- Что является причиной ошибки «сертификат или связанная цепочка недействительны»?
- Включение доступа и добавление пользователей
- Двухуровневый tls
- Запрос сертификата для сервера терминала
- Как подключить сертификат подписанный ad cs к rpd
- Как устранить ошибку проверки подлинности rdp
- Конфигурирование автоматического выпуска сертификатов
- Метод 3: разрешение удаленных подключений на хост-компьютере
- Настройка и управление ip
- Ошибка сертификата при подключении по rdp: а как его обновить/заменить?
- Подключение к виртуальному серверу с десктопной версии windows (xp, 7, 8, 8.1, 10)
- Подключение к серверу по rdp из ubuntu
- Подключение к удаленному рабочему столу (rdp) из debian
- Подключение к удаленному рабочему столу в windows 10
- Проверка работоспособности
- Создание политики авторизации подключения и ресурсов
- Создание шаблона сертификата rdp в adcs
- Способ 1: изменение метода удаленной аутентификации гостевого предпочтения
- Способ 2. установка последней версии microsoft remote desktop connection
- Тестируем соединение
- Установка ssl-сертификата
- Установка и настройка клиента rdp
Что является причиной ошибки «сертификат или связанная цепочка недействительны»?
Мы исследовали эту конкретную проблему, изучив различные пользовательские отчеты и стратегии исправления, которые обычно используются для решения этой конкретной проблемы. Из наших исследований кажется, что есть несколько потенциальных виновников, которые могут в конечном итоге вызвать это сообщение об ошибке:
- Аутентификация удаленного компьютера гостя не установлена на Всегда подключаться — Это самый популярный виновник, когда речь заходит об этом конкретном сообщении об ошибке. Подключение к удаленному рабочему столу будет отказано в подключении, если на этапе проверки подлинности будет сбой одного фактора безопасности В этом случае вы можете обойти проблему, изменив настройки безопасности гостя для подключения, даже если этап проверки подлинности не пройден.
- Версия удаленного рабочего стола Microsoft устарела — Как сообщили несколько пользователей, это сообщение об ошибке может завершиться сбоем, если Mac, который пытается подключиться, использует устаревшую версию RDC. Если этот сценарий применим, обновление до последней версии из Mac App Store решит проблему автоматически.
- Удаленные подключения на хост-компьютере ограничены— Если компьютер, к которому вы пытаетесь подключиться, не настроен для разрешения удаленных подключений, вы также получите эту ошибку. В этом случае вам необходимо получить доступ к меню «Свойства системы» на главном компьютере и включить «Удаленные подключения».
Если вы пытаетесь разрешить это конкретное сообщение об ошибке, эта статья предоставит вам несколько стратегий устранения неполадок, которые другие пользователи в аналогичной ситуации успешно использовали для обхода или устранения «Сертификат или связанная цепочка недействительны ».
Включение доступа и добавление пользователей
Первый шаг настройки – корректировка настроек Windows 10, чтобы сделать соединение через интернет с использованием RDP в принципе возможным. Откройте Пуск и нажмите на шестеренку Параметры.
Откройте раздел с настройкой системы.
Просмотрите детальные сведения (можно сразу открыть этот экран комбинацией Win-Pause или Win-Break).
Запомните, какое имя указано для компьютера. Далее перейдите к настройке удаленного доступа.
Если в системе настроено автоматическое переведение в «спячку», то будет показано предупреждение.
Нажмите Электропитание и далее настройки схемы, чтобы убрать помехи к использованию RDP в Win 10.
Выберите из списка «Никогда», если хотите, чтобы ПК был постоянно доступен.
Альтернативный способ – активировать режим повышенной производительности, тогда компьютер не будет отключаться.
В подразделе удаленного рабочего стола разрешите подключаться к компьютеру.
При желании можно провести настройку RDP Windows 10 для нескольких пользователей, нажав кнопку чуть ниже переключателя.
По умолчанию доступ дается администраторам, но можно добавить произвольного пользователя (например, специально созданного для этих целей).
Впишите его имя в системе.
Пользователь появится в списке допуска к RDP.
В зависимости от версии ОС, порядок действий может несколько отличаться. Например, официальное руководство предлагает перейти к параметрам рабочего стола непосредственно в подразделе «Система» или же открыть в браузере адрес «ms-settings:remotedesktop».
