リモートデスクトップサービスファームをセットアップしていますが、使用する証明書の構成に問題があります。私が見ている問題のデモンストレーションは、ステップ4にあります。
この時点で、ユーザーインターフェイスに問題があると確信しており、それらを回避する方法を探しています。リモートデスクトップサービスで証明書を構成して、設定を保持してGUIに反映する方法はありますか?そうでない場合、設定が正しいことを確認する方法はありますか?
ステップ#1-使用する証明書を作成します。
RD Webアクセスで使用する証明書を構成しました。証明書はRD接続ブローカーの証明書MMCに保存され、そのコンピューターからファームを構成しています。
RD Webアクセスに独自の証明書を生成させることで、次のプロパティが必要であることがわかりました。
- 強化されたキー使用法
- サーバー認証
- クライアント認証
- これは必須ではありませんが、自己署名証明書には含まれています。
- キーの使用法
- デジタル署名
- キー契約
- サブジェクトの別名
- DNS Name = domain.com
自己署名証明書の生成に関する迂回
手っ取り早い方法として、powershellを使用して自己署名証明書を作成する際の問題を回避することができました。New-RDCertificateコマンドレットのドキュメントには、次の例があります。
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
これをシェルに入力すると、関数Get-Serverが見つからないというエラーメッセージが表示されます。使用する前にNew-RDCertificate、でRemoteDesktop Moduleをインポートする必要がありますImport-Module RemoteDesktop。
ステップ#2-すぐに使用できる動作を観察する
[サーバーマネージャー]-> [リモートデスクトップサービス]-> [コレクション]に移動し、[コレクション]グループの[タスク]ドロップダウンリストから[展開プロパティの編集]を選択して[展開プロパティ]ダイアログボックスに初めてアクセスすると、次の画面が表示されます:
levelフィールドが「未構成」としてリストされているため、このウィンドウは誤解を招きます。正しく理解できれば、3つの役割サービスすべてが自己署名証明書を使用しています。RD Webアクセスロールの場合、これはWebサイトにアクセスして確認できます。
使用されている証明書は、証明書MMCにも表示されます。
ステップ#3-新しい証明書を割り当てる
[展開のプロパティ]ダイアログボックスで、既存の証明書を選択できます。証明書は、「個人」証明書ストアのローカルコンピューター証明書MMC内に配置する必要があります。秘密鍵はエクスポート可能である必要があり、パスワードを提供する必要があります。証明書をtemp.pfxパスワード付きのファイルに一時的にエクスポートし、そこからリモートデスクトップサービスにインポートしました。
これが完了すると、GUIは新しい構成を受け入れる準備ができたことを示します。
[適用]ボタンをクリックすると、GUIに成功が示されます。
これは、RD WebアクセスWebサイトにもう一度アクセスすることで確認できます。証明書エラーはありません。
ステップ#4-GUIはその状態を維持できません
GUIを閉じて再度開くと、これらの設定はすべて失われたように見えます。
実際、構成した証明書はまだ使用されています。証明書エラーなしでRD Webアクセスサイトにアクセスし続けることができます。
奇妙なことに、「新しい証明書を作成...」ボタンを使用して自己署名証明書を生成すると、このウィンドウは「信頼できない」レベルに更新されます。この設定は、[展開プロパティ]ダイアログボックスの開閉を通じて維持されます。
自分の設定が固まっているように見せるためにできることはありますか?GUIが証明書を完全に構成していないと主張するとき、何かが間違っているように感じます。
