Bonjour
 
J'ai une machine en 2008R2 qui a le role de server TS, nomée TS1.domaine.lan
J'ai monté une passerelle TS, pris un certificat SSL pour ma passerelle, All Right, tout fonctionne.
 
Je souhaite que pour mes clients extérieurs ne voient pas le nom de ma machine TS1.domaine.lan, mais voient plutot un Acces.domaine.com
 
J'ai généré par mon autorité de certification interne un certificat contenant comme CN "Acces.domaine.com", j'ai mis un SAN TS1.domaine.lan, pas sur que le SAN serve, mais bon, dans le doute.
 
Quand mes utilisateurs distants se connectent à mes appli diffusées, j'ai une alerte : "machine demandée : Acces.domaine.com", le certificat de la machine indique "TS1.domaine.lan".
 
J'ai ouvert une MMC sur les certificats machines, rubrique Remote desktop, là où j'ai placé mon certificat.
J'ai beau supprimer le certificat d'origine, il se recrée dès le lancement des services RD, et c'est lui là qui est utilisé, donc j'ai mon alerte.  
Vous savez comment je peux gérer ca ?

définir le bon certificat dans la console RDS Host config

Humm, j'ai pas accès au serveur en question là, mais dans la console où je configure mon bureau à distance, j'ai défini les paramètres de passerelle TS pour ce serveur TS, les programmes que mettais à dispo, créé mes rdp pour ces programmes, etc... Et configuré quel certificat je voulais pour authentifier mon serveur. J'ai bien sur choisi le bon certificat.

Ca se passait en effet là où je ne cherchais pas
 
Toutefois, j'ai encore une erreur :  
le certificat, ou sa chaîne associée, n'est pas valide (code : 0x10000).
 
J'affiche le certificat :
Onglet Général : "Windows ne dispone pas des informations suffisantes pour vérifier ce certificat."
Onglet Chemin d'accès de certification : "Impossible de trouver l'emetteur de ce certificat".
 
ben oué, tu parles d'une blague, je l'ai fais créer par mon autorité de certification interne.
 
J'ai betement cru que puisque ma passerelle possédait un vrai certificat SSL, le certificat du TS pouvait etre connu de seulement mon domaine, et que ca allait rouler.
 
C'est quoi la solution là ? Je dois quand meme pas acheter un certificat par serveur TS qui ca héberger une appli ? :s
 
(oui, je peux aussi faire installer mon certif chez mes users, distant, et on en parlera plus...)

Si tu veux ne pas avoir d'avertissement depuis l'extérieur toute la chaine de certificat doit être valide. Il faut acheté un certificat d'une autorité de confiance reconnue

Ta passerelle ne fait que l'encapsulation SSL, après tu as le NLA qui entre en jeu et tu valides la validité du serveur TS, soit par certificat soit via kerberos mais de l'extérieur tu as que via certificat (et en plus tes machines doivent être hors domaine) donc certificat obligatoire. Pareil si ton RD Web est sur l'extérieur.
 
Après niveau licence je sais plus comment ça se passe si tu donnes l'accès à des machines externes.

Oh ben j'imagine que je dois posséder une CAL par user, ca me semblerait cohérent.
Donc, un certificat par serveur
ok, merci