Двухуровневый tls
В случае аутентификации пользователей об Active Directory по сертификатам RSA я предлагаю использовать обычный TLS c хранением клиентского ключа аутентификации RSA на Рутокен ЭЦП, но ходить через sTunnel. В этом случае TLS по RSA будет передаваться внутри канала TLS c ГОСТ.
Возможны две схемы. В первой TLS с RSA организует непосредственно клиент RDP. При этом на токене хранятся два ключа — ГОСТовый (аутентификация «свой-чужой», чтобы авторизоваться на сервере sTunnel)и RSA (если пользователь смог пройти первый барьер, то этот ключ используется для аутентификации об AD, пользователь сразу попадает в свою учетную запись на RDP-сервере).
Для доступа к ключу/сертификату RSA, хранящимся на Рутокен ЭЦП, и аппаратной реализации RSA на «борту» Рутокен ЭЦП используется на Windows Рутокен CSP (входит в дистрибутив драйверов Рутокен), на Linux приложение rdesktop работает через PC/SC.
Во второй схеме TLS по RSA и по ГОСТ обеспечивается самим sTunnel. Сразу предупреждаю, что эту вторую схему я не пробовал.
Для доступа к ключу RSA и аппаратной реализации RSA «на борту» Рутокен ЭЦП используется engine pkcs11 из проекта OpenSC www.opensc-project.org/engine_pkcs11.
Соответственно, в конфиге клиента sTunnel будут две секции:
[RDP-TLS-GOST]
engineNum=1
key=100
cert=client_gost.crt
accept = 127.0.0.1:8088
connect = x.x.x.x:1494
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 1
[RDP-TLS-RSA]
engineNum=2
key=101
cert=client_rsa.crt
accept = 127.0.0.1:8087
connect = 127.0.0.1:8088
TIMEOUTclose = 1
А ходить клиентом RDP надо на 127.0.0.1:8087.
Запрос сертификата для сервера терминала
Прежде чем использовать SSL для соединения с сервером терминала, необходимо запросить соответствующий сертификат из центра сертификации корпоративной сети:
- Открыть оснастку Certificates консоли управления Microsoft Management Console (MMC) на сервере терминалов от имени учетной записи локального компьютера.
- Выбрать Certificates (Local Computer) в корневом каталоге консоли, затем перейти к пункту Options меню View. Выбрать Certificate Purpose в разделе Organize view mode by и нажать кнопку OK.
- Щелкнуть правой кнопкой мыши Server Authentication и выбрать Request new certificate в разделе All tasks.
- Нажать кнопку Next на экране приветствия. Выбрать режим Server Authentication (или Domain Controller Authentication). Установить флажок Advanced и нажать кнопку Next.
- Убедиться, что в качестве поставщика службы шифрования выбран Microsoft RSA SChannel Cryptographic Provider, а длина ключа – 1024. Нажать кнопку Next.
- Перейти к центру сертификации корпоративной сети (если он еще не выбран) и выбрать его. Нажать кнопку Next.
- Ввести понятное имя и описание сертификата. Нажать кнопку Next, а затем Finish.
После этого на экране должно появиться сообщение, что запрос к центру сертификации корпоративной сети был успешным.
Как подключить сертификат подписанный ad cs к rpd
Привет. При подключении по RDP как правило выскакивает сообщение о том, что сертификат, который используется для проверки подлинности сервера – не заслуживает доверия из-за того, что он самоподписанный. Наверняка вы задавались вопросом – как сделать так, чтобы за место самоподписанного сертификата был сертификат, выданный вашим центром сертификации, ну или не вашим… В общем что бы был полноценный сертификат. Сегодня хочу показать, как это можно сделать.
Тут можно пойти двумя путями:
- Если у вас есть AD CS и нет особых требований к именам, указываемым в сертификате. В этом случае можно сделать полностью автоматическую выдачу сертификатов и их подключение. Это простой способ.
- Если у вас в домене нет центра сертификации Active Directory, или если у вас есть особые требования к Subject Name или Subject Alternative Name. В этом случае придется получать и подключать сертификат вручную. Понадобится подобный сценарий вам может, если, например вы выдаете сертификат для компьютера, находящегося в отказоустойчивом кластере, и соответственно вам нужно будет указать в качестве SAN или SN как имя кластера так и имя хоста.
