Los certificados de servidor de Escritorio remoto se renuevan dos veces al día a pesar de ser válidos durante un año

  • Artículo

En este artículo se proporciona una solución a un problema en el que los certificados de servidor de Escritorio remoto se renuevan dos veces al día a pesar de ser válidos durante un año.

Se aplica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 2531138

Síntomas

Imagine la siguiente situación:

  • Quiere habilitar un servidor de Escritorio remoto para proporcionar autenticación de servidor mediante un certificado de capa de sockets seguros (SSL).

  • Configure una plantilla de certificado para servidores de Escritorio remoto. Para ello, siga la configuración que se describe en el vínculo siguiente:

    Configuración de certificados de Escritorio remoto

En este escenario, verá que los servidores vuelven a solicitar y volver a inscribir los certificados dos veces al día. Esto ocurre aunque la plantilla de certificado sea válida durante un año. Además, cuando se produce la reinscripción del certificado, algunos eventos se registran en el registro del sistema.

Además, si tiene estos certificados inscritos publicados automáticamente en Active Directory, el tamaño de la base de datos de Active Directory aumentará significativamente debido a la constante reinscripción del certificado. Además, la replicación de Active Directory puede pausar y notificar eventos de advertencia.

Causa

La causa subyacente de este comportamiento está relacionada con el componente RDS y con una falta de coincidencia dentro de la plantilla de certificado. En concreto, si el nombre de plantilla y el nombre para mostrar de la plantilla son diferentes, el servicio RDS no coincide con el certificado existente con la plantilla y el servicio RDS inscribe periódicamente un nuevo certificado.

Solución

Para resolver este problema, debe establecer el nombre para mostrar de la plantilla de certificado y el nombre de plantilla en el mismo valor, como RemoteDesktopComputer. Este procedimiento se sugiere en Seguridad.

A continuación, debe actualizar la configuración de GPO Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Terminal Services\Terminal Server\Security\Server Authentication Certificate Template en función del nuevo nombre de plantilla, como RemoteDesktopComputer. Una vez que el servidor recibe la nueva configuración de GPO durante el procesamiento del GPO en segundo plano, los certificados ya no se renuevan dos veces al día.

Importante

Debe establecer los atributos de la plantilla de certificado Nombre para mostrar de plantilla y Nombre de plantilla en el mismo valor.