Les certificats de serveur Bureau à distance sont renouvelés deux fois par jour, bien qu’ils soient valides pendant un an
Cet article fournit une solution à un problème où les certificats de serveur Bureau à distance sont renouvelés deux fois par jour, bien qu’ils soient valides pendant un an.
Produits concernés : Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 2531138
Symptômes
Prenons l’exemple du scénario suivant :
Vous souhaitez autoriser un serveur Bureau à distance à fournir l’authentification du serveur à l’aide d’un certificat SSL (Secure Sockets Layer).
Vous configurez un modèle de certificat pour les serveurs Bureau à distance. Pour ce faire, suivez les paramètres décrits dans le lien suivant :
Dans ce scénario, vous constatez que les serveurs demandent et réinscrient les certificats deux fois par jour. Cela se produit même si le modèle de certificat est valide pendant un an. En outre, lorsque la réinscription du certificat se produit, certains événements sont enregistrés dans le journal système.
En outre, si ces certificats inscrits sont automatiquement publiés sur Active Directory, la taille de la base de données Active Directory augmente considérablement en raison de la réinscription constante du certificat. De plus, la réplication Active Directory peut suspendre et signaler des événements d’avertissement.
Cause
La cause sous-jacente de ce comportement est liée au composant RDS et à une incompatibilité dans le modèle de certificat. Plus précisément, si le nom du modèle et le nom complet du modèle sont différents, le service RDS ne correspond pas au certificat existant au modèle, et le service RDS inscrit régulièrement un nouveau certificat.
Résolution
Pour résoudre ce problème, vous devez définir le nom d’affichage et le nom du modèle d’attribut du modèle de certificat sur la même valeur, par exemple RemoteDesktopComputer. Cette procédure est suggérée dans Sécurité.
Ensuite, vous devez mettre à jour le paramètre GPO Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Terminal\Terminal Server\Sécurité\Modèle de certificat d’authentification du serveur en fonction du nouveau nom de modèle, tel que RemoteDesktopComputer. Une fois que le serveur a reçu le nouveau paramètre d’objet de stratégie de groupe pendant le traitement du redécoupage de l’objet de stratégie de groupe en arrière-plan, les certificats ne sont plus renouvelés deux fois par jour.
Importante
Vous devez définir les attributs du modèle de certificat Nom d’affichage du modèle et Nom du modèle sur la même valeur.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour