WS2012 essentials a vzdálená plocha

[Tomas K]

dobrý den všem,

prosím o radu s nastavením připojení ke vzdálené ploše. Připojení z vnějšku sítě vrátí chybovou hlášku "Tento počítač nemůže ověřit identitu brány brány VP remote.xxxxx.cz. Není bezpečné se připojovat k serverům, které nelze identifikovat. Požádejte ..."

na serveru: WS2012 Essentials (služba Přístup odkudkoliv / access anywhere)

Prosím o radu, co s tím. Děkuji

[Reklama]

[MP]

Precist si neco o certifikatech.

[Tomas K]

o certifikátech jsem se snažil přečíst na technické podpoře microsoftu co bylo únosné, ale je pořád dokola. Máme vygenerovaný vlastní certifikát, dokonce platný, i když píše že má problém s ověřením vystavitele, ale běžné připojení vzdálené plochy funguje. Pokud ale použiji připojení přes bránu VP, už tento certifikát k ověření identity zřejmě nestačí.   Problematice rozumím jen z části, síť mám na starosti jen jako bokovku. Spíše by se mi hodila rada, jaký certifikát potřebuji.

[Jose D]

Spíše by se mi hodila rada, jaký certifikát potřebuji.

podepsaný autoritou důvěryhodnou na klientovi toho rdp.

[Tomas K]

Spíše by se mi hodila rada, jaký certifikát potřebuji.

podepsaný autoritou důvěryhodnou na klientovi toho rdp.

ano, ale můžeš být trošku konkrétnější? Pokud nefungují vlastní podepsané certifikáty, je řešením zakoupit SSL certifikát např. RapidSSL?

[Reklama]

[Tomas K]

na technické podpoře Microsoftu jsem se dočetl (interpretoval jsem li tuto informaci správně), že nemusí stačit vlastní vydaný certifikát, ale může být třeba certifikát od certifikační autority, která je autorizována Microsoftem (CTL). Je tedy řešením zakoupit např. RapidSSL?

[Cek]

Zdravim,

do pocitace, odkud se pripojujes, je potřeba naimportovat ty "neduveryhodne" certifikáty z brany VP. Pak to funguje, jenom se muselo rucne při instalaci vybrat spravne uloziste - a uz nevim presne jake to bylo. U nas jsme nakonec myslim resili importem certifikatu domenove cert. autority do korenovych certifikatu na stanicich (a na serverech generovanim ne self-signed certifikatu, ale přes tu domenovou cert. autoritu).
Normalni vzdalena plocha vyhodi jenom varovani, ale přes tu branu se bez certifikatu, kteremu veris, nedostanes, vypnout ta kontrola pokud vim nejde.

[Tomas K]

Zdravim,

do pocitace, odkud se pripojujes, je potřeba naimportovat ty "neduveryhodne" certifikáty z brany VP. Pak to funguje, jenom se muselo rucne při instalaci vybrat spravne uloziste - a uz nevim presne jake to bylo. U nas jsme nakonec myslim resili importem certifikatu domenove cert. autority do korenovych certifikatu na stanicich (a na serverech generovanim ne self-signed certifikatu, ale přes tu domenovou cert. autoritu).
Normalni vzdalena plocha vyhodi jenom varovani, ale přes tu branu se bez certifikatu, kteremu veris, nedostanes, vypnout ta kontrola pokud vim nejde.

Děkuji za odpověď, dává to smysl. Ohledně brány je to přesně odpověď, kterou jsem potřeboval. Pokud to půjde, chtěl bych se právě těm importům "nedůvěryhodných" certifikátů na počítačích mimo firmu vyhnout, takže zkusím SSL cert. + intermediate cert.  RapidSSL na server a uvidím, jestli mě to z počítačů mimo síť pustí dovnitř.

[Lol Phirae]

takže zkusím SSL cert. + intermediate cert.  RapidSSL na server a uvidím, jestli mě to z počítačů mimo síť pustí dovnitř.

Není jediný důvod k tomuhle používat veřejné CA, v každé normálně spravované Windows doméně je distribuce root CA certifikátů zajištěna přes GPO. Jinak doporučuju začít studium tady: https://technet.microsoft.com/en-us/library/dn781533.aspx

[Tomas K]

takže zkusím SSL cert. + intermediate cert.  RapidSSL na server a uvidím, jestli mě to z počítačů mimo síť pustí dovnitř.

Není jediný důvod k tomuhle používat veřejné CA, v každé normálně spravované Windows doméně je distribuce root CA certifikátů zajištěna přes GPO. Jinak doporučuju začít studium tady: https://technet.microsoft.com/en-us/library/dn781533.aspx

Děkuji, tento postup a spoustu jiných jsem si přečetl, ale můj problém to nevyřešilo.

Jsi si jistý, že je to správný postup pro připojení VP pomocí služby Přístup odkudkoliv/Access anywhere s použitím RWA? Nepředpokládám, že bez veřejného CA se pak budu moci připojit do sítě např. z letištního nebo hotelového počítače?

Pro jistotu znovu uvádím, že řeším připojení RWA, nikoliv RDS. Musím použít právě tuto službu, protože edice Essentials nemá klasický přístup přes VP (nepoužívá CAL), proto nelze použít RDS, tu má jen pro 2 admin přístupy (tam připojení k VP funguje normálně), ale běžní uživatele se mohou připojit jen přes webové rozhraní brány VP - RWA.

Jestli se v tom motám, tak se omlouvám, ale už se tím zabývám několik týdnů, nevyřešil to náš správce sítě, oslovení IT odborníci, nevyřešila to technické podpora Microsoftu, jsem v koncích.