Questo oggetto consente di monitorare l'autenticazione e la crittografia di Servizi Desktop remoto.
Riepilogo
TLS (Transport Layer Security) 1.0 consente di aumentare la sicurezza delle sessioni per mezzo dell'autenticazione utente e della crittografia delle comunicazioni del server Host sessione Desktop remoto. Affinché i client possano eseguire connessioni remote e per garantire che TLS fornisca la sicurezza avanzata è necessario configurare correttamente il server Host sessione Desktop remoto e il computer client. Ad esempio, quando si utilizza SSL (TLS 1.0) per proteggere la comunicazione tra un client e un server Host sessione Desktop remoto durante le connessioni RDP (Remote Desktop Protocol), è necessario un certificato per autenticare il server Host sessione Desktop remoto.
Soluzioni
Per risolvere questo problema, controllare l’ID evento, quindi visualizzare le informazioni di risoluzione dei problemi per l’evento nelle sezioni che seguono.
Procedura di risoluzione degli ID evento indicati di seguito: 1054
Per risolvere questo problema, effettuare le operazioni seguenti:
Verificare che il certificato configurato per l'utilizzo nel server Host sessione Desktop remoto per TLS 1.0 (SSL) non disponga del valore di utilizzo chiavi avanzato (EKU) corretto. Il certificato deve disporre di un EKU di Autenticazione server (1.3.6.1.5.5.7.3.1) o non avere EKU.
Se il certificato non soddisfa questi requisiti, installare sul server Host sessione Desktop remoto un certificato alternativo che soddisfi questi requisiti, quindi configurare il server Host sessione Desktop remoto affinché utilizzi questo certificato per TLS 1.0 (SSL).
Per informazioni sui requisiti del certificato, vedere la sezione "Requisiti del certificato" più avanti in questo argomento.
Per eseguire queste procedure, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Verificare che il certificato configurato per l'utilizzo nel server Host sessione Desktop remoto per TLS 1.0 (SSL) non disponga del valore EKU corretto
Per verificare che il certificato non disponga del valore EKU corretto:
1. Aprire Configurazione host sessione Desktop remoto. Per aprire Configurazione host sessione Desktop remoto, fare clic su Start, selezionare Strumenti di amministrazione, selezionare Servizi Desktop remoto, quindi fare clic su Configurazione host sessione Desktop remoto.
2. Nel riquadro dei dettagli, in Connessioni, fare clic con il pulsante destro del mouse sulla connessione (ad esempio, RDP-tcp), quindi fare clic su Proprietà.
3.Nella scheda Generale, fare clic su Seleziona.
4. Nella finestra di dialogo Selezione certificato , esaminare il certificato selezionato, quindi fare clic su Visualizza certificato.
5. Nella finestra di dialogo Certificato fare clic su Dettagli, quindi controllare il valore EKU. Il certificato deve disporre di un EKU di Autenticazione server (1.3.6.1.5.5.7.3.1) o non avere EKU. Se il certificato non dispone di uno di questi valori, è necessario specificare un certificato alternativo per il server Host sessione Desktop remoto, come descritto nelle sezioni "Per importare un certificato valido sul server Host sessione Desktop remoto" e "Configurare il server Host sessione Desktop remoto per l'utilizzo di un certificato per TLS 1.0 (SSL)".
6. Fare clic su OK per chiudere la finestra di dialogo Certificato.
7. Fare clic su OK per chiudere la finestra di dialogo Selezione certificato.
8. Fare clic su OK per chiudere la finestra di dialogo Proprietà per la connessione.
Installare un certificato sul server Host sessione Desktop remoto
Importante: è consigliabile installare solo certificati ottenuti da fonti attendibili. L'installazione di un certificato alterato o non attendibile può compromettere la protezione di qualsiasi componente di sistema che utilizza il certificato installato.
Per installare un certificato sul server Host sessione Desktop remoto:
1. Individuare il certificato che si desidera installare e farvi doppio clic. Il certificato può esistere sul server Host sessione Desktop remoto oppure può trovarsi in una condivisione.
2. Alla eventuale richiesta di conferma dell'apertura del file del certificato, fare clic su Apri.
3. Nella scheda Generale della finestra di dialogo Proprietà certificato fare clic su Installa certificato.
4. Nella pagina di benvenuto dell'Importazione guidata certificati, fare clic su Avanti.
5. Nella pagina Archivio certificati effettuare una delle operazioni seguenti:
6. Se il certificato deve essere collocato automaticamente in un archivio certificati a seconda del tipo di certificato, fare clic su Selezionare automaticamente l'archivio certificati secondo il tipo di certificato.
7. Se si desidera specificare dove archiviare il certificato, selezionare Colloca tutti i certificati nel seguente archivio, quindi fare clic su Sfoglia. In Selezione archivio certificati, selezionare l'archivio certificati da utilizzare, quindi fare clic su OK.
8. Nella pagina Archivio certificati, fare clic su Avanti.
9. Nella pagina Completamento dell'Importazione guidata certificati fare clic su Fine.
Dopo avere installato un certificato, è necessario specificare che deve essere utilizzato dal server Host sessione Desktop remoto, come descritto nella procedura indicata di seguito.
Configurare il server Host sessione Desktop remoto per l'utilizzo di un certificato per TLS 1.0 (SSL)
Si consiglia di utilizzare lo snap-in Configurazione host sessione Desktop remoto per specificare il certificato utilizzato dal server Host sessione Desktop remoto per l'autenticazione e la crittografia del server. Se si utilizza Configurazione host sessione Desktop remoto per tentare di installare un certificato che non soddisfa i requisiti specificati nella sezione "Requisiti del certificato" più avanti in questo argomento, il certificato non viene installato.