Начнем с более простого сценария.
У вас уже должен быть установлен и настроен AD CS. Идем на компьютер где он установлен и создаем шаблон для сертификата, который будет использоваться при подключении по RDP. Для этого заходим в консоль Certification Authority и щелкаем правой кнопкой мыши на Ceritificate Templates, выбираем Manage.
В открывшемся окне щелкаем правой кнопкой мыши по шаблону компьютера и выбираем Duplicate Template.
В Compatibility, выбираем уровень CA и получателей, в зависимости от ваших нужд, я поставлю уровень CA и Certificate Recipient на уровень 2008R2.
Во вкладке General задаёмR понятное имя сертификату, например RDPTmpl, так же если хотите можете изменить время жизни и обновления сертификата, а также разрешить публикацию в AD. Я эти опции оставил как есть.
Во вкладке Subject Name по желанию можно выбрать Subject name format, например Common Name, так же обязательно оставьте, что бы публиковалось DNS имя в alternate subject name.
Идем во вкладку Sucurity – тут разрешаем Enroll и Autoenroll для группы компьютеров, для которых должен будет получаться сертификат.
Далее переходим во вкладку Extensions, выбираем Application Policy и жмем Edit.
Здесь нужно удалить Client Authorization, а так же по желанию можно заменить Server Authorization на политику для проверки подлинности RDP. Для этого жмем Add, далее New, в Object identifier вводим 1.3.6.1.4.1.311.54.1.2 и даем понятное имя политике, например Remote Desktop Authentication.
Выбираем созданную политику и удаляем из шаблона Client и Server Authorization.
Жмем ОК и закрываем консоль с шаблонами. Возвращаемся в консоль Certification Authority и снова жмем правой кнопкой по Certificate Templates и выбираем New -> Certificate Template to issue.
Выбираем созданный нами шаблон и жмем ОК.
Теперь идем в редактор групповой политики, создаем или правим существующий объект групповой политики, который прилинкован к OU в которой находятся компьютеры, которым необходимо получить сертификат. Идем в Computer configuration -> Administrative Templates -> Windows components -> Remote Desktop Services -> Security. Тут нам нужен параметр Server authentication certificate template.
Включаем его и указываем имя нашего шаблона (RDPTmpl).
Что бы сертификаты продлялись автоматически, идем в Computer configuration -> Windows settings -> Security Settings -> Public Key Policies. Тут включаем параметр Certificate Services Client – Auto-Enrollment Properties.
Всё дожидаемся, пока обновится групповая политика или обновляем ее сами (gpupdate /force), сервер должен будет получить сертификат, и при подключении по RDP будет использоваться именно этот сертификат. Проверить это можно подключившись к серверу не по доменному имени, а по IP адресу, например.
Если что, хранится этот сертификат в сертификатах компьютера, в личных сертификатах.
Теперь расскажу про то, что делать во втором случае. В общем и целом, сперва нам так, как и с первым случаем необходимо создать шаблон для сертификата. Тут всё точно так же, как и с первым случаем, за исключением вкладки Subject Name. В этот раз нужно выбрать Supply in the request. Так же, думаю лучше поставить галку, что бы при продлении бралась информация из существующего сертификата.
Далее нам необходимо получить сертификат для компьютера. Заходим на нужный нам компьютер. Запускаем консоль mmc, и добавляем оснастку сертификаты. Выбираем для учетной записи компьютера.
Щелкаем правой кнопкой по Личное и выбираем – запросить новый сертификат. На приветственном окне жмем далее. В окне выбора политики регистрации сертификатов оставляем Политику регистрации Active Direcotory.
В следующем окне выбираем созданный ранее шаблон. Он будет отмечен желтым треугольником. Жмем по ссылке правее этого треугольника.
Во вкладке объект указываем полное имя DN в качестве Subject Name (например CN = CL01.test.loc) и разные dns имена в качестве Alternate Subject Name.
Жмем далее, точнее кнопку Заявка, и дожидаемся окончания процесса.
Теперь нам необходимо каким-то образом подключить полученный сертификат к RDP. Тут опять же есть несколько способов.
