1 декабря 2011 г.

Особенности использования RemoteAPP и сертификатов

Немного предыстории. В этом году делали решение по удаленному доступу к приложениям. Основа сделана на базе двух лезвий IBM HS22 для Blade Center H, куда были установлены Microsoft Hyper-V Server с высокой доступностью. Само же решение, базируется на Microsoft Remote Desktop Services (Windows Server 2008 R2). Для развертывания последнего использовались несколько серверов, на одном был установлен Remote Desktop Connection Brocker, Remote Desktop Licensing и Web Access, еще на одном был установлен Remote Desktop Gateway, еще один был задействован как член фермы Remote Desktop Session Host. Подразумевается, что в будущем в ферме будет несколько серверов. Плюс ко всему, все это публикуется наружу с помощью существующего сервера с установленной ISA 2006

Т.к. подразумевалось, что к некоторым приложениям доступ будет и “снаружи” , причем не только с доменных компьютеров, то захотелось все это сделать с “правильными” сертификатами. Тем более, что сертификат у нас уже был куплен.

Есть такая интересная израильская контора StartSSL. У них можно вполне за вменяемые деньги получить честные сертификаты, причем оплата идет не за их количество, а за количество подтвержденных данных. Т.о., за $120 можно получить их много.

В общем, все настроили и все вроде как заработало. Но, при запуске в продакшен, столкнулись с интересной проблемой. Регулярно, пользователи, при попытке запуска приложения, получали ошибку: This computer can’t connect to the remote computer.

RemoteAPP disconnected

Самое интересное состоит в том, что найти следы этой ошибки не удалось ни на клиенте, ни на серверах, имеющих отношение к Remote Desktop! И если бы это было стабильно, но нет же – то запускается, то нет и системы в этом никакой. И чего мы только не пробовали :-)

Ну а в конце концов, посетила меня мысль, что это может быть как-то связано с сертификатом. Когда-то, уже была проблема с установкой SP или кумулятивных обновлений на MS Exchange 2007. Если в процессе установки/запуска не получалось проверить сертификаты, то сервис просто не запускался. В общем, моя догадка оказалось верной, что и подтвердила трассировка. Для решения проблемы оказалось достаточно открыть доступ к серверам startssl:

www.startssl.com 192.116.242.20
DNS3.startcom.org 70.167.227.245
shalom.startcom.org 192.116.242.24

Кстати, нашел интересную страницу с распространенными ошибками, связанными с Remote Desktop - Common WS08 R2 Remote Desktop Services Error Messages

Комментариев нет:

Отправить комментарий