Per configurare il server Host sessione Desktop remoto per l'utilizzo di un certificato per TLS 1.0 (SSL):
1. Aprire Configurazione host sessione Desktop remoto. Per aprire Configurazione host sessione Desktop remoto, fare clic su Start, selezionare Strumenti di amministrazione, selezionare Servizi Desktop remoto, quindi fare clic su Configurazione host sessione Desktop remoto.
2. Nel riquadro dei dettagli, in Connessioni, fare clic con il pulsante destro del mouse sulla connessione (ad esempio, RDP-tcp), quindi fare clic su Proprietà.
3.Nella scheda Generale, fare clic su Seleziona.
4. Nella finestra di dialogo Selezione certificato, selezionare il certificato che si desidera utilizzare, quindi fare clic su OK.
Requisiti del certificato
Un certificato utilizzato dal server Host sessione Desktop remoto per l'autenticazione e la crittografia del server deve soddisfare i requisiti indicati di seguito:
Il certificato deve essere un certificato del computer.
Il certificato deve disporre di una chiave privata corrispondente. Il contenitore per la chiave deve essere accessibile dall'account NT AUTHORITY\Servizio di rete.
Il certificato deve disporre di un valore di utilizzo chiavi avanzato (EKU) uguale ad Autenticazione server (1.3.6.1.5.5.7.3.1), oppure non deve disporre del valore EKU.
È necessario impostare il valore di utilizzo chiave seguente per il certificato: CERT_KEY_ENCIPHERMENT_KEY_USAGE.
Il certificato non è scaduto. Si consiglia di impostare la validità del certificato su un anno dalla data di installazione.
Procedura di risoluzione per gli ID evento seguenti: 1055, 1051
Per risolvere questo problema, effettuare le operazioni seguenti:
Installare sul server Host sessione Desktop remoto un certificato che soddisfi i requisiti per un certificato del server Host sessione Desktop remoto. Per informazioni sui requisiti del certificato, vedere la sezione "Requisiti del certificato" più avanti in questo argomento.
Configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL).
Per eseguire queste procedure, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Installare un certificato sul server Host sessione Desktop remoto
Importante: è consigliabile installare solo certificati ottenuti da fonti attendibili. L'installazione di un certificato alterato o non attendibile può compromettere la protezione di qualsiasi componente di sistema che utilizza il certificato installato.
Per installare un certificato sul server Host sessione Desktop remoto:
1. Nel server Host sessione Desktop remoto, individuare e fare doppio clic sul certificato che si desidera installare. Il certificato può esistere sul server Host sessione Desktop remoto oppure può trovarsi in una condivisione.
2. Alla eventuale richiesta di conferma dell'apertura del file del certificato, fare clic su Apri.
3. Nella scheda Generale della finestra di dialogo Proprietà certificato fare clic su Installa certificato.
4. Nella pagina di benvenuto dell'Importazione guidata certificati, fare clic su Avanti.
5. Nella pagina Archivio certificati effettuare una delle operazioni seguenti:
6. Se il certificato deve essere collocato automaticamente in un archivio certificati a seconda del tipo di certificato, fare clic su Selezionare automaticamente l'archivio certificati secondo il tipo di certificato.
7. Se si desidera specificare dove archiviare il certificato, selezionare Colloca tutti i certificati nel seguente archivio, quindi fare clic su Sfoglia. In Selezione archivio certificati, selezionare l'archivio certificati da utilizzare, quindi fare clic su OK.
8. Nella pagina Archivio certificati, fare clic su Avanti.
9. Nella pagina Completamento dell'Importazione guidata certificati fare clic su Fine.
Dopo avere installato un certificato, è necessario specificare che deve essere utilizzato dal server Host sessione Desktop remoto, come descritto nella procedura indicata di seguito.
Configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL)
Si consiglia di utilizzare lo snap-in Configurazione host sessione Desktop remoto per specificare il certificato utilizzato dal server Host sessione Desktop remoto per l'autenticazione e la crittografia del server. Se si utilizza Configurazione host sessione Desktop remoto per tentare di installare un certificato che non soddisfa i requisiti del certificato, il certificato non viene installato.
Per configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL):
1. Aprire Configurazione host sessione Desktop remoto. Per aprire Configurazione host sessione Desktop remoto, fare clic su Start, selezionare Strumenti di amministrazione, selezionare Servizi Desktop remoto, quindi fare clic su Configurazione host sessione Desktop remoto.
2. Nel riquadro dei dettagli, in Connessioni, fare clic con il pulsante destro del mouse sulla connessione (ad esempio, RDP-tcp), quindi fare clic su Proprietà.
3.Nella scheda Generale, fare clic su Seleziona.
4. In Selezione certificato, selezionare il certificato che si desidera utilizzare, quindi fare clic su OK.
Requisiti del certificato
Un certificato utilizzato dal server Host sessione Desktop remoto per l'autenticazione e la crittografia del server deve soddisfare i requisiti indicati di seguito:
Il certificato deve essere un certificato del computer.
Il certificato deve disporre di una chiave privata corrispondente. Il contenitore per la chiave deve essere accessibile dall'account NT AUTHORITY\Servizio di rete.
Il certificato deve disporre di un valore di utilizzo chiavi avanzato (EKU) uguale ad Autenticazione server (1.3.6.1.5.5.7.3.1), oppure non deve disporre del valore EKU.
