BrettRobi's questions

我们正在开发一种在 Windows Server 2008 上运行的产品。该产品安装到使用 Server 2008 在专用硬件（我们拥有或至少提供服务）上运行的客户环境中。我们认为这是一个“设备”，尽管它基本上是一个一组运行 Server 2008 的 X 高端机器。无论如何，我们需要在客户环境中远程管理这些服务器，并且正在寻找管理它们的最简单安全的方法。

VPN 是显而易见的解决方案，但是因为每个客户都实施了他们自己选择的 VPN，所以我们很难支持它（我们需要在这里设置许多不同的 VPN 软件来远程访问）。另一种选择是让客户为 RDP 流量打开一个端口，这样我们就可以远程访问我们的服务器。但这当然是有风险的（即使我们选择了非标准端口），客户 IT 人员真的不喜欢这样。

所以最近我在阅读 TS Gateway（现在 R2 中的 RD Gateway）。我想知道这是否是我们的完美解决方案。如果我们在客户站点的其中一台服务器上进行设置，然后让他们直接向该服务器打开端口 443，这是否是我们将 RDP 访问到客户站点的所有服务器的安全机制？似乎他们的 IT 人员可能更容易接受这一点。

请注意，我们在客户环境中的 2008 服务器未加入域，它们是一个简单的工作组。

想法？我错过了什么吗？有更好的解决方案吗？

谁能告诉我关于 Windows Server 2008 网络版限制的非常具体的细节？我看过各个版本的高级比较图，但没有详细的细节。

我了解他们消除了无法安装 SQL Server 并显着提高了 RAM 和 CPU 限制。但是通过谷歌搜索表明，在 Server 2003 中，Web 版限制了 10 个入站 UNC 连接，以防止人们将其用作文件服务器。Server 2008 中是否仍然存在此限制？还有其他限制吗？

我正在尝试为托管在 IIS7 中的 WebService 启用相互身份验证。我有服务器端证书设置和工作，但无法弄清楚如何在 IIS7 中创建和设置证书信任列表，以便我可以要求和验证客户端证书。

我所有的客户端证书都是由我自己的根证书签名的，所以我需要创建一个只包含我的根证书的 CTL，然后让 IIS 验证客户端提供的 CTL 证书。

谁能阐明如何做到这一点？IIS6 有一个用于分配 CTL 的 UI，但我在 IIS7 中找不到类似的东西。

更新： 我现在已经成功地在向导模式下使用 MakeCTL 来创建具有友好名称的 CTL。但是，我的 IIS7 机器上没有 adsutil 支持，因此通过其他地方的其他帖子，我尝试使用“netsh http add sslcert”命令将 CTL 分配给我的站点。

在我可以使用此命令之前，我必须删除分配给我的站点以进行服务器身份验证的现有 SSL 证书。然后在我的 netsh 命令中，我指定了我删除的同一个 SSL 证书的指纹，加上一个组成的 appid，再加上“sslctlidentifier=MyCTL sslctlstorename=CA”。结果命令是：

netsh http 添加 sslcert ipport=10.10.10.10:443 certash=adfdffa988bb50736b8e58a54c1eac26ed005050 appid={ffc3e181-e14b-4a21-b022-59fc669b09ff} sslctlidentifier=MyCTL sslctlstorename=CA

（IP 地址已被修改），但我收到此错误：

SSL 证书添加失败，错误：1312 指定的登录会话不存在。它可能已经被终止。

我确信该错误与 CTL 选项有关，因为如果我删除它们，它会起作用（尽管当然没有分配 CTL）。

谁能帮我迈出最后一步并完成这项工作？

2010 年 1 月 7日更新： 我从未使用 IIS 7.0 解决此问题，并且已将我们的应用程序迁移到 IIS 7.5，并再次尝试。根据 Taras Chuhay 的回复，我在我的测试服务器上安装了 IIS6 兼容性，并尝试了他使用 adsutil.vbs 记录的步骤（也可以在此处找到）。我立即遇到了这个错误：

ErrNumber：-2147023584 尝试设置属性时出错：SslCtlIdentifier

运行此命令时：

adsutil.vbs 设置 w3svc/1/SslCtlIdentifier MyFriendlyName

然后我继续尝试记录的下一个 adsutil.vbs 命令，但它失败并出现同样的错误。

我已验证我创建的 CTL 具有 MyFriendlyName 的友好名称，并且它存在于 LocalComputer 的“中间证书颁发机构\证书信任列表”存储中。

所以我又一次陷入了僵局。我不知道还能尝试什么。有没有人让 CTL 与 IIS7 或 7.5 一起工作？曾经？我在打败一匹死马吗？谷歌只找到我自己的帖子和其他类似的故事。

更新 2/23/10 - 我已经与 Microsoft 确认这是 IIS 7.5 的一个错误，但它确实适用于 IIS 7。查看此链接了解详细信息：http ://rethinker.net/Geek/Configuration/IIS7 -CTLs.htm

2010 年 6 月8 日更新- 我现在可以确认 KB981506 解决了这个问题。有一个与此 KB 相关的补丁，必须将其应用于 Server 2008 R2 机器才能启用此功能。一旦安装好，对我来说一切都完美无缺。