Os certificados do servidor da Área de Trabalho Remota são renovados duas vezes por dia, apesar de serem válidos por um ano

  • Artigo

Este artigo fornece uma solução para um problema em que os certificados do servidor de Área de Trabalho Remota são renovados duas vezes por dia, apesar de serem válidos por um ano.

Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 2531138

Sintomas

Considere o seguinte cenário:

  • Você deseja habilitar um servidor de Área de Trabalho Remota para fornecer autenticação de servidor usando um certificado SSL (Secure Sockets Layer).

  • Você configura um modelo de certificado para servidores de Área de Trabalho Remota. Para fazer isso, siga as configurações descritas no seguinte link:

    Configurando certificados de Área de Trabalho Remota

Nesse cenário, você descobre que os servidores estão solicitando novamente e registrando novamente os certificados duas vezes por dia. Isso ocorre mesmo que o modelo de certificado seja válido por um ano. Além disso, quando ocorre o novo registro do certificado, alguns eventos são registrados no log do Sistema.

Além disso, se você tiver esses certificados registrados automaticamente publicados no Active Directory, o tamanho do banco de dados do Active Directory aumentará significativamente devido ao constante re-registro do certificado. E a replicação do Active Directory pode pausar e relatar eventos de aviso.

Motivo

A causa subjacente desse comportamento está relacionada ao componente RDS e a uma incompatibilidade no modelo de certificado. Especificamente, se o nome do modelo e o nome de exibição do modelo forem diferentes, o serviço RDS não corresponderá o certificado existente ao modelo e o serviço RDS registrará periodicamente um novo certificado.

Resolução

Para resolve esse problema, você deve definir o nome e o nome do modelo do atributo de certificado como o mesmo valor, como RemoteDesktopComputer. Esse procedimento é sugerido em Segurança.

Em seguida, você deve atualizar a configuração de GPO Computer Configuration\Policies\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Security\Server Authentication Certificate Template com base no novo nome do modelo, como RemoteDesktopComputer. Depois que o servidor recebe a nova configuração de GPO durante o processamento do redraw gpo em segundo plano, os certificados não são mais renovados duas vezes por dia.

Importante

Você deve definir os atributos do modelo de certificado Nome de Exibição de Modelo e Nome do Modelo como o mesmo valor.