È necessario impostare il valore di utilizzo chiave seguente per il certificato: CERT_KEY_ENCIPHERMENT_KEY_USAGE.
Il certificato non è scaduto. Si consiglia di impostare la validità del certificato su un anno dalla data di installazione.
Procedura di risoluzione per l'ID evento 1133
Per risolvere questo problema, eliminare il certificato dal server Host sessione Desktop remoto e riavviare il servizio Servizi Desktop remoto.
Per eseguire queste procedure, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Rimuovere un certificato sul server Host sessione Desktop remoto
Per rimuovere un certificato sul server Host sessione Desktop remoto:
1. Aprire lo snap-in Certificati nel server Host sessione Desktop remoto. Per snap-in Certificati, fare clic su Start, selezionare Esegui, digitare mmc, quindi premere INVIO.
2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
4. Selezionare l'opzione Account del computer, quindi fare clic su Avanti.
5. Fare clic su Fine, quindi fare clic su OK.
6. Espandere Certificati, quindi espandere l'archivio certificati contenente il certificato da rimuovere.
7.Fare clic con il pulsante destro del mouse sul certificato, quindi scegliere Elimina.
8. Fare clic su Sì per confermare che si desidera eliminare il certificato.
Dopo avere rimosso il certificato, è necessario riavviare il servizio Servizi Desktop remoto sul server Host sessione Desktop remoto, come descritto nella procedura indicata di seguito.
Riavviare il servizio Servizi Desktop remoto
Per riavviare il servizio Servizi Desktop remoto:
1. Aprire lo snap-in Servizi nel server Host sessione Desktop remoto. Per aprire lo snap-in Servizi, fare clic su Start, selezionare Strumenti di amministrazione, quindi fare clic su Servizi.
2. Se viene visualizzata la finestra di dialogo Controllo dell'account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Sì.
3. Nel riquadro Servizi, fare clic con il pulsante destro del mouse su Servizi Desktop remoto, quindi scegliere Riavvia.
4. Alla eventuale richiesta di riavviare altri servizi fare clic su Sì.
5. Verificare che nella colonna Stato per il servizio Servizi Desktop remoto sia visualizzato Avviato.
Procedura di risoluzione per gli ID evento seguenti: 1058, 1057
Per risolvere questo problema, aumentare la memoria disponibile. Se questa condizione persiste, contattare il supporto tecnico Microsoft. Per informazioni su come contattare il supporto tecnico Microsoft, vedere le opzioni di supporto fornite da Servizi Microsoft ( http://go.microsoft.com/fwlink/?LinkId=52267).
Per aumentare la quantità di memoria disponibile, valutare la possibilità di chiudere alcuni programmi o processi in esecuzione sul server Host sessione Desktop remoto. Utilizzare Gestione attività per individuare i processi che utilizzano più memoria e terminarli.
Per eseguire questa procedura, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Per liberare memoria sul server Host sessione Desktop remoto utilizzando Gestione attività:
1. Nel server Host sessione Desktop remoto, fare clic con il pulsante destro del mouse su un'area vuota della barra delle applicazioni, quindi selezionare Avvia Gestione attività.
2. Fare clic sulla scheda Processi.
3. Verificare che siano visualizzate le colonne Nome utente e Memoria (working set privato). Se non sono visualizzate, fare clic su Seleziona colonne nel menu Visualizza, selezionare le caselle di controllo Nome utente e Memoria (working set privato), quindi fare clic su OK.
4. Nella parte inferiore della scheda, selezionare la casella di controllo Mostra i processi di tutti gli utenti.
5. Per ordinare i processi in base all'utilizzo di memoria, fare clic sull'intestazione della colonna Memoria (working set privato).
6. Valutare la possibilità di terminare qualsiasi processo che richiede un utilizzo intenso della memoria.
7. Per terminare un processo, fare clic sul suo nome, quindi selezionare Termina processo.
8. Fare clic su Termina processo per confermare che si desidera interrompere il processo.
Se non è possibile liberare memoria tramite Gestione attività o se questo problema persiste dopo il tentativo di liberare memoria, riavviare il server Host sessione Desktop remoto.
Procedura di risoluzione per l'ID evento 1062
Per risolvere questo problema, è necessario modificare il modello di certificato utilizzato da Servizi certificati Active Directory come base per i certificati server registrati sui server Host sessione Desktop remoto. È necessario modificare il modello di certificato in modo che il nome soggetto alternativo per il certificato corrisponda al nome DNS del server Host sessione Desktop remoto.
Per eseguire questa procedura, è necessario appartenere al gruppo Enterprise Admins o Domain Admins nel dominio radice della foresta oppure avere ricevuto in delega l'autorità appropriata.
Per configurare il nome alternativo soggetto del certificato in modo che corrisponda al nome DNS del server Host sessione Desktop remoto:
1. In un computer in cui è installato Servizi certificati Active Directory aprire lo snap-in Modelli di certificato. Per aprire lo snap-in Modelli di certificato, fare clic su Start, selezionare Esegui, digitare mmc, quindi premere INVIO.
2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su Modelli di certificato, scegliere Aggiungi, quindi fare clic su OK.
4. Nell'albero della console, fare clic su Modelli di certificato.
5. Nel riquadro dei risultati, fare clic con il pulsante destro del mouse sul modello di certificato utilizzato come base per i certificati registrati nei server, quindi scegliere Proprietà.
6. Assicurarsi che nella scheda Nome soggetto sia selezionata l'opzione Crea in base alle informazioni di Active Directory.
