Tento objekt monitoruje ověřování a šifrování služby Vzdálená plocha.
Souhrn
Protokol Transport Layer Security (TLS) 1.0 zlepšuje zabezpečení relací tím, že poskytuje ověřování serveru a šifrování komunikace s hostitelským serverem relací VP. Aby klienti mohli úspěšně navázat vzdálená připojení a protokol TLS poskytoval zlepšené zabezpečení, hostitel relací VP a klientský počítač musí být správně nakonfigurovány. Například je nutný certifikát pro ověření hostitelského serveru relací VP, pokud se protokol SSL (TLS 1.0) používá k zabezpečení komunikace mezi klientem a hostitelským serverem relací VP během připojení pomocí protokolu Remote Desktop Protocol (RDP).
Řešení
K vyřešení tohoto problému zkontrolujte ID události a poté si prohlédněte informace o řešení problémů pro danou událost v následujících sekcích.
Postupy řešení pro následující ID události: 1054
Tento problém vyřešíte pomocí následujícího postupu:
Přesvědčte se, zda certifikát, který je nakonfigurován pro použití hostitelským serverem relací VP pro protokol TLS 1.0 (SSL), nemá správnou hodnotu Použití rozšířeného klíče (EKU). Certifikát musí mít hodnotu EKU Ověřování serveru (1.3.6.1.5.5.7.3.1) nebo nemít žádnou hodnotu EKU.
Pokud certifikát nesplňuje tyto požadavky, nainstalujte na hostitelském serveru relací VP alternativní certifikát, který tyto požadavky splňuje, a poté nakonfigurujte hostitelský server relací VP, aby pro protokol TLS 1.0 (SSL) používal tento certifikát.
Informace o požadavcích na certifikáty jsou uvedeny v části "Požadavky na certifikát" dále v tomto tématu.
K provedení těchto postupů musíte mít členství v místní skupině Administrators nebo vám musí být delegováno příslušné pověření.
Přesvědčte se, zda certifikát, který je nakonfigurován pro použití hostitelským serverem relací VP pro protokol TLS 1.0 (SSL), nemá správnou hodnotu EKU.
Jak zjistit, že certifikát nemá správnou hodnotu EKU:
1. Otevřete konfiguraci hostitele relací vzdálené plochy. K otevření konfigurace hostitele relací vzdálené plochy klikněte na nabídku Start, vyberte položku Nástroje pro správu, Vzdálená plocha, a poté klikněte na možnost Konfigurace hostitele relací vzdálené plochy.
2. V panelu Podrobnosti pod záhlavím Připojení klikněte pravým tlačítkem na připojení (např. RDP-tcp) a poté klikněte na položku Vlastnosti.
3. Na kartě Obecné klikněte na položku Vybrat.
4. V dialogovém okně Vybrat certifikát si všimněte, který certifikát je vybraný, a klikněte na tlačítko Zobrazit certifikát.
5. V dialogovém okně Certifikát klikněte na položku Podrobnosti a poté zkontrolujte hodnotu EKU. Certifikát musí mít hodnotu EKU Ověřování serveru (1.3.6.1.5.5.7.3.1) nebo nemít žádnou hodnotu EKU. Pokud certifikát nemá jednu z těchto hodnot, je třeba zadat alternativní certifikát pro hostitelský server relací VP pomocí popisu v tématech "Import platného certifikátu na hostitelský server relací VP" a "Konfigurace hostitelského serveru relací VP pro použití certifikátu pro protokol TLS 1.0 (SSL)."
6. Kliknutím na tlačítko OK zavřete dialogové okno Certifikát.
7. Kliknutím na tlačítko OK zavřete dialogové okno Vybrat certifikát.
8. Kliknutím na tlačítko OK zavřete dialogové okno Vlastnosti pro dané připojení.
Instalace certifikátu na hostitelském serveru relací VP
Důležité: Měli byste instalovat pouze certifikáty z důvěryhodných zdrojů. Instalace pozměněného nebo nespolehlivého certifikátu by mohla ohrozit zabezpečení kterékoli součásti systému, která nainstalovaný certifikát používá.
