33 votos

¿Cómo puedo solucionar los problemas de configuración de certificados en los Servicios de Escritorio Remoto?

Estoy configurando una granja de Servicios de Escritorio Remoto, y estoy teniendo problemas para configurar los certificados para su uso. Una demostración del problema que estoy viendo se puede encontrar en el Paso #4.

En este punto estoy convencido de que hay problemas con la interfaz de usuario, y estoy buscando maneras de evitarlos. ¿Hay alguna manera de configurar los certificados en los Servicios de Escritorio Remoto para que los ajustes se mantengan y se reflejen en la GUI? Si no, ¿hay alguna manera de verificar que la configuración es correcta?

Paso nº 1 - Crear el certificado que se va a utilizar.

He configurado un certificado para utilizarlo con RD Web Access. El certificado está almacenado en la MMC de Certificados en mi RD Connection Broker, y estoy configurando la granja desde ese equipo. certificate

Dejando que RD Web Access genere su propio certificado, descubrí que se requieren las siguientes propiedades:

  • Uso mejorado de claves
    • Autenticación del servidor
    • Autenticación de clientes
      • Puede que no sea necesario, pero el certificado autofirmado lo incluye.
  • Claves de uso
    • Firma digital
    • Acuerdo clave
  • Asunto Nombre alternativo
    • Nombre DNS=dominio.com

Desvío sobre la generación de certificados autofirmados

Como un desvío rápido, yo era capaz de trabajar en torno a un problema con la creación de certificados autofirmados utilizando powershell. La documentación para el Nuevo certificado RDC ofrece el siguiente ejemplo:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Escribiendo esto en el Shell resultará en un mensaje de error alegando que una función, Get-Server no se puede encontrar. Antes de utilizar New-RDCertificate debe importar el módulo RemoteDesktop con Import-Module RemoteDesktop .

Paso nº 2 - Observar el comportamiento fuera de la caja

La primera vez que acceda al cuadro de diálogo Propiedades de despliegue, vaya a Administrador del servidor -> Servicios de Escritorio remoto -> Colecciones y seleccione "Editar propiedades de despliegue" en la lista desplegable "TAREAS" de la agrupación "COLECCIONES", verá la siguiente pantalla: enter image description here

Esta ventana es engañosa porque el level aparece como "No configurado". Si he entendido bien, los tres servicios de rol utilizan un certificado autofirmado. Para el rol RD Web Access esto puede ser verificado visitando el sitio web: certificate error

El certificado utilizado también aparece en la MMC Certificados: certificates MMC showing the RD Web Access certificate

Paso nº 3 - Asignar nuevo certificado

El cuadro de diálogo Propiedades de implantación me permitirá seleccionar mi certificado existente. El certificado debe colocarse en la MMC de Certificados del ordenador local, en el almacén de certificados "Personal". La clave privada deberá ser exportable y deberá proporcionar la contraseña. He exportado temporalmente mi certificado a un archivo llamado temp.pfx con una contraseña, y luego lo importó a Servicios de Escritorio Remoto desde allí.

Una vez hecho esto, la interfaz gráfica de usuario indicará que está lista para aceptar la nueva configuración. ready to accept certificate

Una vez que hago clic en el botón "Aplicar", la interfaz gráfica de usuario indica que se ha realizado correctamente. enter image description here

Esto puede verificarse visitando el sitio web RD Web Access por segunda vez. No hay ningún error de certificado. enter image description here

Paso #4 - La GUI no mantiene su estado

Si se cierra la interfaz gráfica y se vuelve a abrir, todos estos ajustes parecen perderse. settings are lost

En realidad, el certificado que configuré se sigue utilizando. Puedo seguir accediendo al sitio RD Web Access sin ningún error de certificado.

Curiosamente, si utilizo el botón "Crear nuevo certificado..." para generar un certificado autofirmado, esta ventana se actualizará a un nivel "No fiable". Esta configuración se mantendrá al abrir y cerrar el cuadro de diálogo Propiedades de implementación.

