gro*_*wse 7 remote-desktop windows-server-2008-r2 crl
我有大约 30 个 Windows 2008 R2 服务器作为域的成员,并且正在尝试正确配置证书部分,以便远程桌面访问这些服务器。
问题是需要连接到这些服务器的客户端不在域中。客户端与所有域计算机位于同一内部网络上。
到目前为止,我已经完成了以下工作:
这似乎有效,因为每个服务器都经历了自动注册过程。
问题是,当我与 RDP 客户端连接时,我收到一个证书警告,说明:
A revocation check could not be performed for the certificate
查看证书详细信息,我可以看到它是机器的正确证书,并且已由我安装并信任的 CA 根签名。在CRL Distribution Points对证书状态条目:
URL=ldap:///CN=domain-ad-CA,CN=host,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=example,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=domain-ad-CA,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=thomsonreuters,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint)
根 CA 证书没有列出 CRL 位置。
猜测是,客户端尝试联系 LDAP url 并失败,但不清楚为什么会这样。如何让客户端执行吊销检查?
哦,我知道为什么。对于未加入域的计算机,这种情况也发生在我们身上(这就是我删除 RDP 证书的原因)。
如果匿名用户无法查询您的 LDAP,或者无权查看该特定位置,则未加入域的计算机将无法访问该位置以获取 CRL,因此将无法执行撤销检查。(当然,假设该位置并非由于其他原因而无法访问,例如不存在。)
| 归档时间: |
|
| 查看次数: |
6387 次 |
| 最近记录: |