Первый способ, на мой взгляд менее удобный, но он должен работать на всех системах:
Смотрим отпечаток в свойствах только что полученного сертификата.
Для упрощения его копирования можно воспользоваться командой powershell:
ls Cert:LocalMachineMy
Копируем нужный отпечаток, далее выполняем команду:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”thumbprint”
Где thumbprint – ваш скопированный отпечаток.
Посмотреть отпечаток подключенного сертификата можно командой:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
В случае, если у вас используется старая версия ОС, например Windows 2008R то можно воспользоваться более наглядным способом подключения. Это же касается и случаев, если у вас версия системы выше, чем 2021, и при этом установлены роли RDS.
Устанавливаем фичу Remote Desktop Services Tools. Если что она находится в Remote Server Administration Kit, Role Administration Tools.
Устанавливаем эти компоненты, после установки нужно будет перезагрузить сервер. После перезагрузки идем в Пуск – Администрирование – Службы удаленных рабочих столов – Конфигурация узла сеансов удаленных рабочих столов.
Заходим в свойства единственного подключения. Во вкладке общие можно выбрать необходимый нам сертификат. Выбираем ранее полученный сертификат.
Всё. Теперь при подключении по RDP будет использоваться правильный сертификат.
Как устранить ошибку проверки подлинности rdp
8 мая 2021 г. Microsoft выпустило обновление, которое предотвращает удаленное выполнение кода с помощью уязвимости в протоколе CreedSSP.
После установки данного обновление пользователи не могут подключиться к удаленным ресурсам посредством RDP или RemoteApp. При подключении происходит такая ошибка:
Появление ошибки обусловлено установкой данных обновлений безопасности:
В данной статье мы рассмотрим варианты исправления данной ошибки.
Вариант №1: Убираем проверку подлинности.
Заходим в свойства компьютера, переходим на вкладку Удаленный доступ и снимаем галку с чекбокса.
Вариант №2 (рекомендуемый): Обновление клиентских и серверных ОС.
Устанавливаем специально выпущенные патчи обновления, которые закрыли уязвимость в RDP-клиенте. Данные обновления можно посмотреть на сайте Microsoft. После установки данного обновления, мы обновляем CredSSP.
Вариант №3: Через групповые политики.
Локально заходим в групповые политики устройства, к которому пытаемся подключиться. Для того чтобы открыть редактор групповых политик выполним следующее действие: Нажимаете Win R, а затем введите gpedit.msc. Переходите по данному пути: Конфигурация компьютера > Административные шаблоны > Система > Передача учетных данных > Защита от атак с использованием криптографического оракула.
В свойствах данной политики выбираем пункт Включено и ниже в параметрах выбираем уровень защиты Оставить уязвимость.
После того, как данные действия выполнены, необходимо зайти в командную строку от имени администратора и выполнить данную команду:
Вариант №4. Редактирование реестра.
Локально заходим на устройство, к которому пытаемся подключиться и нажимаем Win R. Вводим regedit. После того, как откроется редактор реестра идем по следующему пути:
Затем находим параметр AllowEncryptionOracle, открываем его и ставим значение 2.
После выполнения данных действий с реестром выполняем перезагрузку устройства.
Нужна помощь в настройке RDP-подключений? Обращайтесь к нам!
Конфигурирование автоматического выпуска сертификатов
Переходим в Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies и выбираем Certificate Services Client — Auto-Enrollment Включаем автоматический выпуск сертификатов а так же настройки по их автоматическому обновлению:
Метод 3: разрешение удаленных подключений на хост-компьютере
Еще один потенциальный сценарий, в котором «Сертификат или связанная цепочка недействительны» ошибка произойдет, если хост-компьютер (тот, к которому вы пытаетесь подключиться) не разрешает удаленное подключение. Несколько пользователей, пытающихся решить эту проблему, сообщили, что проблема была устранена, как только они включили удаленные подключения из меню «Свойства системы».
Вот краткое руководство о том, как это сделать:
- Нажмите Windows ключ R открыть диалоговое окно «Выполнить». Затем введите sysdm.cpl» и нажмите Войти открыть Свойства системы меню.
- Внутри Свойства системы меню, перейдите к Дистанционный пульт и убедитесь, что поле связано с Разрешить подключения удаленного помощника к этому компьютеру проверено.
