RDS、RDWeb和RemoteApp:如何使用公共证书在会话主机上启动应用程序？

Question

问:我如何告诉RDWeb从remote.domain.com而不是host.internaldomain.local启动应用程序？

环境：

现有的有AD森林的组织。新的单服务器2012，运行会话主机的所有远程桌面服务角色。使用新的2012年向导设置具有角色的"QuickSessionCollection“：

• RD会话主机
• RD连接代理
• RD网关
• RD Web访问
• RD许可

一切都与自我签署的证书有关，但我们要防止这种情况发生。

用户是潜在的非域机器，因此在他们的机器上粘贴私有根证书不是一种选择。解决方案的每个部分都需要使用公共证书。

使用Server向所有角色添加了公共remote.domain.com证书：

• RD连接代理-启用单点登录
• RD连接代理-发布
• RD Web访问
• RD网关

所以现在除了最后一步之外，一切都运行得很好：

1. 用户登录到https://remote.domain.com
2. 用户单击应用程序图标，该图标在后台下载由.rdp签名的remote.domain.com文件。
3. .rdp被设置为使用RD网关，即remote.domain.com
4. .rdp说，app托管在内部host.internaldomain.local上，与remote.domain.com的RDP- TLS证书不匹配，并弹出一个警告。

这是我想修的最后一步。在PowerShell、WMI或.config中是否有一个配置选项可以告诉RDWeb/RemoteApp对所有已发布的应用程序使用remote.domain.com，以便RDP的TLS与会话主机正在使用的配置相匹配？

注意：这个问题涉及这个问题。，以及2008年的这个答案提到了如何修复，但是RemoteApp在2012年并不存在这个GUI，我也找不到它的PowerShell设置。

注意:这是我需要修改的2008 R2设置的屏幕截图。它告诉RemoteApp会话主机服务器名称使用什么。我怎样才能在2012年设定这个数字呢？

Answer 1

这个PowerShell起作用了:告诉会话集合为会话主机连接添加一个备用地址。这也是您要做的会话主机场与圆形知更鸟。

一旦我运行这个程序，从RDWeb启动应用程序就会发出一个单独的提示，这个提示现在可以在没有警告的情况下匹配这三个设置：

• 出版商: remote.domain.com
• 远程计算机: remote.domain.com
• 网关服务器: remote.domain.com

设置-RDSessionCollectionConfiguration-CollectionName QuickSessionCollection -CustomRdpProperty“使用重定向服务器名称:i:1‘n备用完整address:s:remote.domain.com”

根据任何其他自定义RDP属性，上述命令可能不同，因为您必须将它们都包含在一个命令中，在每个命令之间都包含一个linefeed。

背景信息：

添加自定义RDP设置：http://social.technet.microsoft.com/wiki/contents/articles/15719.adding-custom-rdp-properties-in-windows-server-2012-vdi-rds-environments.aspx

将此设置用于HA：http://microsoftplatform.blogspot.com/2012/04/rd-connection-broker-ha-and-rdp.html

Answer 2

我非常肯定，您需要一个对内部和外部命名空间都有效的证书。如果您内部有.local (讨厌)，那么您可能很难在Subject或Subject Alternative Name字段中获得带有.local的证书。如果您无法从公共提供者那里获得证书，那么内部PKI设置是您在这里的唯一选择。

Answer 3

如果您没有UC证书，可以使用此powershell脚本更新FQDN以匹配外部主机名/证书名称：

http://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80