Postup instalace certifikátu na hostitelském serveru relací VP:
1. Vyhledejte a dvakrát klikněte na certifikát, který chcete nainstalovat. Certifikát se může nacházet na hostitelském serveru relací VP nebo ve sdíleném umístění.
2. Pokud budete vyzváni, zda chcete otevřít soubor certifikátu, klikněte na možnost Otevřít.
3. V dialogovém okně Vlastnosti certifikátu na kartě Obecné klikněte na položku Instalovat certifikát.
4. V Průvodci importem certifikátu na stránce Vítejte klikněte na tlačítko Další.
Na stránce Úložiště certifikátů proveďte některou z následujících akcí:
6. Pokud se má certifikát automaticky umístit do úložiště certifikátů na základě typu certifikátu, klikněte na možnost Automaticky vybrat úložiště certifikátů na základě typu certifikátu.
7. Pokud chcete zadat, kam se má certifikát uložit, vyberte možnost Všechny certifikáty umístit v následujícím úložišti a poté klikněte na tlačítko Procházet. V okně Vybrat úložiště certifikátů klikněte na úložiště certifikátů, které se má použít, a poté klikněte na tlačítko OK.
8. Na stránce Úložiště certifikátů klikněte na tlačítko Další.
9. Na stránce Dokončení Průvodce importem certifikátu klikněte na tlačítko Dokončit.
Po instalaci certifikátu je třeba určit, že bude používán hostitelským serverem relací VP, pomocí následujícího postupu.
Konfigurace hostitelského serveru relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL)
Pro určení certifikátu, který bude používán hostitelským serverem relací VP pro ověřování serveru a šifrování, doporučujeme použít modul snap-in Konfigurace hostitele relací vzdálené plochy. Pokud použijete Konfiguraci hostitele relací vzdálené plochy při pokusu o instalaci certifikátu, který nesplňuje požadavky uvedené v části "Požadavky na certifikát" dále v tomto tématu, certifikát se nenainstaluje.
Postup konfigurace hostitelského serveru relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL):
1. Otevřete konfiguraci hostitele relací vzdálené plochy. K otevření konfigurace hostitele relací vzdálené plochy klikněte na nabídku Start, vyberte položku Nástroje pro správu, Vzdálená plocha, a poté klikněte na možnost Konfigurace hostitele relací vzdálené plochy.
2. V panelu Podrobnosti pod záhlavím Připojení klikněte pravým tlačítkem na připojení (např. RDP-tcp) a poté klikněte na položku Vlastnosti.
3. Na kartě Obecné klikněte na položku Vybrat.
4. V dialogovém okně Vybrat certifikát klikněte na certifikát, který chcete použít, a klikněte na tlačítko OK.
Požadavky na certifikát
Certifikát, který je používán hostitelským serverem relací VP pro ověřování serveru a šifrování, musí splňovat následující požadavky:
Musí jít o certifikát počítače.
Certifikát musí mít odpovídající privátní klíč. Kontejner pro klíč musí být přístupný pro účet NT AUTHORITY\Network Service.
Certifikát musí mít hodnotu Použití rozšířeného klíče (EKU) Ověřování serveru (1.3.6.1.5.5.7.3.1) nebo nemít žádnou hodnotu EKU.
Pro certifikát musí být nastavena následující hodnota použití klíče: CERT_KEY_ENCIPHERMENT_KEY_USAGE.
Certifikát není prošlý. Doporučujeme, aby byl certifikát platný jeden rok od data instalace.
Postupy řešení pro následující ID událostí: 1055, 1051
Tento problém vyřešíte pomocí následujícího postupu:
Nainstalujte na hostitelský server relací VP certifikát, který splňuje požadavky pro certifikát hostitelského serveru relací VP. Informace o požadavcích na certifikáty jsou uvedeny v části "Požadavky na certifikát" dále v tomto tématu.