7. In Formato del nome soggetto, fare clic su Nome distinto completo.
8. In Includere le seguenti informazioni nel nome soggetto alternativo, selezionare la casella di controllo Nome DNS.
9. Fare clic su OK per chiudere la finestra di dialogo Proprietà per il modello di certificato.
10. Riavviare il servizio Configurazione Desktop remoto sul server Host sessione Desktop remoto. Per riavviare il servizio Configurazione Desktop remoto, fare clic su Start, scegliere esegui, digitare services.msc, quindi premere INVIO. Nella colonna Nome dello snap-in Servizi fare clic con il pulsante destro del mouse su Configurazione Desktop remoto, quindi fare clic su Riavvia.
11. Se il tentativo di riavviare solo il servizio ha esito negativo, riavviare il computer. Tutti i servizi correlati e dipendenti vengono riavviati.
Procedura di risoluzione per l'ID evento 1064
Questo errore si verifica quando un'Autorità di certificazione ha messo per il server Host sessione Desktop remoto un certificato basato su un modello di certificato specificato in Criteri di gruppo e si è verificata una delle condizioni indicate di seguito:
Il nome del modello di certificato corretto non è specificato in Criteri di gruppo.
Le autorizzazioni per il modello di certificato non consentono al server Host sessione Desktop remoto di registrarsi per questo tipo di certificato.
Il certificato non è valido per l'utilizzo richiesto.
Il modello di certificato non esiste.
I certificati basati sul modello di certificato non vengono rilasciati ai computer.
L'impostazione di Criteri di gruppo Modello di certificato di autenticazione Server consente di immettere il nome del modello di certificato utilizzato per determinare quale certificato viene utilizzato per autenticare il server Host sessione Desktop remoto nel caso si utilizzi la crittografia SSL o TLS 1.0. L'immissione del nome di un modello di certificato consente la selezione automatica del certificato. Dopo l'immissione del nome di un modello di certificato, vengono presi in considerazione i certificati creati sulla base di tale modello e uno dei certificati idonei viene automaticamente selezionato per l'utilizzo.
Il nome del modello di certificato corretto non è specificato in Criteri di gruppo
Per controllare se il nome del modello di certificato corretto è specificato in Criteri di gruppo, utilizzare la Console Gestione Criteri di gruppo (GPMC).
Per eseguire questa procedura, è necessario appartenere al gruppo Domain Admins, Enterprise Admins o Proprietari autori criteri di gruppo oppure avere ricevuto in delega l'autorità appropriata.
Nota: per gestire i Criteri di gruppo in un controller di dominio basato su Windows Server, è necessario per prima cosa aggiungere la funzionalità Console Gestione Criteri di gruppo.
Per verificare se il nome del modello di certificato corretto è specificato in Criteri di gruppo:
1. Avviare la Console Gestione Criteri di gruppo. Per effettuare questa operazione, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Criteri di gruppo.
2. Nel riquadro sinistro, individuare l'unità organizzativa che si desidera modificare.
3. Per modificare un oggetto Criteri di gruppo esistente per l'unità organizzativa, espandere l'unità organizzativa, quindi fare clic sull'oggetto Criteri di gruppo.
4. Nel riquadro destro, fare clic sulla scheda Impostazioni.
5. Nel riquadro sinistro, in Configurazione computer, espandere Modelli amministrativi, Componenti di Windows, Servizi Desktop remoto, Host sessione Desktop remoto, quindi fare clic su Sicurezza.
6. Nell'elenco di impostazioni del riquadro destro fare clic con il pulsante destro del mouse su Modello di certificato di autenticazione Server e scegliere Proprietà.
7. Nella scheda Impostazioni controllare se è selezionata l'opzione Abilitato e se il nome specificato in Nome modello del certificato è corretto, quindi fare clic su OK.
8. Se l'opzione Abilitato non è selezionata, vedere la sezione "Specificare il nome del modello di certificato corretto in Criteri di gruppo".
Le autorizzazioni per il modello di certificato non consentono al server Host sessione Desktop remoto di registrarsi per questo tipo di certificato
Un account computer del server Host sessione Desktop remoto deve disporre di autorizzazioni Registrazione per leggere il modello di certificato appropriato.
Per eseguire questa procedura, è necessario appartenere al gruppo Enterprise Admins o Domain Admins nel dominio radice della foresta oppure avere ricevuto in delega l'autorità appropriata.
Per verificare le autorizzazioni concesse al server Host sessione Desktop remoto nel modello di certificato:
1. In un computer in cui è installato Servizi certificati Active Directory aprire lo snap-in Modelli di certificato. Per aprire lo snap-in Modelli di certificato, fare clic su Start, selezionare Esegui, digitare mmc, quindi premere INVIO.
2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su Modelli di certificato, scegliere Aggiungi, quindi fare clic su OK.
4. Nell'albero della console, fare clic su Modelli di certificato.
5. Nel riquadro dei risultati, fare clic con il pulsante destro del mouse sul modello di certificato utilizzato come base per i certificati registrati nei server, quindi scegliere Proprietà.
6. Nella scheda Sicurezza , in Utenti e gruppi, verificare che nell'elenco sia visualizzato il server Host sessione Desktop remoto (o un gruppo di sicurezza che lo contiene), quindi fare clic su di esso. Dopo aver selezionato il server Host sessione Desktop remoto (o il gruppo di sicurezza che lo contiene), in Autorizzazioni, controllare che la casella di controllo che consente di concedere le autorizzazioni Registrazione sia selezionata, quindi fare clic su OK.
7. Se la casella di controllo per le autorizzazioni Registrazione non è selezionata, vedere la sezione relativa alla concessione di autorizzazioni Registrazione per il modello di certificato nel server Host sessione Desktop remoto.
