Запрошенный адрес сервера и тема сертификата не совпадают

Я пытаюсь настроить шлюз удаленного рабочего стола (Terminal Service Gateway) на виртуальной Windows Server 2012 R2. Но при подключении через интернет (из Win7 RDP-клиента) появляется ошибка:

Ваш компьютер не может подключиться к удаленному компьютеру, поскольку запрошенный адрес сервера шлюза удаленных рабочих столов и тема сертификата не совпадают.

Вот моя конфигурация:

  • Хост работает под управлением Windows Server 2008 R2 Std
  • RDG работает под управлением Windows Server 2012 R2 Std (я также пробовал 2008 R2 с одинаковым результатом)
  • AD также является виртуальным (dc.domain.local и т. Д.)
  • Хост является server.domain.local
  • На хосте работает RRAS с NAT, поэтому порт host:33899 пересылается на rdg: 3389
  • RDG - это rdg.domain.local
  • RDG использует самоподписанный SSL-сертификат для example.com, установленный в Gateway Manager:

Какое бы имя я не использовал для SSL-сертификата, клиент видит его с Subject=rdg.domain.local!

введите описание изображения здесь

Я также попытался создать самозаверяющий сертификат вручную, используя makecert и использовать / импортировать его, но с равным результатом.

2 ответа

Решение

Вот шаги, которые я предпринял, чтобы заставить это работать:

  • Выдать SSL-сертификат с темой, совпадающей с публичным DNS-именем (FQDN)
  • Используйте порт по умолчанию 3389/TCP, иначе имя SSL-сертификата не будет соответствовать FQDN, возвращающему ошибку:

    Компьютер не может подтвердить подлинность шлюза удаленных рабочих столов.

    или если вы поместите его в доверенные корневые центры сертификации текущего пользователя:

    Ваш компьютер не может подключиться к компьютеру, поскольку запрошенный адрес сервера шлюза удаленных рабочих столов и имя сертификата не совпадают.

  • Также опубликуйте порт HTTPS 443/TCP. В противном случае соединение не будет установлено, возвращая еще одну бессмысленную ошибку:

    Ваш компьютер не может подключиться к удаленному компьютеру, поскольку сервер RD G временно недоступен.

Смотрите мой блог об этом.

Видимо MS несколько испортил инструкцию.

Я считаю, что вам нужно создать запрос на сертификат в диспетчере iis на компьютере шлюза rdg. В запросе необходимо указать fqdn, используемый клиентами для подключения через Интернет. Для обработки подписания запроса вы используете ЦС, которому доверяют ваши клиентские компьютеры. Если у вас есть полный контроль над клиентскими компьютерами, вы можете использовать свой собственный ЦС, если они доверяют корневому сертификату ЦС. В противном случае используйте коммерческий CA, такой как Verisign, Thawte или тому подобное. После импорта подписанного сертификата в iis он должен быть доступен для импорта на ваш шлюз rdg.

Все это описано в официальном руководстве: http://technet.microsoft.com/en-us/library/dd983941%28WS.10%29.aspx

в том числе полезный, если вы хотите оставить комментарий в нижней части http://technet.microsoft.com/en-us/library/dd983949(v=ws.10).aspx

И кроме, по-видимому, этой маленькой детали: http://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/

"Откройте консоль" IIS Admin "из меню" Администрирование ". Перейдите на веб-сайт по умолчанию и настройте" Настройки приложения "для" Веб-сайт по умолчанию \RDWeb\Pages ". Измените следующий параметр:" DefaultTSGateway "= [ FQDN доступного через Интернет шлюза служб терминалов]

Примечание. Убедитесь, что это также имя сервера, указанное в вашем сертификате SSL."

Я уберу этот пост, как только доберусь до подходящего компьютера.

Другие вопросы по тегам