Nakonfigurujte hostitelský server relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL)
K provedení těchto postupů musíte mít členství v místní skupině Administrators nebo vám musí být delegováno příslušné pověření.
Instalace certifikátu na hostitelském serveru relací VP
Důležité: Měli byste instalovat pouze certifikáty z důvěryhodných zdrojů. Instalace pozměněného nebo nespolehlivého certifikátu by mohla ohrozit zabezpečení kterékoli součásti systému, která nainstalovaný certifikát používá.
Postup instalace certifikátu na hostitelském serveru relací VP:
1. Na hostitelském serveru relací VP vyhledejte a dvakrát klikněte na certifikát, který chcete nainstalovat. Certifikát se může nacházet na hostitelském serveru relací VP nebo ve sdíleném umístění.
2. Pokud budete vyzváni, zda chcete otevřít soubor certifikátu, klikněte na možnost Otevřít.
3. V dialogovém okně Vlastnosti certifikátu na kartě Obecné klikněte na položku Instalovat certifikát.
4. V Průvodci importem certifikátu na stránce Vítejte klikněte na tlačítko Další.
Na stránce Úložiště certifikátů proveďte některou z následujících akcí:
6. Pokud se má certifikát automaticky umístit do úložiště certifikátů na základě typu certifikátu, klikněte na možnost Automaticky vybrat úložiště certifikátů na základě typu certifikátu.
7. Pokud chcete zadat, kam se má certifikát uložit, vyberte možnost Všechny certifikáty umístit v následujícím úložišti a poté klikněte na tlačítko Procházet. V okně Vybrat úložiště certifikátů klikněte na úložiště certifikátů, které se má použít, a poté klikněte na tlačítko OK.
8. Na stránce Úložiště certifikátů klikněte na tlačítko Další.
9. Na stránce Dokončení Průvodce importem certifikátu klikněte na tlačítko Dokončit.
Po instalaci certifikátu je třeba určit, že bude používán hostitelským serverem relací VP, pomocí následujícího postupu.
Konfigurace hostitelského serveru relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL)
Pro určení certifikátu, který bude používán hostitelským serverem relací VP pro ověřování serveru a šifrování, doporučujeme použít modul snap-in Konfigurace hostitele relací vzdálené plochy. Pokud použijete Konfiguraci hostitele relací vzdálené plochy při pokusu o instalaci certifikátu, který nesplňuje požadavky na certifikát, tento certifikát se nenainstaluje.
Postup konfigurace hostitelského serveru relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL):
1. Otevřete konfiguraci hostitele relací vzdálené plochy. K otevření konfigurace hostitele relací vzdálené plochy klikněte na nabídku Start, vyberte položku Nástroje pro správu, Vzdálená plocha, a poté klikněte na možnost Konfigurace hostitele relací vzdálené plochy.
2. V panelu Podrobnosti pod záhlavím Připojení klikněte pravým tlačítkem na připojení (např. RDP-tcp) a poté klikněte na položku Vlastnosti.
3. Na kartě Obecné klikněte na položku Vybrat.
4. V okně Vybrat certifikát klikněte na certifikát, který chcete použít, a klikněte na tlačítko OK.
Požadavky na certifikát
Certifikát, který je používán hostitelským serverem relací VP pro ověřování serveru a šifrování, musí splňovat následující požadavky:
Musí jít o certifikát počítače.
Certifikát musí mít odpovídající privátní klíč. Kontejner pro klíč musí být přístupný pro účet NT AUTHORITY\Network Service.
Certifikát musí mít hodnotu Použití rozšířeného klíče (EKU) Ověřování serveru (1.3.6.1.5.5.7.3.1) nebo nemít žádnou hodnotu EKU.
Pro certifikát musí být nastavena následující hodnota použití klíče: CERT_KEY_ENCIPHERMENT_KEY_USAGE.
