В настоящее время мы развертываем шесть терминальных серверов в ферме, к которой будут обращаться тонкие клиенты под управлением Windows Embedded. Идея тонких клиентов состоит в том, чтобы обеспечить непрерывный единый вход, при котором как только пользователь входит в тонкий клиент, он немедленно подключается к ферме RDS без каких-либо дополнительных запросов.
У нас есть компонент единого входа, работающий правильно (мы используем стороннее программное обеспечение, которое позволяет пользователям входить в тонкие клиенты, касаясь значка своего сотрудника по бесконтактному считывателю), но пользователь по-прежнему встречает ошибку сертификата перед подключением . Я хочу, чтобы это ушло.
Я могу заставить эту работу работать с любым из серверов индивидуально, просто импортировав самозаверяющий сертификат каждого сервера в доверенный корневой центр сертификации тонкого клиента, но он не работает при подключении к ферме.
Часть, которую я не понимаю, заключается в том, что, когда появляется ошибка, представляемый сертификат является самоподписанным сертификатом с того сервера, на который брокер TS направил соединение, которому уже следует доверять. Я предполагаю, что брокер TS на тот момент может быть посредником? Я подозреваю, что мне нужно подписать RDP-соединение каждого сервера с сертификатом брокера TS, но я не знаю, как это сделать. Когда я гуглил, я получаю много противоречивой информации. У нас есть корневой CA-сервер, так что это должно быть несложно.
Вот наша установка:
HYPERV-1 - наш брокер TS. Это коробка Server 2008 (не R2).
HYPERV-2 и HYPERV-3 - это блоки Server 2012 R2, на которых размещены все виртуальные машины TS.
TS-1 - TS-6 - это фактические серверы, к которым будут подключаться пользователи. Это Server 2008 R2
CA1 - это наш корневой сервер CA. Это коробка Server 2003.
Любая помощь будет оценена.