원격 데스크톱 서비스에서 인증서 구성 문제를 해결하려면 어떻게해야합니까?


32

원격 데스크톱 서비스 팜을 설정하고 사용할 인증서를 구성하는 데 문제가 있습니다. 내가 본 문제의 데모는 4 단계에서 찾을 수 있습니다.

이 시점에서 사용자 인터페이스에 문제가 있음을 확신하고 그 주위의 방법을 찾고 있습니다. 설정이 GUI에 반영되고 반영되도록 원격 데스크톱 서비스에서 인증서를 구성하는 방법이 있습니까? 그렇지 않은 경우 설정이 올바른지 확인할 수있는 방법이 있습니까?

1 단계-사용할 인증서를 작성하십시오.

RD 웹 액세스에 사용할 인증서를 구성했습니다. 인증서가 RD 연결 브로커의 인증서 MMC에 저장되어 있으며 해당 컴퓨터에서 팜을 구성하고 있습니다. 증명서

RD 웹 액세스가 다음 속성이 필요하다는 자체 인증서를 생성하도록 허용했습니다.

  • 강화 된 키 사용법
    • 서버 인증
    • 클라이언트 인증
      • 필요하지는 않지만 자체 서명 된 인증서에 포함됩니다.
  • 키 사용법
    • 전자 서명
    • 주요 계약
  • 주제 대체 이름
    • DNS 이름 = domain.com

자체 서명 된 인증서 생성에 대한 우회

빠른 우회로서, powershell을 사용하여 자체 서명 된 인증서를 작성하는 문제를 해결할 수있었습니다. 에 대한 문서 새로운-RDCertificate cmdlet은 다음과 같은 예제를 제공합니다 :

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

이것을 쉘에 입력하면 기능을 Get-Server찾을 수 없다는 오류 메시지 가 나타납니다. 를 사용하기 전에로 New-RDCertificateRemoteDesktop 모듈을 가져와야합니다 Import-Module RemoteDesktop.

2 단계-기본 동작 확인

Server Manager-> Remote Desktop Services-> Collections로 이동하여 "COLLECTIONS"그룹의 "TASKS"드롭 다운 목록에서 "Deployment Properties 편집"을 선택하여 Deployment Properties 대화 상자를 처음 방문하면 다음 화면이 표시됩니다. : 여기에 이미지 설명을 입력하십시오

level필드가 "구성되지 않음"으로 표시되어 있으므로이 창이 잘못되었습니다 . 올바르게 이해하면 세 가지 역할 서비스 모두 자체 서명 된 인증서를 사용하고 있습니다. RD 웹 액세스 역할의 경우 웹 사이트를 방문하여 확인할 수 있습니다. 인증서 오류

사용중인 인증서는 인증서 MMC에도 나타납니다. RD 웹 액세스 인증서를 표시하는 인증서 MMC

3 단계-새 인증서 할당

배포 속성 대화 상자에서 기존 인증서를 선택할 수 있습니다. 인증서는 "개인"인증서 저장소의 로컬 컴퓨터 인증서 MMC 내에 있어야합니다. 개인 키는 내보낼 수 있어야하며 비밀번호를 제공해야합니다. 인증서를 temp.pfx암호로 이름이 지정된 파일로 임시로 내 보낸 다음 그곳에서 원격 데스크톱 서비스로 가져 왔습니다.

이 작업이 완료되면 GUI는 새 구성을 수락 할 준비가되었음을 나타냅니다. 인증서 수락 준비

"적용"버튼을 클릭하면 GUI가 성공을 나타냅니다. 여기에 이미지 설명을 입력하십시오

이는 RD 웹 액세스 웹 사이트를 다시 방문하여 확인할 수 있습니다. 인증서 오류가 없습니다. 여기에 이미지 설명을 입력하십시오

4 단계-GUI가 상태를 유지하지 못함

GUI를 닫았다가 다시 열면 이러한 모든 설정이 손실 된 것으로 보입니다. 설정이 손실됩니다

실제로, 내가 구성한 인증서가 여전히 사용 중입니다. 인증서 오류없이 RD 웹 액세스 사이트에 계속 액세스 할 수 있습니다.

이상하게도 "새 인증서 작성 ..."버튼을 사용하여 자체 서명 된 인증서를 생성하면이 창이 "신뢰할 수없는"수준으로 업데이트됩니다. 그런 다음 배포 속성 대화 상자를 열고 닫으면이 설정이 유지됩니다.

