Запрошенный адрес сервера и тема сертификата не совпадают
Я пытаюсь настроить шлюз удаленного рабочего стола (шлюз служб терминалов) на виртуальном Windows Server 2012 R2. Но при подключении через Интернет (от клиента Win7 RDP) появляется ошибка:
Ваш компьютер не может подключиться к удаленному компьютеру, потому что запрошенный адрес сервера шлюза удаленных рабочих столов и тема сертификата не совпадают.
Вот моя конфигурация:
- Хост работает под управлением Windows Server 2008 R2 Std.
- RDG виртуально работает под управлением Windows Server 2012 R2 Std (я также пробовал 2008 R2 с тем же результатом)
- AD также является виртуальным (dc.domain.local и т. Д.)
- Хост - server.domain.local
- На хосте работает RRAS с NAT, поэтому порт host: 33899 перенаправляется на rdg: 3389
- RDG - это rdg.domain.local
- RDG использует самоподписанный сертификат SSL для example.com, установленный в диспетчере шлюза:
Какое бы имя я ни использовал для SSL-сертификата, клиент видит его с Subject=rdg.domain.local!
Я также попытался создать самозаверяющий сертификат вручную, используя makecert и используйте / импортируйте его, но с тем же результатом.
Видимо MS несколько испортила инструкцию.
Я считаю, что вам нужно создать запрос сертификата в диспетчере iis на компьютере шлюза rdg. В запросе необходимо указать fqdn, используемый клиентами для подключения через Интернет. Для обработки подписи запроса вы используете центр сертификации, которому доверяют ваши клиентские компьютеры. Если у вас есть полный контроль над клиентскими компьютерами, вы можете использовать свой собственный ЦС, если они доверяют вашему корневому сертификату ЦС. В противном случае используйте коммерческий центр сертификации, например Verisign, Thawte или аналогичный. После импорта подписанного сертификата в iis он должен быть доступен для импорта на ваш шлюз rdg.
Все это задокументировано в официальном руководстве: http://technet.microsoft.com/en-us/library/dd983941%28WS.10%29.aspx
включая полезный комментарий в нижней части http://technet.microsoft.com/en-us/library/dd983949(v=ws.10).aspx
И кроме, очевидно, этой маленькой детали: http://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/
«Откройте консоль« IIS Admin »из меню« Инструменты администрирования ». Перейдите на веб-сайт по умолчанию и настройте« Параметры приложения »для« Веб-сайт по умолчанию \ RDWeb \ Pages ». Измените следующий параметр:« DefaultTSGateway »= [ fqdn доступного из Интернета шлюза TS]
Примечание: убедитесь, что это также имя сервера, указанное в вашем сертификате SSL. "
Я уберу этот пост, как только найду нормальный компьютер.
Вот шаги, которые я предпринял, чтобы заставить его работать:
- Выпустить сертификат SSL с тем, который соответствует общедоступному DNS-имени (FQDN)
Используйте порт по умолчанию 3389 / TCP, иначе имя сертификата SSL не будет соответствовать полному доменному имени, возвращающему ошибку:
Компьютер не может проверить подлинность шлюза удаленных рабочих столов.
или если вы отправите его в доверенные корневые центры сертификации текущего пользователя:
Ваш компьютер не может подключиться к компьютеру, потому что запрошенный адрес сервера шлюза удаленных рабочих столов и имя сертификата не совпадают.
Также опубликуйте HTTPS-порт 443 / TCP. В противном случае соединение не будет установлено, и появится еще одна бессмысленная ошибка:
Ваш компьютер не может подключиться к удаленному компьютеру, потому что сервер RDG временно недоступен.
Видеть мой пост в блоге об этом.