Il certificato non è valido per l'utilizzo richiesto
Il modello di certificato utilizzato da Servizi certificati Active Directory come base per i certificati server registrati nei server Host sessione Desktop remoto deve disporre di un utilizzo chiavi avanzato (EKU) di Autenticazione server.
Per eseguire questa procedura, è necessario appartenere al gruppo Enterprise Admins o Domain Admins nel dominio radice della foresta oppure avere ricevuto in delega l'autorità appropriata.
Per verificare se l'estensione Utilizzo chiavi di Autenticazione server è specificata nel modello di certificato:
1. In un computer in cui è installato Servizi certificati Active Directory aprire lo snap-in Modelli di certificato. Per aprire lo snap-in Modelli di certificato, fare clic su Start, selezionare Esegui, digitare mmc, quindi premere INVIO.
2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su Modelli di certificato, scegliere Aggiungi, quindi fare clic su OK.
4. Nell'albero della console, fare clic su Modelli di certificato.
5. Nel riquadro dei risultati, fare clic con il pulsante destro del mouse sul modello di certificato utilizzato come base per i certificati registrati nei server, quindi scegliere Proprietà.
6. Nella scheda Estensioni, in Estensioni incluse nel modello, selezionare Utilizzo chiave, quindi fare clic su Modifica.
7. Controllare che sia selezionata l'estensione Utilizzo chiave Autenticazione server, quindi fare clic su OK per chiudere la finestra di dialogo Proprietà per il modello di certificato.
8. Se l'estensione Utilizzo chiave Autenticazione server non è selezionata, vedere la sezione "Aggiungere Utilizzo chiavi avanzato di Autenticazione server al modello di certificato".
Il modello di certificato non esiste
Per eseguire questa procedura, è necessario appartenere al gruppo Enterprise Admins o Domain Admins nel dominio radice della foresta oppure avere ricevuto in delega l'autorità appropriata.
Per verificare se il modello di certificato esiste:
1. In un computer in cui è installato Servizi certificati Active Directory aprire lo snap-in Modelli di certificato. Per aprire lo snap-in Modelli di certificato, fare clic su Start, selezionare Esegui, digitare mmc, quindi premere INVIO.
2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su Modelli di certificato, scegliere Aggiungi, quindi fare clic su OK.
4. Nell'albero della console, fare clic su Modelli di certificato.
5. Nel riquadro dei risultati, individuare nell'elenco dei modelli di certificato il modello di certificato utilizzato come base per i certificati registrati nei server Host sessione Desktop remoto.
6. Se il modello di certificato non è visualizzato, vedere la sezione "Creare un nuovo modello di certificato".
I certificati basati sul modello di certificato non vengono rilasciati ai computer
Per consentire a un'autorità di certificazione di rilasciare certificati in base al modello di certificato, è necessario aggiungere il modello di certificato al contenitore Modelli di certificato nello snap-in Autorità di certificazione.
Per eseguire questa procedura, è necessario appartenere al gruppo Enterprise Admins o Domain Admins nel dominio radice della foresta oppure avere ricevuto in delega l'autorità appropriata.
Per verificare se il modello di certificato è stato aggiunto al contenitore Modelli di certificato nello snap-in Autorità di certificazione:
1. In un computer in cui è installato Servizi certificati Active Directory, fare clic su Start, selezionare Esegui, digitare mmc, quindi premere INVIO.
2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su Autorità di certificazione, scegliere Aggiungi, quindi fare clic su OK.
4. Selezionare l'Autorità di certificazione che si desidera gestire, quindi fare clic su Fine.
5. Espandere Modelli di certificato e controllare se il modello di certificato appropriato è visualizzato nell'elenco. Il nome del certificato deve corrispondere al nome specificato nell'impostazione di Criteri di gruppo Modello di certificato di autenticazione Server. Per ulteriori informazioni, vedere "Per verificare se il certificato corretto è specificato in Criteri di gruppo" più indietro in questo argomento.
6. Se il modello di certificato appropriato non è visualizzato nell'elenco, vedere la sezione "Aggiungere il modello di certificato al contenitore Modelli di certificato".
Procedura di risoluzione per l'ID evento 1059
Per risolvere questo problema, effettuare le operazioni seguenti:
Cercare nell'archivio certificati il certificato configurato per l'utilizzo nel server Host sessione Desktop remoto per TLS 1.0 (SSL).
Configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL).
Per informazioni sui requisiti del certificato, vedere la sezione "Requisiti del certificato" più avanti in questo argomento.
Per eseguire questa procedura, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Cercare nell'archivio certificati il certificato configurato per l'utilizzo nel server Host sessione Desktop remoto per TLS 1.0 (SSL)
Per controllare l'archivio certificati:
1. Aprire lo snap-in Certificati nel server Host sessione Desktop remoto. Se la console snap-in Certificati non è ancora stata aggiunta, è possibile aggiungerla effettuando le operazioni seguenti:
2. Fare clic su Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
3. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
4. Nell'elenco Snap-in disponibili della finestra di dialogo Aggiungi/Rimuovi snap-in, selezionare Certificati, quindi fare clic su Aggiungi.
5. Nella finestra di dialogo Snap-in certificati selezionare Account del computer, quindi fare clic su Avanti.
6. Nella finestra di dialogo Seleziona computer fare clic su Computer locale: (il computer su cui è in esecuzione questa console), quindi fare clic su Fine.
7. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su OK.
