I certificati del server Desktop remoto vengono rinnovati due volte al giorno nonostante siano validi per un anno

  • Articolo

Questo articolo fornisce una soluzione a un problema per cui i certificati del server Desktop remoto vengono rinnovati due volte al giorno nonostante siano validi per un anno.

Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 2531138

Sintomi

Considerare lo scenario descritto di seguito:

  • Si vuole abilitare un server Desktop remoto per fornire l'autenticazione del server usando un certificato SSL (Secure Sockets Layer).

  • Si configura un modello di certificato per i server Desktop remoto. A tale scopo, seguire le impostazioni descritte nel collegamento seguente:

    Configurazione dei certificati desktop remoto

In questo scenario si scopre che i server richiedono di nuovo e riregistrano i certificati due volte al giorno. Ciò si verifica anche se il modello di certificato è valido per un anno. Inoltre, quando si verifica la registrazione di nuovo del certificato, alcuni eventi vengono registrati nel log di sistema.

Inoltre, se questi certificati registrati vengono pubblicati automaticamente in Active Directory, le dimensioni del database di Active Directory aumenteranno in modo significativo a causa della costante riregistrazione del certificato. Inoltre, la replica di Active Directory può sospendere e segnalare gli eventi di avviso.

Causa

La causa sottostante di questo comportamento è correlata al componente RDS e a una mancata corrispondenza all'interno del modello di certificato. In particolare, se il nome del modello e il nome visualizzato del modello sono diversi, il servizio Servizi Desktop remoto non corrisponde al certificato esistente al modello e il servizio Servizi Desktop remoto registra periodicamente un nuovo certificato.

Risoluzione

Per risolvere questo problema, è necessario impostare il nome visualizzato e il nome del modello dell'attributo del modello di certificato sullo stesso valore, ad esempio RemoteDesktopComputer. Questa procedura è consigliata in Sicurezza.

È quindi necessario aggiornare l'impostazione dell'oggetto Criteri di gruppo Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi terminal\Terminal Server\Sicurezza\Modello di certificato di autenticazione server in base al nuovo nome del modello, ad esempio RemoteDesktopComputer. Dopo che il server riceve la nuova impostazione dell'oggetto Criteri di gruppo durante l'elaborazione del ridisegno dell'oggetto Criteri di gruppo in background, i certificati non vengono più rinnovati due volte al giorno.

Importante

È necessario impostare gli attributi del modello di certificato Nome visualizzato modello e Nome modello sullo stesso valore.