- Затем нажмите на продвинутый кнопку ниже и убедитесь, что поле, связанное с Разрешить удаленное управление этим компьютером Также проверено.
- Нажмите Применять чтобы сохранить текущую конфигурацию, перезагрузите компьютер, чтобы изменения вступили в силу.
Включение удаленного управления на компьютере с Windows
Настройка и управление ip
Вместо имени компьютера часто используется IP. Чтобы его просмотреть, правым кликом по значку текущего подключения вызовите Центр управления сетями.
Далее кликните непосредственно по каналу связи с интернетом (например, Ethernet) для просмотра состояния.
В просмотре состояния нажмите Сведения.
Отобразится детальная информация, из которой нужно запомнить или записать IP.
Если адрес выдается динамическим образом, то при повторных включениях ПК он может измениться, и тогда потребуется его каждый раз заново узнавать. Вместо этого, иногда настраивают статический адрес, который остается неизменным при перезагрузках.
Важно! Если у вашей сети есть ответственный администратор, проконсультируйтесь с ним о допустимости такой настройки. Впрочем, это относится и к разрешению удаленного доступа в целом.
В окне просмотра состояния перейдите к свойствам. Далее выберите протокол IPv4 и откройте детальный просмотр.
В качестве адреса укажите значение, которое не попадает в используемый для динамического использования диапазон. Соответствующую настройку можно опять-таки найти в роутере.
Традиционно маска указывается в виде 255.255.255.0, так что IP должен отличаться от адреса шлюза (его не меняем) только последним числом.
В качестве DNS можно указать используемые в вашей сети значения или же воспользоваться публичными сервисами: 8.8.8.8 от Google, 1.1.1.1 от Cloudflare и так далее.
Ошибка сертификата при подключении по rdp: а как его обновить/заменить?
Добрый день друзья!
Имеется сервер RDP на базе раскуроченной Windows 7.
Так уж вышло, что на сервере, для правильной работы одного хитрого приложения, пришлось выставить системную дату на 2021 год (дабы избавиться от назойливых попапов с просьбой обновиться).
В связи с этим, поскольку системная дата на сервере отстает аж на 3 года, при подключении по RDP клиент ругается, что сертификат бука бяка, просрочен и так далее. Собственно если взглянуть на сертификат, принимаемый от сервера, то да: выпущен в 2021 году. заканчивается в 2021 году, а в реальности на клиенте 2020 год… Просрочен.
Вопрос: как на сервере перекурочить сертификат (и где он вообще лежит и как генерируется) таким образом, чтобы он жил не тужил хотя бы лет 5…? Возможно ли это?
Другой вариант извращений – если предложте, буду рад и благодарен!
Подключение к виртуальному серверу с десктопной версии windows (xp, 7, 8, 8.1, 10)
При использовании стандартной операционной системы Windows для подключения к серверу необходимо открыть следующий путь:
Пуск -> Программы -> Стандартные -> Подключение к удалённому рабочему столу
Либо просто нажмите комбинацию клавиш
Win R
и в открывшемся окне наберите
mstsc
В открывшемся окне необходимо указать IP-адрес созданного для вас VDS сервера. Если вы заказали сервер с несколькими IP-адресами, то можете использовать любой из них для подключения.IP-адрес вашего сервера указан возле вашего сервера в личном кабинете в разделе «Мои сервера».
После ввода IP-адреса сервера нажмите кнопку «Подключить» и вы увидите окно с полями авторизации. Здесь нужно выходить под новым пользователем:
Подключение к серверу по rdp из ubuntu
RDP – это закрытый протокол компании Microsoft, она же в свою очередь не выпускает RDP-клиентов для операционных систем семейства Linux.
Однако всё же есть различные рабочие версии от тех или иных производителей.
Мы рекомендуем использовать клиент
Remmina
Для пользователей Ubuntu есть специальный репозиторий с различными пакетами приложение, в числе которых есть Remmina и RDP.Установка производится в 3 простые команды, которые вводятся по очереди в Терминале:
Для установки пакета Remmina
sudo apt-add-repository ppa:remmina-ppa-team/remmina-nextУстанавливаем обновления
sudo apt-get updateУстанавливаем плагин протокола RDP
sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standardЕсли вы до этого уже устанавливали или запускали существующую версию Remmina, то её необходимо перезапустить. Сделать это можно перехагружкой компьютера, либо выполнением следующей команды в том же терминале:
sudo killall remminaЕсли процесс запущен не был, то появится сообщение об ошибке: процесс не найден, что тоже нас устраивает.
