web-dev-qa-db-ja.com

RDS、RDWeb、RemoteApp:セッションホストでアプリを起動するためにパブリック証明書を使用する方法

質問:RDWebに、Host.internaldomain.localではなくremote.domain.comからアプリを起動するように指示するにはどうすればよいですか?

環境:

ADフォレストを持つ既存の組織。セッションホストのすべてのリモートデスクトップサービスの役割を実行する新しい単一サーバー2012。新しい2012ウィザードを使用して、役割を持つ「QuickSessionCollection」をセットアップしました。

  • RDセッションホスト
  • RD接続ブローカー
  • RDゲートウェイ
  • RD Webアクセス
  • RDライセンス

すべてが自己署名証明書で機能しますが、私たちはそれらを防止したいと考えています。

ユーザーはドメインマシンではない可能性があるため、マシンにプライベートルート証明書を貼り付けることはできません。ソリューションのすべての部分で公開証明書を使用する必要があります。

サーバーマネージャーのGUIを使用して、すべてのロールにパブリックのremote.domain.com証明書を追加しました。

  • RD接続ブローカー-シングルサインオンを有効にする
  • RD接続ブローカー-公開
  • RD Webアクセス
  • RDゲートウェイ

したがって、最後のステップを除いてすべてが美しく機能します。

  1. ユーザーがログイン https://remote.domain.com
  2. ユーザーがアプリのアイコンをクリックすると、バックグラウンドでremote.domain.comによって署名された.rdpファイルがダウンロードされます。
  3. .rdpは、remote.domain.comであるRDゲートウェイを使用するように設定されています
  4. .rdpは、アプリが内部Host.internaldomain.localでホストされていることを示しています。これは、remote.domain.comのRDP-tcp TLS証明書と一致せず、警告が表示されます。

修正したいのはこの最後のステップです。 RDPのTLS証明書がセッションホストが使用しているものと一致するように、公開されたすべてのアプリにremote.domain.comを使用するようにRDWeb/RemoteAppに指示するPowerShell、WMI、または.configの構成オプションはありますか?

注: この質問はこの問題について話します 、そして この回答は修正方法について言及しています 2008年にそれですが、そのGUIは2012年のRemoteAppには存在しません。 PowerShellの設定が見つかりません。

注:2008R2で変更が必要な設定のスクリーンショットを次に示します。これはRemoteAppに、セッションホストサーバー名に何を使用するかを指示します。それを2012年に設定するにはどうすればよいですか?

enter image description here

3
Bret Fisher

このPowerShellは機能しました。SessionCollectionに、Session Host接続用の代替アドレスを追加するように伝えます。これは、ラウンドロビンを備えたセッションホストファームに対しても行うことです。

これを実行すると、RDWebからアプリを起動すると、警告なしで3つの設定と一致する単一のプロンプトが表示されます。

  • パブリッシャー:remote.domain.com
  • リモートコンピュータ:remote.domain.com
  • ゲートウェイサーバー:remote.domain.com

Set-RDSessionCollectionConfiguration –CollectionName QuickSessionCollection -CustomRdpProperty "リダイレクトサーバー名を使用:i:1` n代替の完全なアドレス:s:remote.domain.com "

他のカスタムRDPプロパティに応じて、上記のコマンドは、それぞれの間に改行を入れて1つのコマンドに含める必要があるため、異なる場合があります。

背景情報:

カスタムRDP設定の追加: http://social.technet.Microsoft.com/wiki/contents/articles/15719.adding-custom-rdp-properties-in-windows-server-2012-vdi-rds-environments .aspx

この設定をHAに使用する場合: http://microsoftplatform.blogspot.com/2012/04/rd-connection-broker-ha-and-rdp.html

4
Bret Fisher

UC証明書がない場合は、次のPowerShellスクリプトを使用して、FQDNを更新し、外部のホスト名/証明書名と一致させることができます。

http://gallery.technet.Microsoft.com/Change-published-FQDN-for-2a029b8

2
David Svirskis

内部と外部の両方の名前空間に有効な証明書が必要だと思います。内部に.localがある場合(不正解)、[件名]または[件名の別名]フィールドのいずれかで.localを使用して証明書を取得するのが難しい場合があります。このためにパブリックプロバイダーから証明書を取得できない場合、ここでは内部PKIセットアップが唯一のオプションです。

2
MDMarra