8. Verificare che i certificati siano visualizzati per archivi logici di certificati. A questo scopo, scegliere Opzioni dal menu Visualizza, quindi nella finestra di dialogo Opzioni di visualizzazione verificare che sia selezionata l'opzione Archivi logici di certificati.
9. Nell'albero della console dello snap-in Certificati, espandere Certificati (computer locale), selezionare Personale, quindi fare clic su Certificati.
10. Nel riquadro dei dettagli, controllare che il certificato utilizzato dal server Host sessione Desktop remoto per l'autenticazione e la crittografia del server sia visualizzato nell'elenco di certificati.
11. Effettuare una delle operazioni seguenti:
Se il certificato è visualizzato nell'elenco, eseguire le operazioni nella sezione "Configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL)" più avanti in questo argomento.
Se il certificato non è visualizzato nell'elenco, eseguire le operazioni nella sezione "Installare un certificato nel server Host sessione Desktop remoto".
Installare un certificato sul server Host sessione Desktop remoto
Importante: è consigliabile installare solo certificati ottenuti da fonti attendibili. L'installazione di un certificato alterato o non attendibile può compromettere la protezione di qualsiasi componente di sistema che utilizza il certificato installato.
Per installare un certificato sul server Host sessione Desktop remoto:
1. Nel server Host sessione Desktop remoto, individuare e fare doppio clic sul certificato che si desidera installare. Il certificato può esistere sul server Host sessione Desktop remoto oppure può trovarsi in una condivisione.
2. Alla eventuale richiesta di conferma dell'apertura del file del certificato, fare clic su Apri.
3. Nella scheda Generale della finestra di dialogo Proprietà certificato fare clic su Installa certificato.
4. Nella pagina di benvenuto dell'Importazione guidata certificati, fare clic su Avanti.
5. Nella pagina Archivio certificati effettuare una delle operazioni seguenti:
6. Se il certificato deve essere collocato automaticamente in un archivio certificati a seconda del tipo di certificato, fare clic su Selezionare automaticamente l'archivio certificati secondo il tipo di certificato.
7. Se si desidera specificare dove archiviare il certificato, selezionare Colloca tutti i certificati nel seguente archivio, quindi fare clic su Sfoglia. In Selezione archivio certificati, selezionare l'archivio certificati da utilizzare, quindi fare clic su OK.
8. Nella pagina Archivio certificati, fare clic su Avanti.
9. Nella pagina Completamento dell'Importazione guidata certificati fare clic su Fine.
Dopo avere installato un certificato, è necessario specificare che deve essere utilizzato dal server Host sessione Desktop remoto, come descritto nella procedura indicata di seguito.
Configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL)
Si consiglia di utilizzare lo snap-in Configurazione host sessione Desktop remoto per specificare il certificato utilizzato dal server Host sessione Desktop remoto per l'autenticazione e la crittografia del server. Se si utilizza Configurazione host sessione Desktop remoto per tentare di installare un certificato che non soddisfa i requisiti del certificato, il certificato non viene installato.
Per configurare il server Host sessione Desktop remoto:
1. Aprire Configurazione host sessione Desktop remoto. Per aprire Configurazione host sessione Desktop remoto, fare clic su Start, selezionare Strumenti di amministrazione, selezionare Servizi Desktop remoto, quindi fare clic su Configurazione host sessione Desktop remoto.
2. Nel riquadro dei dettagli, in Connessioni, fare clic con il pulsante destro del mouse sulla connessione (ad esempio, RDP-tcp), quindi fare clic su Proprietà.
3.Nella scheda Generale, fare clic su Seleziona.
4. Nella finestra di dialogo Selezione certificato, selezionare il certificato che si desidera utilizzare, quindi fare clic su OK.
Requisiti del certificato
Un certificato utilizzato dal server Host sessione Desktop remoto per l'autenticazione e la crittografia del server deve soddisfare i requisiti indicati di seguito:
Il certificato deve essere un certificato del computer.
Il certificato deve disporre di una chiave privata corrispondente. Il contenitore per la chiave deve essere accessibile dall'account NT AUTHORITY\Servizio di rete.
Il certificato deve disporre di un valore di utilizzo chiavi avanzato (EKU) uguale ad Autenticazione server (1.3.6.1.5.5.7.3.1), oppure non deve disporre del valore EKU.
È necessario impostare il valore di utilizzo chiave seguente per il certificato: CERT_KEY_ENCIPHERMENT_KEY_USAGE.
Il certificato non è scaduto. Si consiglia di impostare la validità del certificato su un anno dalla data di installazione.
Procedura di risoluzione per l'ID evento 1050
Per risolvere questo problema, controllare le impostazioni di crittografia e autenticazione sul server Host sessione Desktop remoto per verificare che siano compatibili, che siano adatte ai requisiti di sicurezza e il livello di sicurezza supportato dai computer client.
Nota: Remote Desktop Connection 5.2 supporta la crittografia a 128 bit.
Per eseguire queste procedure, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Configurare le impostazioni di autenticazione e crittografia del server per una connessione tramite Configurazione host sessione Desktop remoto
Tenere presente che alcune impostazioni di autenticazione e crittografia non sono compatibili. Ad esempio, se si seleziona il livello di sicurezza SSL (TLS 1.0) e un livello di crittografia Basso e si tenta di applicare queste impostazioni, viene visualizzato un messaggio di errore. Nel messaggio di errore verrà segnalato che il livello di crittografia è troppo basso per il livello di protezione in uso.
