Archiv podle štítků: Windows Server 2008 R2

RDP – A revocation check could not be performed for the certificate

Vložil v 31.8.2011 Žádné komentáře

Věčný problém a neustálé zapomínání a znovuobjevování již objeveného a zapomenutého :) Takže po pořade. K funkčnímu RDS na W2K8 R2 je nutné míti fungující CRL (Certificate Revocation List). Pokud máte CA od Microsoftu, zapnutí a vypublikování nebude nic těžkého:

  1. V konzoli CA – ve vlastnostech CA je záložka Extensions
  2. Tady jsou již předem předefinované umístění CRL
  3. Přidáme novou HTTP lokaci:
    např. image
  4. Provedeme restart CA.

Důležitá fáze: pokud CRL publikujeme na webovém serveru IIS7, tak se nám bude zdát, že vše bezvadně funguje. Problém ale nastává v publikaci Delta CRL, Delta CRL má defaultně v názvu souboru znaménko + :(
Potřebujeme tedy provést malou úpravu IIS7 (CERT je název naší WEB SITE).

appcmd set config „Default Web Site/CERT“ -section:system.webServer/security/requestFiltering -allowDoubleEscaping:true

Test funkční publikace CRL:

certutil -URL http://test.local/CERT/DC01.test.local_test-DC01-CA.crt

image

Po kliknutí na Retrieve, by jsme měli vidět že Base CRL i Delta CRL jsou OK.

Teďka je na čase vygenerovat certifikát pro ověřování RDP. To zvládneme i bez návodu :)

EventID 4105 Terminal Server Windows Server 2008 R2

Vložil v 1.7.2010 Žádné komentáře

Po nainstalování terminal services v Windows Server 2008 R2 se na licencnim serveru (2008 R2) oběvuje chyba 4105.

The Remote Desktop license server cannot update the license attributes for user „berchin“ in the Active Directory Domain „xxxx.xx“. Ensure that the computer account for the license server is a member of Terminal Server License Servers group in Active Directory domain „xxx.xx“.
If the license server is installed on a domain controller, the Network Service account also needs to be a member of the Terminal Server License Servers group.
If the license server is installed on a domain controller, after you have added the appropriate accounts to the Terminal Server License Servers group, you must restart the Remote Desktop Licensing service to track or report the usage of RDS Per User CALs.
Win32 error code: 0×80070005

I když všechny podmínky splníte chyba se bude opakovat. Našel jsem na internetu script jak toto chování opravit.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

# Description: This script will add missing permissions for the Terminal
#Server License Server group to user objects in Active Directory.
# This may solve problems with TS CALs not beeing issued and event id
#4105 being logged at the license server.
 
# Constants
$URL = "LDAP://DC=mydomain,DC=com";
 
cls
$root = New-Object DirectoryServices.DirectoryEntry $URL
$ds = New-Object DirectoryServices.DirectorySearcher
$ds.SearchRoot = $root
$ds.filter = "objectCategory=Person"
$src = $ds.findall()
write-host "Found" $src.count "user objects.`n"
$src | %{
$de = $_.getdirectoryentry()
$accessrules = $de.get_objectsecurity().getaccessrules($true, $false,[System.Security.Principal.SecurityIdentifier]) | ?{$_.ObjectType -eq "5805bc62-bdc9-4428-a5e2-856a0f4c185e"}
if ((measure-object -inputobject $accessrules).count -eq 0)
  {
    $ar = new-object System.DirectoryServices.ActiveDirectoryAccessRule([System.Security.Principal.SecurityIdentifier]"S-1-5-32-561", 48, "Allow", [guid]"5805bc62-bdc9-4428-a5e2-856a0f4c185e")
    $de.get_objectsecurity().addaccessrule($ar)
    $de.commitchanges()
    write-host -f yellow ("Added:`t" + $de.properties["sAMAccountName"])
    start-sleep -m 200
  }
else
  {
    write-host -f green ("OK:`t" + $de.properties["sAMAccountName"])
  }
}

Zdroj:

http://glazenbakje.wordpress.com/2010/06/21/after-installing-a-terminal-server-in-windows-server-2008-r2-domain-event-id-4105/

Better Tag Cloud