Certifikát není prošlý. Doporučujeme, aby byl certifikát platný jeden rok od data instalace.
Postupy řešení pro následující ID události: 1133
K vyřešení tohoto problému byste měli odstranit certifikát z hostitelského serveru relací VP a poté restartovat službu Vzdálená plocha.
K provedení těchto postupů musíte mít členství v místní skupině Administrators nebo vám musí být delegováno příslušné pověření.
Odebrání certifikátu na hostitelském serveru relací VP
Postup odebrání certifikátu na hostitelském serveru relací VP
1. Na hostitelském serveru relací VP otevřete modul snap-in Certifikáty. Pro otevření modulu snap-in Certifikáty klikněte na nabídku Start, klikněte na položku Spustit, zadejte mmc a pak stiskněte klávesu ENTER.
2. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
3. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na položku Certifikáty a poté klikněte na tlačítko Přidat.
4. Vyberte možnost Účet počítače a klikněte na tlačítko Další.
5. Klikněte na tlačítko Dokončit a poté na tlačítko OK.
6. Rozbalte položku Certifikáty a poté rozbalte úložiště certifikátů, které chcete odebrat.
7. Pravým tlačítkem myši klikněte na certifikát a pak klikněte na položku Odstranit.
8. Kliknutím na tlačítko Ano potvrďte, že chcete certifikát odstranit.
Po odebrání certifikátu je třeba restartovat službu Vzdálená plocha na hostitelském serveru relací VP pomocí následujícího postupu.
Restartování služby Vzdálená plocha
Postup restartování služby Vzdálená plocha:
1. Na hostitelském serveru relací VP otevřete modul snap-in Služby. Modul snap-in Služby otevřete kliknutím na nabídku Start, výběrem položky Nástroje pro správu a následným kliknutím na položku Služby.
2. Otevře-li se dialogové okno Řízení uživatelských účtů, zkontrolujte, zda zobrazená akce odpovídá vašemu požadavku, a poté klikněte na Ano.
3. V panelu Služby klikněte pravým tlačítkem na službu Vzdálená plocha a poté na položku Restartovat.
4. Pokud budete vyzváni ohledně restartování dalších služeb, klikněte na tlačítko Ano.
5. Přesvědčte se, že ve sloupci Stav je u služby Vzdálená plocha zobrazena hodnota Spuštěno.
Postupy řešení pro následující ID událostí: 1058, 1057
K vyřešení tohoto problému zvyšte množství dostupné paměti: Pokud tento stav přetrvává, obraťte se na oddělení podpory zákazníků společnosti Microsoft. Informace o tom, jak kontaktovat oddělení podpory zákazníků jsou uvedeny v tématu Možnosti podpory od oddělení podpory společnosti Microsoft ( http://go.microsoft.com/fwlink/?LinkId=52267).
Jedním ze způsobů, jak zvětšit množství dostupné paměti, je zjištění, zda na hostitelském serveru relací VP nejsou spuštěny programy nebo procesy, které lze ukončit. Pomocí Správce úloh zjistíte, které procesy využívají nejvíce paměti, a můžete je ukončit.
K provedení tohoto postupu musíte mít členství v místní skupině Administrators nebo vám musí být delegováno příslušné pověření.
Postup uvolnění paměti na hostitelském serveru relací VP pomocí Správce úloh:
1. Na hostitelském serveru relací VP klikněte pravým tlačítkem do prázdné oblasti panelu hlavního panelu a poté klikněte na položku Spustit Správce úloh.
2. Klikněte na kartu Procesy.
3. Ujistěte se, že jsou zobrazeny sloupce Uživatelské jméno a Paměť (soukromá pracovní sada). Pokud zobrazeny nejsou, klikněte na nabídku Zobrazit, klikněte na položku Vybrat sloupce, zaškrtněte políčka Uživatelské jméno a Paměť (soukromá pracovní sada) a poté klikněte na tlačítko OK.