Открываем меню поиска и находим там свежеустановленный пакет Remmina
Нажимаем на добавление нового подключения и заполняем поля данными для подключения и авторизации к вашему серверу (где находятся данные для подключения к именно вашему серверу описано выше):
После сохранения ваш сервер будет всегда доступен в списке подключений для быстрого доступа. Для подключения к нему дважды кликните мышкой по строчке вашего сервера.
При первом подключении к серверу вы можете увидеть информацию о недоверенном сертификате безопасности. Причина этого описана выше. Просто нажмите «ОК» и вы увидите рабочий стол вашего сервера.
Подключение к удаленному рабочему столу (rdp) из debian
RDP (подключение к удалённому рабочему столу) – это закрытый протокол компании Microsoft, они же в свою очередь не выпускает RDP-клиентов для операционных систем семейства Linux.
Но всё же есть различные рабочие версии от тех или иных компаний-разработчиков.
Мы рекомендуем использовать RDP-клиент
Remmina
Для установки приложения Remmina и плагина RDP к нему необходимо открыть менеджер установки пакетов:
Здесь в строке поиска вводим «Remmina» и выделяем все результаты для установки:
Установка занимает буквально 3-4 секунды, после чего сразу можно пользоваться приложением.Находим его в главном меню и запускаем:
Перед началом работы необходимо создать новое подключения для удобства в дальнейшем:
В открывшемся окне необходимо задать корректные параметры RDP подключения и данные для авторизации (указаны в личном кабинете UltraVDS):
После сохранения ваш сервер будет всегда доступен в списке подключений для быстрого доступа. Для подключения к нему просто дважды кликните мышкой по строчке вашего сервера.
При первом подключении к серверу вы можете увидеть информацию о недоверенном сертификате безопасности. Причина этого описана чуть выше. Просто нажмите «ОК» или «Принять» и вы увидите рабочий стол вашего сервера.
Подключение к удаленному рабочему столу в windows 10
После настройки для подключения в режиме RDP можно использовать стандартную программу.
Минимальные требования для соединения – указать имя или IP целевого компьютера.
Далее система сама запросит данные для входа в учетную запись. Используйте один из тех аккаунтов, которые добавили на этапе настройки. Можно поставить галочку, чтобы в будущем не вводить их заново.
Если показывается уведомление об отсутствии сертификата, его допустимо проигнорировать (вы же уверены в своем ПК, верно?).
Также в окне подключения можно раскрыть детальные параметры подключения:
Важно! В отличие от настройки RDP на Windows Server 2021, здесь одновременно работать может только один пользователь, независимо от того, прямо за компьютером или удаленно. Так что если попробуете подключиться к системе, куда уже кто-то вошел, появится предупреждение. Можно или отключить активного пользователя, или самому подключиться позже.
Если вам нужно настроить РДП с одновременной работой, переходите на серверные ОС, такие как Windows Server 2021 r2.
После этого откроется окно с удаленной системой. По умолчанию режим полноэкранный, а сверху показывается панель подключения.
Проверка работоспособности
После применения групповой политики Windows клиенты должны в автоматическом порядке получить сертификат. Если этого не произошло, стоит обратить внимание на:
- Отсутствие в правильной группе безопасности, которая указана в шаблоне;
- Отсутствие к ЦС необходимых сетевых портов от клиента. Напомню, это tcp/135 (RPC) и динамические порты tcp/49152—65535.
Проверить что сертификат был успешно выпущен можно в консоли ADCS:
При следующем RDP подключении, стоит обратить внимание на наличие «замка» в верхнем меню RDP подключения. Нажав на этот «замок» можно удостоверится что используется нужный сертификат.
Создание политики авторизации подключения и ресурсов
Чтобы открыть Remote Desktop Gateway Manager, в Диспетчере серверов выберите Tools и в открывшемся списке Remote Desktop Services → Remote Desktop Gateway Manager
Перед вами откроется менеджер шлюза.
