RDS環境を作成し、クライアントPCでremote appのrdpファイルをダウンロードしてきて実行しようとすると、
以下のような警告のポップアップが出てしまいます。
「このリモート接続の発行元を識別できません。接続しますか?」
このポップアップを正規の手順で表示させないようにする方法はないのでしょうか?
(「このコンピュータへの接続については今後確認しない」のチェックを入れれば良いのですが)
レジュメ
環境・前提条件
- Windows Server 2016 でRDS環境(接続ブローカー、RD Webアクセス、セッションホスト)
へクライアントPCからアクセスした場合になります。
今回は、クライアントPC代わりとしてドメイン不参加のWindows Server 2016を使用しました。
結論、クライアント側のグループポリシーに「信頼済みの.rdp発行元を表す証明書のSHA1拇印を指定する」
RDSの構成を調べていると、時々「拇印」というキーワードが出てきます。
それがごれだったんですね。
サーバー側の拇印を、クライアント側のグループポリシーに登録します。
サーバー側の拇印を知る方法
rdpファイルでサーバーに接続する時に、クライアント側に「証明書の表示」が出る場合は、そこからRDPに使用されている証明書を確認します。
RDSサーバー側の署名を開きます。
サーバー証明書の「詳細」タブの、「拇印」フィードを確認し、拇印の値をコピーします。
クライアント側(リモートデスクトップ接続する側)のグループポリシーに拇印を登録する方法
クライアント側のグループポリシーの
「ローカルポリシー」-「コンピュータの構成」-「管理用テンプレート」-「Windowsコンポーネント」-「リモートデスクトップサービス」-「リモートデスクトップ接続のクライアント」
にある、「信頼済みの.rpd発行元を示す証明書のSHA1拇印を指定する」を選択し
「有効」にし、先ほどRDSサーバーから入手した拇印をスペース無しで入力し「OK」ボタンを押します。
これで、不明な発行元のRDPファイルではなく、信頼済の発行元となり、ポップアップが出なくなります。
もう一つの方法。クライアント側で「不明な発行元からの.rpdファイルを許可する」
もう一つの方法としては、クライアント側のグループポリシーの設定で、
「ローカルポリシー」-「コンピュータの構成」-「管理用テンプレート」-「Windowsコンポーネント」-「リモートデスクトップサービス」-「リモートデスクトップ接続のクライアント」
にある、「不明な発行元からの.rpdファイルを許可する」を「有効」にすることでもポップアップを非表示にすることが可能です。
しかし、この場合はすべてのRDSサーバーに対して、不明な発行元を無視しますので、本来でいえば、ざっくりした方法となってしまいますね。
質問内容は「このリモート接続の発行元を識別できません。接続しますか?」
証明書の表示ボタンなし
対応方法は「このリモート コンピューターの ID を識別できません。接続しますか?」
証明書の表示ボタンあり
質問と結論が別の問題になってません?
>とおりすがりさん
こちらの二個の警告は連動している認識です(微妙に違うかもですが、無くしたいのはすべての警告を無くしたい目的だと思っています)。
発行元も、IDも、IDを信頼済みにしてしまえば解決してしまうという話です。
前提としてrdpsignで署名しておくことが必要。
https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/rdpsign
かつこの記事の手順を踏むと警告なしでパスワード入力画面まで進めることができる。
>ちあきさん
こちらは知りませんでした。こういのがあるんですね。
多分、RDS構成ではデフォルトでURLの物が実行されたrdpファイルなんだと理解しました。