4. Ve spodní části karty zaškrtněte políčko Zobrazit procesy všech uživatelů.
5. Pokud chcete procesy seřadit podle obsazené paměti, klikněte na záhlaví sloupce Paměť (soukromá pracovní sada).
6. Zjistěte, zda některé z paměťově náročných procesů můžete ukončit.
7. Pokud chcete ukončit proces, klikněte na jeho název a poté na tlačítko Ukončit proces.
8. Kliknutím na tlačítko Ukončit proces potvrďte, že chcete proces ukončit.
Pokud pomocí Správce úloh nemůžete uvolnit paměť nebo problém přetrvává i po jejím uvolnění, restartujte hostitelský server relací VP.
Postupy řešení pro následující ID události: 1062
K vyřešení tohoto problému musíte pozměnit šablonu certifikátu, kterou služba Active Directory Certificate Services (AD CS) používá jako základ pro certifikáty serverů zapisované na hostitelské servery relací VP. Šablonu certifikátu je třeba pozměnit tak, aby se alternativní název subjektu shodoval s názvem DNS hostitelského serveru relací VP.
K provedení tohoto postupu musíte mít členství ve skupině Enterprise Admins nebo Domain Admins v kořenové doméně doménové struktury nebo vám musí být delegováno příslušné pověření.
Jak nakonfigurovat, aby se alternativní název subjektu certifikátu shodoval s názvem DNS hostitelského serveru relací VP:
1. Na počítači, na kterém je nainstalována služba AD CS otevřete modul snap-in Šablony certifikátů. Pro otevření modulu snap-in Šablony certifikátů klikněte na nabídku Start, klikněte na položku Spustit, zadejte mmc a pak stiskněte klávesu ENTER.
2. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
3. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na položku Šablony certifikátů, klikněte na tlačítko Přidat a poté na tlačítko OK.
4. Ve stromu konzoly klikněte na položku Šablony certifikátů.
5. V panelu výsledků klikněte pravým tlačítkem na šablonu certifikátu, která se používá jako základ pro certifikáty zapisované na hostitelské servery relací VP, a poté klikněte na položku Vlastnosti.
6. Na kartě Název subjektu se ujistěte, že je vybrána možnost Sestaven z těchto informací v adresáři Active Directory.
7. Pod záhlavím Formát názvu subjektu klikněte na možnost Plně rozlišující název.
8. Pod záhlavím Zahrnout tyto informace v alternativním názvu subjektu zaškrtněte políčko Název DNS.
9. Kliknutím na tlačítko OK zavřete dialogové okno Vlastnosti pro danou šablonu certifikátu.
10. Restartujte službu Konfigurace vzdálené plochy na hostitelském serveru relací VP. Pokud chcete restartovat službu Konfigurace vzdálené plochy, klikněte na nabídku Start, vyberte položku Spustit, zadejte příkaz services.msc a stiskněte klávesu ENTER. Ve sloupci Název modulu snap-in Služby klikněte pravým tlačítkem na položku Konfigurace vzdálené plochy a poté klikněte na tlačítko Restartovat.
11. Pokud se pokus restartovat samotnou službu nezdaří, restartujte počítač. Tím vynutíte restartování všech souvisejících a závislých služeb.
Postupy řešení pro následující ID události: 1064
K této chybě dojde, pokud certifikační autorita (CA) vydala certifikát pro hostitelský server relací VP na základě šablony certifikátu specifikované c Zásadách skupiny a nastal některý z následujících stavů:
V Zásadách skupiny není uveden správný název šablony certifikátu.
Oprávnění pro šablonu certifikátu neumožňují hostitelskému serveru relací VP zapsat se pro tento typ certifikátu.
Certifikát není platný pro požadované použití.
Šablona certifikátu neexistuje.
Certifikáty, které jsou založeny na šabloně certifikátu, nejsou vydávány počítačům.
Nastavení zásad skupiny Šablona certifikátu ověření serveru umožňuje zadat název šablony certifikátu, která bude použita, k určení certifikátu použitého k ověření hostitelského serveru relací VP při použití šifrování SSL nebo TLS 1.0. Zadání názvu šablony certifikátu umožňuje použití automatického výběru certifikátu. Po zadání názvu šablony certifikátu jsou brány v potaz certifikáty, které byly vytvořeny pomocí této šablony, a jeden z vhodných certifikátu je automaticky vybrán k použití.
V Zásadách skupiny není uveden správný název šablony certifikátu
Pokud chcete zkontrolovat, zda byl v Zásadách skupiny specifikován správný název šablony certifikátu, použijte Konzolu pro správu zásad skupiny (GPMC).
K provedení tohoto postupu musíte mít členství ve skupině Domain Admins, Enterprise Admins nebo Group Policy Creator Owners nebo vám musí být delegováno příslušné pověření.
Pozn.: Pokud chcete spravovat Zásady skupiny na řadiči domény se systémem Windows Server, musíte nejprve přidat funkci Konzola pro správu zásad skupiny (GPMC).
Jak zjistit, zda je v Zásadách skupiny uveden správný název šablony certifikátu:
1. Spusťte konzolu GPMC. To provedete kliknutím na nabídku Start, výběrem položky Nástroje pro správu a následným kliknutím na položku Správa zásad skupiny.
2. V levém panelu vyhledejte organizační jednotku (OU), kterou chcete upravit.
3. Pokud chcete upravit existující objekt Zásad skupiny (GPO) pro OU, rozbalte OU a klikněte na objekt GPO.
4. V pravém panelu klikněte na kartu Nastavení.
5. V levém panelu pod záhlavím Konfigurace počítače rozbalte položku Šablony pro správu, rozbalte položku Součásti systému Windows, rozbalte položku Vzdálená plocha, rozbalte položku Hostitel relací vzdálené plochy a poté klikněte na Zabezpečení.
6. V pravém panelu v seznamu nastavení klikněte na položku Šablona certifikátu ověření serveru a poté klikněte na položku Vlastnosti.
7. Na kartě Nastavení zkontrolujte, zda je vybrána možnost Povoleno a zda je název uvedený v poli Název šablony certifikátu správný, a poté klikněte na tlačítko OK.
8. Pokud možnost Povoleno není vybrána, přejděte k části s názvem "Zadání správné šablony certifikátu v Zásadách skupiny".
Oprávnění pro šablonu certifikátu neumožňují hostitelskému serveru relací VP zapsat se pro tento typ certifikátu
Účet počítače hostitelského serveru relací VP musí mít oprávnění Zápisu pro čtení příslušné šablony certifikátu.
K provedení tohoto postupu musíte mít členství ve skupině Enterprise Admins nebo Domain Admins v kořenové doméně doménové struktury nebo vám musí být delegováno příslušné pověření.
Postup kontroly oprávnění udělených hostitelskému serveru relací VP pro šablonu certifikátu:
1. Na počítači, na kterém je nainstalována služba Active Directory Certificate Services (AD CS) otevřete modul snap-in Šablony certifikátů. Pro otevření modulu snap-in Šablony certifikátů klikněte na nabídku Start, klikněte na položku Spustit, zadejte mmc a pak stiskněte klávesu ENTER.
2. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
3. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na položku Šablony certifikátů, klikněte na tlačítko Přidat a poté na tlačítko OK.
4. Ve stromu konzoly klikněte na položku Šablony certifikátů.
5. V panelu výsledků klikněte pravým tlačítkem na šablonu certifikátu, která se používá jako základ pro certifikáty zapisované na hostitelské servery relací VP, a poté klikněte na položku Vlastnosti.
6. Na kartě Zabezpečení pod záhlavím Název skupiny nebo jméno uživatele zkontrolujte, zda je hostitelský server relací VP (nebo skupina zabezpečení, která tento server obsahuje) uveden v seznamu, a klikněte na něj. Po označení hostitelského serveru relací VP (nebo skupiny zabezpečení, která tento server obsahuje) pod záhlavím Oprávnění zkontrolujte, zda je zaškrtnuto políčko u oprávnění Zápis, a klikněte na tlačítko OK.