설정이 고착되도록하려면 어떻게해야합니까? GUI가 인증서를 완전히 구성하지 않았다고 주장 할 때 문제가있는 것 같습니다.


7
이것은 매우 잘 생각되는 질문입니다. 명성.
Ryan Ries

훌륭한 질문; 너무 나쁘면 +1을 더 할당 할 수 없습니다. 테스트 할 랩이 없지만 technet.microsoft.com/en-us/library/cc730805.aspx와 같은 링크를 찾았습니다 . technet.microsoft.com/ko-kr/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8rivald.blogspot.com/2011/06/… 또한 : blog.kristinlgriffin.com/2010/07/…
Lizz

아직 운이 없나요?
Lizz

@Lizz 클라이언트가 RD 웹 액세스 역할 서비스에 사용중인 인증서를 수락 할 수 있다는 것을 알 수 있습니다. 실제로 지정한 인증서를 사용하더라도 사용자 인터페이스는 "구성되지 않음"을 계속보고합니다.
Michael Steele

당신의 흐림처럼. 전통적인 종류는 아닙니다.
StackExchange 사용자

답변:


2

어제 우리 농장을 확인하고 Windows 2008이라는 것을 알았습니다. 귀하는 2012 년입니다. 큰 차이가있을 것으로 확신하지만 내 정보가 도움이되기를 바랍니다.

MMC 열기-> 인증서-> 컴퓨터 계정 "개인 / 인증서"폴더에 2 개의 인증서가 있습니다.

  • 자체 서명 된 인증서 (주체와 동일한 발급자)
  • 도메인 CA에서 발급 한 인증서

자체 서명 된 세부 사항에 오류가 표시됩니다. 인증서에 동일한 오류가 있습니까? 오류

이 오류를 해결하려면 "개인 / 인증서"하위 폴더에서 "신뢰할 수있는 루트 인증 기관 / 인증서"로 인증서를 복사하여 붙여 넣으십시오. 이 단계에서 동일한 인증서는 오류를 발생시키지 않습니다. 확인 증명서

그 후에 내가 찾은 인증서 (RDS Windows 2008에서)를 구성하는 위치는 두 곳뿐입니다.

RemoteApp 관리자는 다음을 보여줍니다. 본관

디지털 서명 설정 : DSS

그리고 'RD 세션 호스트 구성, 연결 설정에서 : RDSHC

마지막 에 올바른 기억이 나면 모든 옵션, 이벤트 뷰어 확인, 인증서 오류 확인, 일부 로컬 그룹 채우기, 보안 정책에 의한 액세스 권한 부여 등을 해결했습니다.

행운을 빕니다.

---- 업데이트 ----

"신뢰할 수있는 루트 인증 기관 / 인증서"에서 사용자 프로필, 발급자 CA 또는 인증서 (자체 서명 된 경우)를 가져 와서 클라이언트가 인증서 오류를받지 않도록해야합니다. 이 점은 우리 시스템에서 중요했습니다.


정보 주셔서 감사합니다. 자체 CA에서 서명 한 인증서를 사용하고 있습니다. 내가 겪고있는 문제는 Windows Server 2012에서만 발생합니다. GUI는 인증서가 올바르게 또는 전혀 구성되지 않았다고 주장합니다.
Michael Steele

2

나는 똑같은 문제가 있었고 해결책을 찾았습니다. 인증서 템플릿을 생성하고 인증서를 요청하는 방법이 전부입니다.
수정 사항은 다음과 같습니다.

  1. 컴퓨터 템플릿을 복제하여 인증서 템플릿 만들기
  2. 새 인증서와이 두 가지 중요한 모드 2a를 편집하십시오. 개인 키 내보내기 허용 2b. 주제 이름 탭에서 "요청시 공급"단일 선택 단추를 선택하십시오.
  3. 새 템플릿 게시
  4. 새 요청을 작성하고 새 템플리트를 선택하십시오.
  5. RDWeb에 공통 이름과 DNS를 추가하십시오. (모든 RD Farm 서버를 추가했습니다)

예:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. 친숙한 이름으로 rdweb.domain.local을 추가 한 다음 인증서를 생성하십시오.
  2. 인증서를 개인용으로 내보내기
  3. RD 배포 콘솔로 가져옵니다.

모든 작업을 수행하고 레벨을 신뢰할 수 있으며 상태가 양호합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.