Per configurare le impostazioni di autenticazione e crittografia del server per una connessione tramite Configurazione host sessione Desktop remoto:
1. Aprire Configurazione host sessione Desktop remoto. Per aprire Configurazione host sessione Desktop remoto, fare clic su Start, selezionare Strumenti di amministrazione, selezionare Servizi Desktop remoto, quindi fare clic su Configurazione host sessione Desktop remoto.
2. In Connessioni, fare clic con il pulsante destro del mouse sulla connessione (ad esempio, RDP-tcp), quindi fare clic su Proprietà.
3. Nella finestra di dialogo Proprietà della connessione, fare clic sulla scheda Generale.
4. Selezionare le impostazioni di crittografia e autenticazione server appropriate per l'ambiente in uso, in base ai requisiti di protezione e al livello di protezione supportato dai computer client.
5. Se si sceglie SSL (TLS 1.0), selezionare un certificato installato nel server Host sessione Desktop remoto o fare clic su Predefinito per generare un certificato autofirmato. Per selezionare un certificato installato nel server Host sessione Desktop remoto, fare clic su Seleziona e, nella finestra di dialogo Selezione certificato, selezionare il certificato che si desidera utilizzare, quindi fare clic su OK.
6. Se si utilizza un certificato autofirmato, come nome del certificato sarà visualizzato Generato automaticamente.
7. Fare clic su OK.
Configurare le impostazioni di autenticazione e crittografia del server per una connessione tramite Criteri di gruppo
È inoltre possibile configurare le impostazioni di autenticazione e crittografia del server applicando le impostazioni di Criteri di gruppo seguenti:
Imposta livello di crittografia connessione client
Richiedi l'utilizzo di un livello di protezione specificato per le connessioni remote (RDP)
Modello di certificato di autenticazione Server
Richiedi autenticazione utente per le connessioni remote tramite Autenticazione a livello di rete
Queste impostazioni di Criteri di gruppo si trovano in Configurazione computer\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Host sessione Desktop remoto\Sicurezza e possono essere configurate tramite l'Editor Criteri di gruppo locali o la Console Gestione Criteri di gruppo. Si noti che queste impostazioni di Criteri di gruppo hanno la precedenza su tutte le impostazioni selezionate in Configurazione host sessione Desktop remoto tranne Modello di certificato di autenticazione Server.
È possibile configurare il server Host sessione Desktop remoto in modo che utilizzi il livello di crittografia compatibile con FIPS, applicando l'impostazione di Criteri di gruppo Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma. Questa impostazione di Criteri di gruppo si trova in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di protezione e possono essere configurate tramite l'Editor Criteri di gruppo locali o la Console Gestione Criteri di gruppo. Si noti che questa impostazione di Criteri di gruppo ha la precedenza sull'impostazione selezionata in Configurazione host sessione Desktop remoto e sull'impostazione di Criteri di gruppo Imposta livello di crittografia connessione client.
Per ulteriori informazioni sulla configurazione delle impostazioni di Criteri di gruppo, vedere la Guida di Editor Criteri di gruppo locali ( http://go.microsoft.com/fwlink/?LinkId=143317) o la Guida della console Gestione Criteri di gruppo ( http://go.microsoft.com/fwlink/?LinkId=143867) nella Raccolta di documentazione tecnica su Windows Server.
Procedura di risoluzione per gli ID evento seguenti: 1052, 1065, 1053
Per risolvere questo problema, effettuare le operazioni seguenti:
Utilizzare Configurazione host sessione Desktop remoto per determinare quale certificato deve essere rinnovato.
Per rinnovare il certificato utilizzato dal server Host sessione Desktop remoto, eseguire una delle seguenti operazioni:
Rinnovare un certificato con la stessa chiave. Questa operazione consente la compatibilità massima con gli utilizzi precedenti della coppia di chiavi associata, ma non migliora la protezione del certificato e della coppia di chiavi. Dopo il rinnovo, il certificato precedente viene archiviato.
Rinnovare un certificato con una nuova chiave. Questa operazione consente di continuare a utilizzare un certificato esistente e i dati associati, aumentando la sicurezza della chiave associata al certificato. Dopo il rinnovo, il certificato e la coppia di chiavi precedenti vengono archiviati.
Configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL).
Se si utilizza un certificato autofirmato generato automaticamente dal server Host sessione Desktop remoto, tenere presente che il certificato viene automaticamente rinnovato dal server Host sessione Desktop remoto 30 giorni prima della scadenza del certificato.
Per eseguire queste procedure, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Individuare il certificato da rinnovare
Per individuare il certificato da rinnovare:
1. Aprire Configurazione host sessione Desktop remoto. Per aprire Configurazione host sessione Desktop remoto, fare clic su Start, selezionare Strumenti di amministrazione, selezionare Servizi Desktop remoto, quindi fare clic su Configurazione host sessione Desktop remoto.
2. Nel riquadro dei dettagli, in Connessioni, fare clic con il pulsante destro del mouse sulla connessione (ad esempio, RDP-tcp), quindi fare clic su Proprietà.
3.Nella scheda Generale, fare clic su Seleziona.
4. Nella finestra di dialogo Selezione certificato , esaminare il certificato selezionato, quindi fare clic su Visualizza certificato.
5. Nella finestra di dialogo Certificato fare clic su Generale, quindi controllare la data di scadenza. Se il certificato scade tra pochi giorni, attenersi ai passaggi della sezione "Rinnovare un certificato con la stessa chiave" o "Rinnovare un certificato con una nuova chiave".
6. Fare clic su OK per chiudere la finestra di dialogo Certificato.
7. Fare clic su OK per chiudere la finestra di dialogo Selezione certificato.
8. Fare clic su OK per chiudere la finestra di dialogo Proprietà per la connessione.
Rinnovare un certificato con la stessa chiave
È possibile utilizzare questa procedura per richiedere certificati solo da un'autorità di certificazione globale (enterprise).