Для создания политик авторизации в древовидной структуре откройте RD Gateway Manager → <Имя сервера> → Policies → Connection Authorization Policies. В вертикальном меню Actions справа выберите Create New Policy → Wizard.
В открывшемся окне выберите Create RD CAP and RD RAP (recommended), чтобы с помощью одного процесса настроить обе политики.
Введите удобное имя для политики авторизации подключения.
На следующем шаге выберите наиболее удобный метод аутентификации: пароль или smartcard. Далее добавьте группы пользователей которые смогут подключаться к этому RD Gateway серверу, для это нажмите Add Group.
Выберите нужную группу, например администраторов домена или контроллеры домена. Выполнить поиск можно с помощью кнопки Check Names.
После добавления групп можно переходить к следующему действию.
Выберите устройства и ресурсы удаленной сессии, которые будут доступны клиентам использующие шлюз.
Выберите нужные для вас значения таймаутов: времени простоя и времени работы сессии.
Перепроверьте выбранные настройки.
Далее вы перейдете к настройке политики авторизации ресурсов. Введите удобное имя политики.
Также добавьте группы пользователей, которые смогут подключаться к сетевым ресурсам.
Выберите группу, содержащую серверы, на которых указанные группы пользователей могли бы работать с удаленным рабочим столом. Для этого нажмите Browse.
В этом примере используется встроенная группа под названием Domain Controllers. Вы можете создавать дополнительные группы, содержащие серверы, которые связаны или принадлежат к определенным отделам или сотрудникам. Таким образом, на предыдущих шагах вы можете назначать группы на основе потребностей пользователей и разрешать им доступ только к определенным серверам.
Убедитесь, что добавлена нужная группа.
Если порт по умолчанию удаленного рабочего стола на серверах был изменен, используйте эту страницу для указания порта. В противном случае выберите разрешение подключения только к порту 3389.
Проверьте указанные настройки для политики.
Далее отобразится результат создания политик.
После создания политик менеджер будет выглядеть следующим образом.
Создание шаблона сертификата rdp в adcs
Первый шаг состоит в создании шаблона сертификата, с помощью которого Windows клиенты будут автоматически генерировать сертификаты используемые в RDP подключениях. Для этого в оснастке ADCS переходим к управлению шаблонами сертификатов:
Дублируем сертификат Computer
Задаем имя будущего шаблона:
Указываем настройки совместимости:
В Extensions, необходимо задать правильные Application Policies для поддержки TLS в RDP протоколе
Для этого удаляем Client Authentication и Server Authentication и добавляем Remote Desktop Authentication с OID 1.3.6.1.4.1.311.54.1.2, как показано на скриншоте:
Далее, необходимо задать группу безопасности, члены которой должны автоматически сгенерировать сертификат по этому шаблону. Для этого добавляем нужную группу безопасности в DACL и назначаем соответствующие права:
Завершающим шагом будет его выпуск на выдающем корпоративном ЦС:
Способ 1: изменение метода удаленной аутентификации гостевого предпочтения
Это, безусловно, самое эффективное решение из всех. Подавляющее большинство пострадавших пользователей сообщили, что «Сертификат или связанная цепочка недействительны » ошибка была устранена после того, как они обновили настройку «Подключение к удаленному рабочему столу» с гостевого компьютера на «Всегда подключаться, даже если аутентификация не удалась».
Вот краткое руководство о том, как это сделать:
- открыто RDC (подключение к удаленному рабочему столу) с компьютера, на котором отображается ошибка.
- Перейдите в меню настроек и получите доступ к Безопасность Вкладка.
- Как только вы туда доберетесь, установите Аутентификация удаленного компьютера в Всегда подключаться, даже если аутентификация не удалась.
Изменение метода проверки подлинности удаленного компьютера - Сохраните изменения, затем перезапустите клиент RDC и посмотрите, была ли проблема решена.
Если вы все еще видите «Сертификат или связанная цепочка недействительны» Ошибка при попытке подключения, перейдите к следующему способу ниже.
Способ 2. установка последней версии microsoft remote desktop connection
Как выясняется, эта конкретная проблема также может возникать, если используемая вами версия Microsoft Remote Desktop сильно устарела. Несколько пострадавших пользователей сообщили, что «Сертификат или связанная цепочка недействительны» ошибка больше не возникала после обновления до последней версии RDC.
