非ドメインクライアントからドメインサーバーへのRDP接続で「失効チェックを実行できませんでした」と表示される
ドメインのメンバーとして約30台のWindows2008 R2サーバーがあり、それらのサーバーへのリモートデスクトップアクセス用に証明書部分を正しく構成しようとしています。
問題は、これらのサーバーに接続する必要のあるクライアントがドメイン上にないことです。クライアントは、すべてのドメインコンピューターと同じ内部ネットワーク上にあります。
これまでのところ、私は次のことを行いました:
- CAを作成しました
- リモートデスクトップ認証用に証明書テンプレートを構成しました
- 自動登録を有効にし、リモートデスクトップサーバーにRDP証明書テンプレートから証明書を登録させるようにデフォルトを構成しましたGPO
- 非ドメインクライアントのローカルコンピューターの信頼できる証明書ストアにCAルート証明書をインストールしました
これは、各サーバーが自動登録プロセスを経ているという点で機能しているようです。
問題は、RDPクライアントに接続すると、次のような証明書の警告が表示されることです。
A revocation check could not be performed for the certificate
証明書の詳細を見ると、それがマシンの正しい証明書であり、インストールして信頼しているCAルートによって署名されていることがわかります。 CRL Distribution Points証明書のエントリは次のように述べています:
URL=ldap:///CN=domain-ad-CA,CN=Host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)
ルートCA証明書には、CRLの場所がリストされていません。
推測では、クライアントはLDAP URLに接続しようとして失敗しますが、なぜそうなのかは明確ではありません。クライアントに失効チェックを実行させるにはどうすればよいですか?
ああ、私はその理由を知っています。これは、ドメインに参加していないコンピューターでも発生しました(そのため、RDP証明書を削除しました)。
匿名ユーザーがLDAPにクエリを実行できない場合、またはその特定の場所を表示する権限がない場合、ドメインに参加していないコンピューターはその場所にアクセスしてCRLを取得できないため、できません。失効チェックを実行します。 (もちろん、その場所は、存在しないなどの別の理由で到達できないわけではありません。)