Выполнено развёртывание Remote Desktop Service на базе Windows Server 2012 R2 в конфигурации с высоко-доступным RD Connection Broker. В свойствах развёртывания для нужд RD Connection Broker SSO назначен сертификат, выпущенный внутренним Центром сертификации, корневому сертификату которого доверяют все клиентские компьютеры локальной сети. Казалось бы, все минимальные условия для беспроблемного подключения клиентов к ферме RDS соблюдены, однако в процессе подключения у RDP-клиента возникает дополнительный вопрос о том, действительно ли мы доверяем “Издателю”.
Чтобы отключить появление подобного сообщения достаточно сконфигурировать один параметр групповых политик применяемых к клиентским компьютерам. Для этого нам понадобится так называемый Отпечаток сертификата (Thumbprint), который используется при подключении к ферме RDS. Открываем свойства этого сертификата (можно прямо из ссылки в появляющемся сообщении, как на скриншоте) и на закладке Состав выделяем и копируем значение атрибута Отпечаток.
Скопированный отпечаток лучше вставить в текстовый редактор и убедиться в том, что ни в начале ни в конце строки нет лишних пробелов.
Находим параметр GPO: Specify SHA1 thumbprints of certificates representing trusted .rdp publishers
в разделе Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client
Включаем данный параметр и копируем ранее сохранённый отпечаток сертификата…
Указанный параметр может быть настроен как в разделе GPO Computer Configuration, так и в разделе Users Configuration.
Результат применения указанного параметра групповых политик можно проверить на клиентском компьютере в параметре реестра TrustedCertThumbprints в ключах (в зависимости от выбранной области применения):
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
В конечном результате подключение к ферме RDS будет выполняться сразу, без ранее описанного предупреждения…
RSS - Записи
Коллеги, имеем Win2012 R2 + "белый" сертификат + ГПО на ПК которая корректно "роздает" TrustedCertThumbprints на копмьютеры
Но при запуске ярлыка на remote app всеравно появляется предупреждение :(
ЧЯДНТ ??
Клиент доверяет сертификату? При открытии самого файла "белого" сертификата на клиентской системе есть какие-то предупреждения? Какое именно предупреждение выдает клиент RDP ?
Предупреждение http://joxi.ru/WKAx5OaNiRDqr8
Клиент доверяет сертификату
Скорее всего неверно скопирован отпечаток сертификата в групповую политику.
Блин, чувствую себя лузером. Но пробелов нет. Как правильно его копировать?
Блин, оказалось все просто - нужно было отпечаток вставлять в верхнер регистре и без пробелов :(
У вас на скриншот все наоборот :)
После этого все стало ОК!
Ну скриншот-то, собственно говоря, и был сделан тогда, когда я настраивал свою ферму.
Теперь осталось побороть SSO.
SSO может не работать если у меня все "роли" на одном сервере ?
У меня такой конфигурации нет, но в теории проблем быть не должно.
А как траблшутить такое ??
Выглядит как вопрос "в тупую". Извините.
Интересно, но не то.
Интересует как быть с публичным сертификатом, внутренним именем подключаемого компьютера и внешними пользователями. Пока не придумал как это скомпоновать в доверенную цепочку. Ведь у этих серверов нет внешнего имени, как у Excha, правильно?
Недавно делал подобное для фермы на основе windows 2012 R2. Отпечаток нужно вставлять без пробелов. Конвертировать можно при помощи Powershell
("отпечаток").replace(" ",""). Ну и если их много то вставляем через запятую