某些用户的RDWeb TS连接中断，并发布RemoteApp证书更改

Question

最近，我们用GoDaddy签名算法重新颁发了GoDaddy通配符证书(FYI他们仍然在72小时内撤销旧的证书，即使你不重新密钥它，所以无论如何你应该重新密钥)。我们将此证书用于我们的RemoteApps、终端服务器的RDP、RDGateway和RDWeb (IIS)。

当我更改为给定终端服务器(AKA会话主机服务器)上的"RemoteApp管理器“->”数字签名设置“中的新通配符证书时，某些用户在该终端服务器上发布的应用程序的RDWeb连接会失败，但使用.rdp文件的连接对所有用户都能正常工作。此外，这是我所见过的最奇怪的事情，错误的用户被记录为在网关被拒绝访问。如果我将证书更改为此设置的旧的、已撤销的证书，则一切正常。

工作装置：

• 所有Windows2008 R2数据中心服务器
• RDGateway+RDWeb - rdsgateway.contoso.com (为IIS和rdgateway安装的新通配符证书)
• TS - ts1.contoso.com (仅为RDP安装的新通配符证书，为RemoteAPP安装的旧证书)

非工作装置：

• 所有Windows2008 R2数据中心服务器
• RDGateway+RDWeb - rdsgateway.contoso.com (为IIS和rdgateway安装的新通配符证书)
• TS - ts1.contoso.com (为RDP安装了新通配符证书，为RemoteAPP安装了新证书)

当使用用户"CONTOSO\bob“从RDWeb启动时，将生成以下错误：

远程桌面无法连接到远程计算机"ts1.contoso.com“，原因之一是: 1)您的用户帐户未列在RD网关的权限列表2)您可能已指定远程计算机的NetBIOS格式.

当我查看事件日志"Microsoft-Windows-TerminalServices-Gateway/Operational“时，会看到以下错误：

客户端计算机"123.123.123.123“上的用户"CONTOSO\alice"__不符合资源授权策略要求，因此没有被授权为资源"ts1.contoso.com”。发生以下错误："23002“。

怎么一回事？为什么更改RemoteApp的签名证书会导致网关认为这是一个不同的用户连接？

Answer 1

在遇到同样的问题后发现此页面。对我们来说，解决方案是在防火墙上添加端口3389到回送(又名Hairpin NAT)。

其他一些细节：

更换证书要比第一次安装它要复杂得多，但我认为我们做得对，而且应用程序在一两天内运行良好。用户在启动时就会出现错误，我们在这里使用powershell脚本https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80重新发布服务器的FQDN。

我认为这个脚本一定是在配置的一部分中设置了FQDN，这是以前从未指定过的，从而导致RD网关通过其FQDN引用自己来传递请求。这些请求失败了，因为我们的边缘防火墙只允许80和443的传入和回送请求。

将端口3389添加到防火墙上的回送规则，立即解决了这个问题。