Назад | Перейти на главную страницу

Возможен ли единый сертификат * .company.com для развертывания RDS?

При развертывании служб удаленных рабочих столов в домене ad.company.com, У меня RDG и RDSH установлены на одном сервере, rd.ad.company.com.

Я могу использовать подстановочный сертификат на *.company.com для доступа к шлюзу с помощью диспетчера шлюза удаленного рабочего стола, и я также могу сделать так, чтобы соединение rdp представляло этот сертификат клиенту следуя этому руководству.

Если я попытаюсь подключиться с удаленного клиента, используя rd.company.com как адрес шлюза и адрес сервера, он не работает, хотя я добавил rd.company.com в файл hosts на сервере.

Если я попытаюсь подключиться с помощью rd.company.com как шлюз и rd.ad.company.com в качестве сервера появляется предупреждение о сертификате, потому что rd.ad.company.com не соответствует подстановочному сертификату *.company.com - Я могу подключиться, но моя цель - не получать предупреждающее сообщение.

Можно ли покрыть шлюз и сервер *.company.com, или мне нужно будет получить еще один сертификат для rd.ad.company.com или *.ad.company.com.

Я не хочу использовать company.com как домен вместо ad.company.com, потому что я понимаю, что быть плохой идеей.

Сертификаты с подстановочными знаками работают только для одного уровня доменов, то есть для самого определенного уровня домена.

Итак, вам нужно получить еще один сертификат на *.ad.company.com.

Это можно сделать и, как оказалось, не так уж и сложно. Тебе надо:

  1. Убеждается rd.company.com указывает на IP-адрес rd.ad.company.com на РДГ сервер. Вы можете добавить новую зону DNS для rd.company.com и добавьте пустую запись A, указывающую на правильный IP-адрес, или добавьте запись в файл hosts на RDG. Вместо этого вы можете добавить внутренний IP-адрес к своему внешнему DNS, но я думаю, что это немного некрасиво.
  2. Настройте RAP (политики авторизации ресурсов) на RDG с помощью диспетчера шлюза удаленных рабочих столов, чтобы разрешить rd.company.com. Я сделал это, создав новую группу, управляемую шлюзом удаленных рабочих столов.

Теперь мои клиенты rdp могут подключаться к стандартному клиентскому программному обеспечению RDP, используя rd.company.com в качестве адреса и для сервера, и для шлюза, а сертификат с подстановочными знаками для * .company.com охватывает оба.