комментарий в нижней части http://technet.microsoft.com/en-us/library/dd983949(v=ws.10).aspx
И кроме, по-видимому, этой маленькой детали: http://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/
"Откройте консоль" IIS Admin "из меню" Администрирование ". Перейдите на веб-сайт по умолчанию и настройте" Настройки приложения "для" Веб-сайт по умолчанию \RDWeb\Pages ". Измените следующий параметр:" DefaultTSGateway "= [ FQDN доступного через Интернет шлюза служб терминалов]
Примечание. Убедитесь, что это также имя сервера, указанное в вашем сертификате SSL."
Я уберу этот пост, как только доберусь до подходящего компьютера.