Je suis en train de configurer une batterie de serveurs Remote Desktop Services et je ne parviens pas à configurer les certificats à utiliser. Vous trouverez une démonstration du problème rencontré à l’étape 4.
À ce stade, je suis convaincu qu'il existe des problèmes avec l'interface utilisateur et je cherche des solutions pour les résoudre. Existe-t-il un moyen de configurer des certificats dans les services de bureau à distance pour que les paramètres soient conservés et reflétés dans l'interface graphique? Sinon, est-il possible pour moi de vérifier que les paramètres sont corrects?
Étape n ° 1 - Créer un certificat à utiliser.
J'ai configuré un certificat à utiliser avec RD Web Access. Le certificat est stocké dans la console MMC Certificats de mon agent de connexion RD et je configure la batterie à partir de cet ordinateur.
J'ai trouvé en laissant RD Web Access générer son propre certificat que les propriétés suivantes sont requises:
- Utilisation améliorée des clés
- Authentification du serveur
- Authentification du client
- Cela n'est peut-être pas obligatoire, mais le certificat auto-signé l'inclut.
- Utilisation clé
- Signature numérique
- Accord clé
- Sujet Nom alternatif
- Nom DNS = domaine.com
Détour sur la génération de certificats auto-signés
Pour faire un détour rapide, j’ai pu résoudre un problème de création de certificats auto-signés à l’aide de powershell. La documentation de la cmdlet New-RDCertificate donne l'exemple suivant:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
En tapant ceci dans le shell, vous obtiendrez un message d'erreur indiquant qu'une fonction Get-Server
est introuvable. Avant d'utiliser New-RDCertificate
, vous devez importer le module RemoteDesktop avec Import-Module RemoteDesktop
.
Étape n ° 2 - Observez le comportement prêt à l'emploi
La première fois que vous visitez la boîte de dialogue Propriétés de déploiement en accédant au Gestionnaire de serveur -> Services de bureau à distance -> Collections et en sélectionnant "Modifier les propriétés de déploiement" dans la liste déroulante "Tâches" du groupe "Collections", l'écran suivant s'affiche. :
Cette fenêtre est trompeuse car le level
champ est répertorié comme "Non configuré". Si je comprends bien, les trois services de rôle utilisent un certificat auto-signé. Pour le rôle d'accès Web aux services Bureau à distance, vous pouvez vérifier cela en visitant le site Web:
Le certificat utilisé apparaît également dans la MMC Certificats:
Étape 3 - Attribuer un nouveau certificat
La boîte de dialogue Propriétés de déploiement me permettra de sélectionner mon certificat existant. Le certificat doit être placé dans les ordinateurs locaux Certificats MMC dans le magasin de certificats "Personnel". La clé privée devra être exportable et vous devrez fournir le mot de passe. J'ai temporairement exporté mon certificat dans un fichier nommé temp.pfx
avec un mot de passe, puis importé à partir de là dans les services de bureau à distance.
Une fois cette opération effectuée, l'interface graphique indiquera qu'elle est prête à accepter la nouvelle configuration.
Une fois que je clique sur le bouton "Appliquer", l'interface graphique indique le succès.
Cela peut être vérifié en visitant le site Web Accès Web RD pour une deuxième fois. Il n'y a pas d'erreur de certificat.
Étape n ° 4 - L'interface graphique ne parvient pas à maintenir son état
Si l'interface graphique est fermée et rouverte, tous ces paramètres semblent être perdus.
En fait, le certificat que j'ai configuré est toujours utilisé. Je peux continuer à accéder au site d'accès Web de RD sans aucune erreur de certificat.
Bizarrement, si j'utilise le bouton "Créer un nouveau certificat ..." pour générer un certificat auto-signé, cette fenêtre sera mise à jour à un niveau "Non approuvé". Ce paramètre sera ensuite conservé lors de l'ouverture et de la fermeture de la boîte de dialogue Propriétés de déploiement.
Y a-t-il quelque chose que je puisse faire pour que mes paramètres semblent coller? J'ai l'impression que quelque chose ne va pas lorsque l'interface graphique affirme que je n'ai pas entièrement configuré les certificats.