Per rinnovare un certificato con la stessa chiave:
1. Aprire lo snap-in Certificati nel server Host sessione Desktop remoto. Se la console snap-in Certificati non è ancora stata aggiunta, è possibile aggiungerla effettuando le operazioni seguenti:
2. Fare clic su Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
3. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
4. Nell'elenco Snap-in disponibili della finestra di dialogo Aggiungi/Rimuovi snap-in, selezionare Certificati, quindi fare clic su Aggiungi.
5. Nella finestra di dialogo Snap-in certificati selezionare Account del computer, quindi fare clic su Avanti.
6. Nella finestra di dialogo Seleziona computer fare clic su Computer locale: (il computer su cui è in esecuzione questa console), quindi fare clic su Fine.
7. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su OK.
8. Verificare che i certificati siano visualizzati per archivi logici di certificati. A questo scopo, scegliere Opzioni dal menu Visualizza, quindi nella finestra di dialogo Opzioni di visualizzazione verificare che sia selezionata l'opzione Archivi logici di certificati.
9. Nell'albero della console dello snap-in Certificati, espandere Certificati (computer locale), selezionare Personale, quindi fare clic su Certificati.
10. Nel riquadro dei dettagli fare clic sul certificato da rinnovare.
11. Scegliere Tutte le attività dal menu Azione, selezionare Operazioni avanzate, quindi fare clic su Rinnova questo certificato con la stessa chiave per avviare il Rinnovo guidato certificati.
12. Se nella finestra Richiedi certificati sono elencati più certificati, selezionare quello da rinnovare, quindi effettuare una delle operazioni seguenti:
13. Utilizzare i valori predefiniti per rinnovare il certificato.
14. Fare clic su Dettagli e scegliere Proprietà per fornire le proprie impostazioni per il rinnovo del certificato. È necessario conoscere l'autorità di certificazione che rilascia il certificato.
15. Fare clic su Registrazione.
16. Al completamento del Rinnovo guidato certificati, fare clic su Fine.
Rinnovare un certificato con una nuova chiave
È possibile utilizzare questa procedura per richiedere certificati solo da un'autorità di certificazione globale (enterprise).
Per rinnovare un certificato con una nuova chiave:
1. Aprire lo snap-in Certificati nel server Host sessione Desktop remoto. Se la console snap-in Certificati non è ancora stata aggiunta, è possibile aggiungerla effettuando le operazioni seguenti:
2. Fare clic su Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
3. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
4. Nell'elenco Snap-in disponibili della finestra di dialogo Aggiungi/Rimuovi snap-in, selezionare Certificati, quindi fare clic su Aggiungi.
5. Nella finestra di dialogo Snap-in certificati selezionare Account del computer, quindi fare clic su Avanti.
6. Nella finestra di dialogo Seleziona computer fare clic su Computer locale: (il computer su cui è in esecuzione questa console), quindi fare clic su Fine.
7. Nella finestra di dialogo Aggiungi/Rimuovi snap-in, fare clic su OK.
8. Verificare che i certificati siano visualizzati per archivi logici di certificati. A questo scopo, scegliere Opzioni dal menu Visualizza, quindi nella finestra di dialogo Opzioni di visualizzazione verificare che sia selezionata l'opzione Archivi logici di certificati.
9. Nell'albero della console dello snap-in Certificati, espandere Certificati (computer locale), selezionare Personale, quindi fare clic su Certificati.
10. Nel riquadro dei dettagli fare clic sul certificato da rinnovare.
11. Scegliere Tutte le attività dal menu Azione, quindi fare clic su Rinnova certificato con chiave nuova per avviare il Rinnovo guidato certificati.
12. Nel Rinnovo guidato certificati effettuare una delle operazioni seguenti:
13. Utilizzare i valori predefiniti per rinnovare il certificato.
14. Per fornire impostazioni personalizzate per il rinnovo del certificato, fare clic su Dettagli, quindi fare clic su Proprietà. È necessario conoscere il provider del servizio di crittografia (CSP) e l'autorità di certificazione che rilasciano il certificato.
15. Selezionare la lunghezza della chiave (misurata in bit) della chiave pubblica associata al certificato.
16. È inoltre possibile scegliere di abilitare la protezione avanzata con chiave privata. Se si abilita la protezione avanzata con chiave privata verrà richiesta una password a ogni utilizzo della chiave privata. In questo modo è possibile assicurarsi che la chiave privata non venga utilizzata a propria insaputa.
17. Quando si è pronti a richiedere un certificato, fare clic su Registrazione.
18. Al completamento del Rinnovo guidato certificati, fare clic su Chiudi.
Configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL)
Per configurare il server Host sessione Desktop remoto per l'utilizzo del certificato per TLS 1.0 (SSL):
1. Aprire Configurazione host sessione Desktop remoto. Per aprire Configurazione host sessione Desktop remoto, fare clic su Start, selezionare Strumenti di amministrazione, selezionare Servizi Desktop remoto, quindi fare clic su Configurazione host sessione Desktop remoto.
2. Nel riquadro dei dettagli, in Connessioni, fare clic con il pulsante destro del mouse su RDP-tcp, quindi fare clic su Proprietà.
3. Nella scheda Generale, fare clic su Seleziona.
4. Nella finestra di dialogo Selezione certificato, selezionare il certificato che si desidera utilizzare, quindi fare clic su OK.
Home
ITA