¿Hay algo que pueda hacer para que mi configuración se mantenga? Tengo la sensación de que algo va mal cuando la interfaz gráfica de usuario afirma que no he configurado completamente los certificados.

7 votos

Es una pregunta muy bien planteada. Felicidades.

0 votos

Excelente pregunta; lástima que no pueda asignar más +1.. No tengo laboratorio para hacer pruebas, pero he encontrado algunos buenos enlaces: technet.microsoft.com/es-us/library/cc730805.aspx . technet.microsoft.com/es-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 y rivald.blogspot.com/2011/06/ También: blog.kristinlgriffin.com/2010/07/

0 votos

¿Ha habido suerte, Michael?

2voto

Carlos Puntos 158

Ayer comprobé nuestra granja y me di cuenta de que es Windows 2008... El tuyo es 2012. Estoy seguro de que hay grandes diferencias, pero espero que mi información ayuda.

Abriendo MMC -> Certificados -> Cuenta de equipo veo 2 certificados en la carpeta "personal/Certificados":

  • Certificado autofirmado (mismo emisor y asunto)
  • Certificado emitido por nuestra CA de dominio

El autofirmado muestra un error en los detalles, ¿tiene tu certificado el mismo error? Error

Para solucionar este error, basta con copiar y pegar el certificado de la subcarpeta "personal/Certificados" a "Entidades de certificación root de confianza/Certificados". Con ese paso el mismo certificado no da error. OK Certificate

Después de eso, sólo hay dos lugares donde se configura el certificado (en RDS Windows 2008) que he encontrado.

Nuestro RemoteApp Manager muestra: Main

La configuración de la Firma Digital: DSS

Y en la 'RD Session Host Configuration, en la configuración de la conexión: RDSHC

Al final , y si no recuerdo mal, lo solucionamos comprobando todas las opciones, el visor de sucesos, asegurándonos de que no hay errores de certificado, poblando algunos grupos locales, dándoles acceso por la Política de Seguridad...

Buena suerte.

---- Actualizado ----

Recuerde importar en el perfil de usuario, la CA Emisora o el certificado (si es autofirmado) en las "Autoridades de Certificación root de Confianza/Certificados" para que el cliente no obtenga ningún error de certificado. Este punto era importante en nuestro sistema.

0 votos

Gracias por la información. Estamos utilizando certificados firmados por nuestra propia CA. El problema que tengo es exclusivo de Windows Server 2012. La GUI afirma que los certificados no están configurados correctamente o incluso en absoluto.

2voto

Todd Ouimet Puntos 11

Tuve exactamente el mismo problema y encontré la solución. Se trata de cómo se creó la plantilla de certificado y solicitar el certificado.
Aquí está la solución:

  1. Cree una plantilla de certificado duplicando la plantilla Ordenador
  2. Editar el nuevo certificado y estos dos mods importantes 2a. Permitir exportar la clave privada 2b. En la pestaña Subject Name seleccione "Supply in the request" radio button
  3. Publicar la nueva plantilla
  4. Cree una nueva solicitud y seleccione la nueva plantilla
  5. Añadir nombre común y DNS para el RDWeb. (He añadido todos los servidores RD Farm)

Ejemplo:

CN=rdweb.dominio.local

CN=rdcb.dominio.local

CN=rdsh1.dominio.local

CN=rdsh2.dominio.local

CN=rdsh3.dominio.local

rdweb.dominio.local

rdcb.dominio.local

rdsh1.dominio.local

rdsh2.dominio.local

rdsh3.dominio.local

  1. Añada rdweb.domain.local al nombre amistoso y, a continuación, genere el certificado
  2. Exportar el cert con private
  3. Importar a la consola de despliegue RD.

Haz todo eso y el Nivel será de Confianza y Estatus OK

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X