リモート デスクトップ サーバー証明書は、1 年間有効であるにもかかわらず、1 日に 2 回更新されます

この記事では、1 年間有効であるにもかかわらず、リモート デスクトップ サーバー証明書が 1 日に 2 回更新される問題の解決策について説明します。

適用対象: Windows 7、Windows Server 1、Windows Server 2012 R2
元の KB 番号: 2531138

現象

次のような状況で問題が発生します。

• リモート デスクトップ サーバーで、Secure Sockets Layer (SSL) 証明書を使用してサーバー認証を提供できるようにする必要があります。

• リモート デスクトップ サーバーの証明書テンプレートを構成します。 これを行うには、次のリンクで説明されている設定に従います。

  リモート デスクトップ証明書の構成

このシナリオでは、サーバーが証明書を毎日 2 回要求し、再登録していることがわかります。 これは、証明書テンプレートが 1 年間有効であっても発生します。 さらに、証明書の再登録が行われると、一部のイベントがシステム ログに記録されます。

さらに、これらの登録済み証明書が Active Directory に自動的に発行されている場合は、証明書の再登録が一定であるため、Active Directory データベースのサイズが大幅に増加します。 また、Active Directory レプリケーションは一時停止し、警告イベントを報告する場合があります。

原因

この動作の根本的な原因は、RDS コンポーネントと証明書テンプレート内の不一致に関連しています。 具体的には、テンプレート名とテンプレートの表示名が異なる場合、RDS サービスは既存の証明書をテンプレートと一致せず、RDS サービスは定期的に新しい証明書を登録します。

解決方法

この問題を解決するには、証明書テンプレートの属性のテンプレート表示名とテンプレート名を、RemoteDesktopComputer などの同じ値に設定する必要があります。 この手順は、「 セキュリティ」で推奨されます。

次に、新しいテンプレート名 (RemoteDesktopComputer など) に基づいて、GPO 設定 [コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[ターミナル サービス]、[ターミナル サーバー]、[セキュリティ]、[サーバー認証証明書テンプレート] の順に更新する必要があります。 バックグラウンド GPO の再描画処理中にサーバーが新しい GPO 設定を受け取った後、証明書は 1 日に 2 回更新されなくなります。