Обновление до последней версии Remote Desktop Connection чрезвычайно просто — просто перейдите по этой ссылке (Вот) и загрузите последнюю версию. Ваша система MAC автоматически отменит вашу текущую установку и заменит ее последней.
Обновление вашего клиента RDC до последней версии
Если этот метод неприменим или у вас уже установлена последняя версия подключения к удаленному рабочему столу, перейдите к следующему способу ниже.
Тестируем соединение
После того как сервер терминала будет настроен на использование SSL, можно подключиться к серверу с рабочих станций. На экране 4 показан образец предупреждения, выдаваемого, если вместо указанного в сертификате полного имени домена введен IP-адрес сервера и если клиент не доверяет CA, выдавшему серверу сертификат.
Следует всегда использовать полное имя сервера терминала в клиенте Remote Desktop Connection для безошибочного подключения. Предупреждение также указывает, что с сертификатом сервера не все в порядке. В действительности это не так; просто клиент не доверяет CA, выдавшему сертификат серверу.
После загрузки и установки корневого сертификата центра сертификации на рабочей станции и ввода FQDN-сервера в клиенте Remote Desktop Connection будет установлено безопасное SSL-соединение с сервером. На безопасное соединение указывает маленький значок замка в правом верхнем углу экрана. Щелкнув на значке, можно получить информацию о сертификате сервера.
Установка ssl-сертификата
Для шлюза удаленного рабочего стола должен быть установлен SSL-сертификат. Чтобы установить SSL-сертификат, щелкните имя сервера удаленного рабочего стола в консоли управления удаленным рабочим столом и выберите View or modify certificate properties.
Возможно 3 способа импорта сертификатов:
- создание самоподписанного сертификата и его импорт;
- импорт ранее загруженного сертификата (самоподписанного или стороннего);
- загрузка стороннего сертификата (например, Comodo) и его импорт;
Выберите подходящий вам способ, в нашем примере мы рассмотрим первый случай с генерацией и импортом самоподписанного сертификата.
Введите имя сертификата и его расположение на сервере. Нажмите OK.
Сертификат будет сгенерирован.
В результате отобразится – кому, кем и до какого числа выдан ssl-сертификат. Нажмите Apply для сохранения изменений.
Теперь самоподписанный SSL-сертификат успешно установлен на TCP-порт 443 (порт SSL по умолчанию).
В целях безопасности рекомендуется изменить порт SSL для шлюза удаленных рабочих столов на другой номер. Обычно компании делают это, чтобы попытаться обмануть хакеров, которые могут ориентироваться на стандартный порт 443.
Чтобы изменить номер порта для шлюза RD, щелкните правой кнопкой мыши имя сервера и выберите свойства в консоли управления удаленным рабочим столом (Action →Properties).
Установка и настройка клиента rdp
В системах Windows 2003 SP1 и более поздних файлы для нового клиента Remote Desktop Connection (версия 5.2.3790.1830) можно найти в папке C:windowssystem32clients sclientwin32. Следует учесть, что в настоящее время исходные файлы для установки версии 5.2 клиентской программы в рабочей станции имеются только в Windows 2003 SP1.
Файлы нужно разместить в папке win32 на общем диске, доступном для рабочих станций в сети предприятия. После этого можно вручную установить обновленный клиент Remote Desktop Connection на рабочей станции Windows XP или Windows 2000, подключившись к общему диску, запустив файл setup.exe и следуя инструкциям программы.
В версии 5.2 клиента Remote Desktop Connection появилась вкладка Security (экран 1), на которой можно указать, следует ли клиенту проверять сертификат сервера перед подключением к серверу. Возможны три варианта.
- No authentication – клиент не пытается проверить сертификат сервера перед подключением. Если для связи с сервером требуется аутентификация SSL, то клиент не сможет установить соединение.
- Require authentication – клиент проверяет сертификат сервера перед подключением к серверу. Если клиент не может определить подлинность сервера, то соединение с сервером установлено не будет.
- Attempt authentication – клиент проверяет сертификат сервера перед подключением к серверу. Клиент может установить соединение с сервером с SSL-аутентификацией или без нее, в зависимости от конфигурации сервера, даже если клиенту не удается полностью удостоверить подлинность сервера.