Windows Server 2012 R2 Remote Desktop Connection Broker — Предупреждение безопасности RDP-клиента при использовании доверенного сертификата.

imageВыполнено развёртывание Remote Desktop Service на базе Windows Server 2012 R2 в конфигурации с высоко-доступным RD Connection Broker. В свойствах развёртывания для нужд RD Connection Broker SSO назначен сертификат, выпущенный внутренним Центром сертификации, корневому сертификату которого доверяют все клиентские компьютеры локальной сети. Казалось бы, все минимальные условия для беспроблемного подключения клиентов к ферме RDS соблюдены, однако в процессе подключения у RDP-клиента возникает дополнительный вопрос о том, действительно ли мы доверяем “Издателю”.

image

Чтобы отключить появление подобного сообщения достаточно сконфигурировать один параметр групповых политик применяемых к клиентским компьютерам. Для этого нам понадобится так называемый Отпечаток сертификата (Thumbprint), который используется при подключении к ферме RDS. Открываем свойства этого сертификата (можно прямо из ссылки в появляющемся сообщении, как на скриншоте) и на закладке Состав выделяем и копируем значение атрибута Отпечаток.

image

Скопированный отпечаток лучше вставить в текстовый редактор и убедиться в том, что ни в начале ни в конце строки нет лишних пробелов.

Находим параметр GPO: Specify SHA1 thumbprints of certificates representing trusted .rdp publishers
в разделе Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client

image

Включаем данный параметр и копируем ранее сохранённый отпечаток сертификата…

image

Указанный параметр может быть настроен как в разделе GPO Computer Configuration, так и в разделе Users Configuration.

Результат применения указанного параметра групповых политик можно проверить на клиентском компьютере в параметре реестра TrustedCertThumbprints в ключах (в зависимости от выбранной области применения):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

В конечном результате подключение к ферме RDS будет выполняться сразу, без ранее описанного предупреждения…

image

Всего комментариев: 13 Комментировать

  1. Sasha Odarchuk /

    Коллеги, имеем Win2012 R2 + «белый» сертификат + ГПО на ПК которая корректно «роздает» TrustedCertThumbprints на копмьютеры
    Но при запуске ярлыка на remote app всеравно появляется предупреждение :(

    ЧЯДНТ ??

    1. Алексей Максимов / Автор записи

      Клиент доверяет сертификату? При открытии самого файла «белого» сертификата на клиентской системе есть какие-то предупреждения? Какое именно предупреждение выдает клиент RDP ?

      1. odarchuk /

        Предупреждение http://joxi.ru/WKAx5OaNiRDqr8
        Клиент доверяет сертификату

        1. Алексей Максимов / Автор записи

          Скорее всего неверно скопирован отпечаток сертификата в групповую политику.

          1. Sasha Odarchuk /

            Блин, чувствую себя лузером. Но пробелов нет. Как правильно его копировать?

          2. odarchuk /

            Блин, оказалось все просто — нужно было отпечаток вставлять в верхнер регистре и без пробелов :(
            У вас на скриншот все наоборот :)
            После этого все стало ОК!

  2. Алексей Максимов / Автор записи

    Ну скриншот-то, собственно говоря, и был сделан тогда, когда я настраивал свою ферму.

    1. odarchuk /

      Теперь осталось побороть SSO.
      SSO может не работать если у меня все «роли» на одном сервере ?

      1. Алексей Максимов / Автор записи

        У меня такой конфигурации нет, но в теории проблем быть не должно.

        1. odarchuk /

          А как траблшутить такое ??

          1. Алексей Максимов / Автор записи

            Выглядит как вопрос «в тупую». Извините.

  3. Vasily Vasilevich /

    Интересно, но не то.
    Интересует как быть с публичным сертификатом, внутренним именем подключаемого компьютера и внешними пользователями. Пока не придумал как это скомпоновать в доверенную цепочку. Ведь у этих серверов нет внешнего имени, как у Excha, правильно?

  4. Дмитрий /

    Недавно делал подобное для фермы на основе windows 2012 R2. Отпечаток нужно вставлять без пробелов. Конвертировать можно при помощи Powershell
    («отпечаток»).replace(» «,»»). Ну и если их много то вставляем через запятую

Добавить комментарий