RDP6

Hm.. Miesiac prawie minal odkad cos tu napisalem, no ale lepiej póżno niż wcale. Przez owy miesiac zmienil sie layout na worldpressie i nie dosc ze sie gubie to durny system nonstop przelacza mi jezyk klawiatury z PL na EN-GB i skutecznie uniemozliwia mi pisanie takich znaków jak  a i e z haczykami wiec bedzie bez. Rozwikłam ten problem może póżniej. A nóż ktoś trafnie skomentuje moja zapewne karygodna wiedze w kwesti ustawien regionalnych workstacji.. ;) Domyślna czcionka też widze sie zmieniła. Zobaczymy co to będzie jak będę chciał te wypociny opublikować…

Cała ta historia dotyczy tylko sytuacji, w której kogoś obchodzą certyfikaty w RDP, wiec jesli ktos sie tym nie interesuje to nie ma nic do czytania ;) Dziś na szybko troche o RDP6 i certyfikatach w srodowiskach NLB oraz o  takim małym narzdzedziu o nazwie RDPsign dostepnym natywnie pod W2k8 i co ciekawe wogóle nie działajacym pod Vista po próbie skopiowania samego tylko rdpsign.exe. Ale do rzeczy, jakis prawie miesiac robie sobie przedbiegi z wdrozeniem w firmie środowiska terminalowego opartego w całości na W2k8, a które działa obecznie pod uwaga NT4 i Citrixem chyba 3.coś.  Przy okazji może kogoś zainteresuje ten dokument całkiem krótko i treściwie (z wykresami które powinny przemówić do zarzadu) omawiajacy wydajność RDP6.  Same w sobie terminale chodza jak trzeba gorzej sprawa sie ma z okazujacymi sie nie do przeskoczenia przez usera ostrzezeniami przy próbie połaczenia.  Zwłaszcza gdy user łaczy sie do IP/FQDN-a klastra, który ma kilka wezłów. I tu powstaje nam szereg problemów, co prawda nie uniemożliwajacych funkcjonowanie całego srodowiska, a nieco upierdliwych dla usera i helpdesku. Otóż każdy serwer terminali miał na poczatku w założeniu mieć swój certyfikat komputera, to oczywiście nie przeszło.  Trzeba było wygenerować taki sam generic certyfikat dla kazdego wezla no bo jak user laczy sie z klastrem to w sumie nie wiadomo gdzie go ten NLB czy SessionBroker wrzuci, istnieje spora szansa, że jeśli w connectorze .rdp który dostarczamy userowi w zakladce Advanced ustawimy sobie tak:

To user sie wogóle nie połaczy i zacznie wydzwaniac i marudzić. Tu warto pamietac, ze owy cert mozemy wygnerowac posiadajac tylko CA zainstalowane na W2k3/8 Enterprise. Pechowo wersja Standard sie nie nada. Taki Generic cert rozwiazuje nam ten problem. Rzecz jasna to nie wszystko, user przy probie uruchomienia samego connectora .rdp może napotkać jeszcze taki problem:

No to już jest do przejścia o ile user jest kumanty. W UK na 100% bedzie dzwonil do helpdesku i pytal co tera. (Coż, można powiedzieć, że dba o Security ale to nie to.. :)  Cały problem tu rozchodzi sie o to, że mimo ze sami zrobiliśmy tego connectora .rdp to i tak jest nieznany, trzeba by to jakoś podpisać. I tu z pomoca przychodzi narzedzie RDPsign. Szybkie rdpsign /? demonstruje moc owego narzedzia:

rdpsign [options] [items to sign]

OPTIONS

/sha1 HASH
Specified the SHA1 hash of the signing certificate.
/q
Quite mode:  No output when success, minimal output when failed.
/v
Verbose mode:  Display all warnings, messages, and status.
/l
Test signing and output results without actually replacing any of the inputs.
Ignores when input files are on stdin.

Majac juz odpowiedni certyfikat pobieramy sobie thumbprinta (Najprosciej przez mmc -> przystakwa certy komputera -> wlasciwosci certu i kopiujemy thumbprinta) Potem wywalamy z niego spacje i:

rdpsign /sha1 thumbprint_bez_spacji c:\connector.rdp

Jak wszystko pójdzie dobrze powinno być info, ze sie udało, jeśli nie, znaczy, że wybraliśmy nie nieodpowiedni certyfikat. Teraz, user przy okienku połaczenia zauwazy cos takiego. Jesli wykorzystamy odpowiedni custom certyfikat i w polu Publisher user zobaczy nazwe firmy, to już powinien to wytrzymać i nie dzwonić co tu poczac.

Po tak przygotowanym srodowisku, nie dosc, że user poradzi sobie z połaczeniem, i bedzie jeszcze miał magiczna kłódeczke w pasku połaczenia to w przypadku gdy ktoś jakimś sposobem zmieni nam trase do serwerów RDP i podstawi swoje serwery w celu wyłapywania haseł userow to user najprawdopodobniej przed połaczeniem zadzwoni z seria pytan bo zobaczy groźnie, bo zółto wygladajace okienko, którego nigdy wczesniej nie widział i być może uda sie nam zapobiec ‚wyhaczeniu’ naszej firmy ;)