Я использую Windows 7, а серверы - Windows 2008 R2. На данный момент существует как минимум 4 сервера, демонстрирующих такое поведение.
Иногда при попытке подключения через RDP я получаю предупреждение о неправильном имени сертификата. Когда я перезагружаю сервер, это предупреждение исчезает. После перезагрузки или, может быть, 2 или 3 предупреждение появляется снова. Я всегда подключаюсь только по имени хоста.
Когда отображается предупреждение, единый вход больше не работает. Сертификат может быть самоподписанным или из нашего внутреннего pki. Единственное отличие - это дополнительное предупреждение «издатель не доверяет», когда сертификат самоподписан.
Когда я использую fqdn, я прохожу проверку сертификата, но единый вход Kerberos по-прежнему не работает.
Что случилось? Как я могу это исправить? Как мне отладить это, чтобы получить больше информации? Что меняется после перезагрузки, чтоб снова заработало?
Проблема могла быть решена. Контроллер домена, выполняющий роль эмулятора FSMO PDC, работал на VMware ESXi. Прежде всего переместил это на аппаратный DC.
Дополнительно полностью отключена временная синхронизация в виртуальных контроллерах домена. Видеть http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1189 для подробностей.
Пока предупреждений больше не видел.
Когда вы подключаетесь к RDP-клиенту, используете ли вы полное имя, которое соответствует имени в сертификате? Например, если вы RDP к хосту, используя только имя foo, и позвольте вашему пути поиска DNS определить, что это foo.example.com, и ваш сертификат имеет значение foo.example.com, то вы получите сообщение об ошибке.
Итак, чтобы быть более конкретным. Если вы установите сертификат с именем foo.example.com, то вы используете RDP для этого хоста, используя только это имя, а не IP-адрес, псевдоним DNS или любые сокращенные формы имени.
Поскольку у вас есть внутренний ЦС, вы можете подумать о создании сертификата с подстановочными знаками и / или сертификата с несколькими именами.