我正在尝试在虚拟 Windows Server 2012 R2 上设置远程桌面网关(终端服务网关)。但是当通过 Internet 连接(从 Win7 RDP 客户端)时出现错误:
您的计算机无法连接到远程计算机,因为请求的远程桌面网关服务器地址与证书主题不匹配。
这是我的配置:
- 主机正在运行 Windows Server 2008 R2 Std
- RDG 正在虚拟运行 Windows Server 2012 R2 Std(我也尝试了 2008 R2,结果相同)
- AD 也是虚拟的(dc.domain.local 等)
- 主机是 server.domain.local
- 主机正在使用 NAT 运行 RRAS,因此端口 host:33899 被转发到 rdg:3389
- RDG 是 rdg.domain.local
- RDG 使用网关管理器中设置的 example.com 的自签名 SSL 证书:
无论我为 SSL 证书使用什么名称,客户端都会使用Subject=rdg.domain.local!
我还尝试使用手动创建自签名证书makecert并使用/导入它,但结果相同。
显然 MS 有点搞砸了指令。
我相信您需要在 rdg 网关计算机上的 iis 管理器中创建证书请求。该请求需要指定客户端用于通过 Internet 连接的 fqdn。为了处理请求签名,您使用客户端计算机信任的 CA。如果您对客户端计算机具有完全控制权,则可以使用自己的 CA,只要它们信任您的 CA 根证书。否则,请使用商业 CA,例如 Verisign、Thawte 等。将签名证书导入 iis 后,它应该可以导入到您的 rdg 网关。
这一切都记录在官方指南中:http ://technet.microsoft.com/en-us/library/dd983941%28WS.10%29.aspx
包括http://technet.microsoft.com/en-us/library/dd983949(v=ws.10).aspx底部的咆哮评论
除了显然这个小细节:http ://blog.xiquest.com/2010/01/rd-gatewayweb-access-outside-the-firewall/
“从“管理工具”菜单打开“IIS Admin”控制台。导航到默认网站并为“默认网站\RDWeb\Pages”配置“应用程序设置”。更改以下设置:“DefaultTSGateway”= [可上网TS网关的fqdn]
注意:确保这也是您的 SSL 证书上列出的服务器名称。”
一旦我得到一台合适的计算机,我就会整理这篇文章。
这是我为使其工作而采取的步骤:
使用默认端口 3389/TCP 否则 SSL 证书名称将不匹配 FQDN 返回错误:
或者,如果您将其提交给当前用户的受信任的根证书颁发机构:
同时发布 HTTPS 端口 443/TCP。否则将无法建立连接,返回另一个无意义的错误:
请参阅我的博客文章。