Sto configurando una farm di Servizi Desktop remoto e ho difficoltà a configurare i certificati per l'utilizzo. Una dimostrazione del problema che sto vedendo può essere trovata nel Passaggio 4.
A questo punto sono convinto che ci siano problemi con l'interfaccia utente e sto cercando dei modi per aggirarli. Esiste un modo per configurare i certificati in Servizi Desktop remoto in modo che le impostazioni conservino e si riflettano nella GUI? In caso contrario, esiste un modo per verificare che le impostazioni siano corrette?
Passaggio n. 1: creare un certificato da utilizzare.
Ho configurato un certificato da utilizzare con Accesso Web Desktop remoto. Il certificato è archiviato nel MMC certificati sul mio broker di connessione Desktop remoto e sto configurando la farm da quel computer.
Ho trovato consentendo a RD Web Access di generare il proprio certificato che sono richieste le seguenti proprietà:
- Utilizzo chiave migliorato
- Autenticazione del server
- Autenticazione client
- Questo potrebbe non essere necessario, ma il certificato autofirmato lo include.
- Utilizzo chiave
- Firma digitale
- Accordo chiave
- Nome alternativo soggetto
- Nome DNS = domain.com
Deviazione sulla generazione di certificati autofirmati
Come deviazione rapida, sono stato in grado di aggirare un problema con la creazione di certificati autofirmati utilizzando PowerShell. La documentazione per il cmdlet New-RDCertificate fornisce il seguente esempio:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Digitando questo nella shell comporterà un messaggio di errore che afferma che Get-Server
non è possibile trovare una funzione . Prima di utilizzare New-RDCertificate
, è necessario importare il modulo RemoteDesktop con Import-Module RemoteDesktop
.
Passaggio 2: osservare il comportamento immediato
La prima volta che visiti la finestra di dialogo Proprietà di distribuzione accedendo a Server Manager -> Servizi desktop remoto -> Raccolte e selezionando "Modifica proprietà di distribuzione" dall'elenco a discesa "ATTIVITÀ" nel raggruppamento "COLLEZIONI", vedrai la seguente schermata :
Questa finestra è fuorviante perché il level
campo è elencato come "Non configurato". Se capisco correttamente tutti e tre i servizi ruolo utilizzano un certificato autofirmato. Per il ruolo di Accesso Web Desktop remoto questo può essere verificato visitando il sito Web:
Il certificato in uso appare anche nell'MMMC dei certificati:
Passaggio 3: assegnare un nuovo certificato
La finestra di dialogo Proprietà di distribuzione mi consentirà di selezionare il mio certificato esistente. Il certificato deve essere inserito nella MMC dei certificati dei computer locali nell'archivio certificati "Personale". La chiave privata dovrà essere esportabile e dovrai fornire la password. Ho temporaneamente esportato il mio certificato in un file denominato temp.pfx
con una password e da lì l'ho importato in Remote Desktop Services.
Una volta fatto ciò, la GUI indicherà che è pronto ad accettare la nuova configurazione.
Dopo aver fatto clic sul pulsante "Applica", la GUI indica il successo.
Ciò può essere verificato visitando il sito Web Accesso Web Desktop remoto una seconda volta. Non c'è nessun errore di certificato.
Passaggio n. 4: la GUI non riesce a mantenere il suo stato
Se la GUI viene chiusa e riaperta, tutte queste impostazioni sembrano essere perse.
In realtà, il certificato che ho configurato è ancora in uso. Sono in grado di continuare ad accedere al sito di Accesso Web Desktop remoto senza errori di certificato.
Stranamente, se utilizzo il pulsante "Crea nuovo certificato ..." per generare un certificato autofirmato, questa finestra verrà aggiornata a un livello "Non attendibile". Questa impostazione verrà quindi mantenuta attraverso l'apertura e la chiusura della finestra di dialogo Proprietà di distribuzione.
C'è qualcosa che posso fare per far sì che le mie impostazioni appaiano? Sento che qualcosa non va quando la GUI afferma che non ho i certificati completamente configurati.