7. Pokud políčko oprávnění Zápis není zaškrtnuto, přejděte k části "Udělení oprávnění zápisu pro šablonu certifikátu hostitelskému serveru relací VP".
Certifikát není platný pro požadované použití
Šablona certifikátu, kterou služba AD CS používá jako základ pro certifikáty serveru zapisované na hostitelské servery relací VP musí mít Použití rozšířeného klíče (EKU) ověření serveru.
K provedení tohoto postupu musíte mít členství ve skupině Enterprise Admins nebo Domain Admins v kořenové doméně doménové struktury nebo vám musí být delegováno příslušné pověření.
Jak zkontrolovat, zda je v šabloně certifikátu uvedeno rozšíření použití klíče ověření serveru:
1. Na počítači, na kterém je nainstalována služba AD CS otevřete modul snap-in Šablony certifikátů. Pro otevření modulu snap-in Šablony certifikátů klikněte na nabídku Start, klikněte na položku Spustit, zadejte mmc a pak stiskněte klávesu ENTER.
2. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
3. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na položku Šablony certifikátů, klikněte na tlačítko Přidat a poté na tlačítko OK.
4. Ve stromu konzoly klikněte na položku Šablony certifikátů.
5. V panelu výsledků klikněte pravým tlačítkem na šablonu certifikátu, která se používá jako základ pro certifikáty zapisované na hostitelské servery relací VP, a poté klikněte na položku Vlastnosti.
6. Na kartě Rozšíření pod záhlavím Rozšíření obsažená v šabloně klikněte na položku Použití klíče a poté klikněte na tlačítko Upravit.
7. Zkontrolujte, zda je vybráno rozšíření Použití klíče ověření serveru, a poté tlačítkem OK zavřete dialogové okno Vlastnosti pro šablonu certifikátu.
8. Pokud rozšíření Použití klíče ověření serveru není vybráno, přejděte k části s názvem "Přidání hodnoty EKU ověření serveru do šablony certifikátu."
Šablona certifikátu neexistuje
K provedení tohoto postupu musíte mít členství ve skupině Enterprise Admins nebo Domain Admins v kořenové doméně doménové struktury nebo vám musí být delegováno příslušné pověření.
Pokud chcete zjistit, zda šablona certifikátu existuje:
1. Na počítači, na kterém je nainstalována služba AD CS otevřete modul snap-in Šablony certifikátů. Pro otevření modulu snap-in Šablony certifikátů klikněte na nabídku Start, klikněte na položku Spustit, zadejte mmc a pak stiskněte klávesu ENTER.
2. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
3. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na položku Šablony certifikátů, klikněte na tlačítko Přidat a poté na tlačítko OK.
4. Ve stromu konzoly klikněte na položku Šablony certifikátů.
5. V panelu výsledků v seznamu šablon certifikátů vyhledejte šablonu certifikátu, která se používá jako základ pro certifikáty zapisované na hostitelské servery relací VP.
6. Pokud se šablona certifikátu nezobrazí, přejděte k části "Vytvoření nové šablony certifikátu."
Certifikáty, které jsou založeny na šabloně certifikátu, nejsou vydávány počítačům
Aby certifikační autorita vydávala certifikáty založené na šabloně certifikátu, šablona certifikátu musí být přidána do kontejneru Šablony certifikátů v modulu snap-in Certifikační autorita.
K provedení tohoto postupu musíte mít členství ve skupině Enterprise Admins nebo Domain Admins v kořenové doméně doménové struktury nebo vám musí být delegováno příslušné pověření.
Pokud chcete zjistit, zda šablona certifikátu byla přidána do kontejneru Šablony certifikátů v modulu snap-in Certifikační autorita:
Na počítači s nainstalovanou službou AD CS klikněte na nabídku Start, klikněte na položku Spustit, zadejte mmc a pak stiskněte klávesu ENTER.
2. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
3. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na položku Certifikační autorita, klikněte na tlačítko Přidat a poté na tlačítko OK.
4. Vyberte certifikační autoritu, kterou chcete spravovat, a klikněte na tlačítko Dokončit.
5. Rozbalte položku Šablony certifikátů, a poté zkontrolujte, zda se příslušná šablona certifikátu zobrazí v seznamu. Název certifikátu by se měl shodovat s názvem specifikovaným v nastavení Zásad skupiny Šablona certifikátu ověření serveru. Další informace jsou uvedeny v části "Jak zkontrolovat, zda je v Zásadách skupiny specifikován správný certifikát" výše v tomto tématu.
6. Pokud se příslušná šablona certifikátu v seznamu nezobrazí, přejděte k části s názvem "Přidání šablony certifikátu do kontejneru Šablony certifikátů".
Postupy řešení pro následující ID události: 1059
Tento problém vyřešíte pomocí následujícího postupu:
Zkontrolujte v úložišti certifikátů certifikát, který je nakonfigurovaný na hostitelském serveru relací VP pro protokol TLS 1.0 (SSL).
Nakonfigurujte hostitelský server relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL)
Informace o požadavcích na certifikáty jsou uvedeny v části "Požadavky na certifikát" dále v tomto tématu.
K provedení tohoto postupu musíte mít členství v místní skupině Administrators nebo vám musí být delegováno příslušné pověření.
Kontrola certifikátu v úložišti certifikátů, který je nakonfigurovaný na hostitelském serveru relací VP pro protokol TLS 1.0 (SSL)
Postup kontroly úložiště certifikátů:
1. Na hostitelském serveru relací VP otevřete modul snap-in Certifikáty pro počítač. Pokud jste ještě nepřidali konzolu snap-in Certifikáty, můžete to provést následujícím způsobem:
2. Klikněte na nabídku Start, klikněte na položku Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.
3. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
4. V dialogovém okně Přidat nebo odebrat moduly snap-in v seznamu Moduly snap-in k dispozici klikněte na položku Certifikáty a poté klikněte na tlačítko Přidat.
5. V dialogovém okně modulu snap-in Certifikáty klikněte na položku Účet počítače a klikněte na tlačítko Další.
6. V dialogovém okně Vybrat počítač klikněte na položku Místní počítač (počítač, ve kterém je spuštěna tato konzola) a poté klikněte na tlačítko Dokončit.
7. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.
8. Přesvědčte se, že certifikáty jsou zobrazeny podle logických úložišť certifikátů. V nabídce Zobrazení klikněte na položku Možnosti a v dialogovém okně Možnosti zobrazení se přesvědčte, že je vybrána možnost Podle logických úložišť certifikátů.
9. V konzole snap-in Certifikáty ve stromu konzoly rozbalte položku Certifikáty (místní), vyberte možnost Osobní a klikněte na položku Certifikáty.
10. V panelu s podrobnostmi zkontrolujte, zda se certifikát používaný hostitelským serverem relací VP pro ověření serveru a šifrování zobrazuje v seznamu certifikátů.
11. Proveďte jednu z následujících činností:
Pokud se certifikát zobrazuje v seznamu, proveďte postup uvedený v části "Konfigurace hostitelského serveru relací VP pro použití certifikátu pro protokol TLS 1.0 (SSL)" dále v tomto tématu.
Pokud se certifikát v seznamu nezobrazuje, proveďte postup uvedený v části "Instalace certifikátu na hostitelském serveru relací VP".
Instalace certifikátu na hostitelském serveru relací VP
Důležité: Měli byste instalovat pouze certifikáty z důvěryhodných zdrojů. Instalace pozměněného nebo nespolehlivého certifikátu by mohla ohrozit zabezpečení kterékoli součásti systému, která nainstalovaný certifikát používá.
Postup instalace certifikátu na hostitelském serveru relací VP:
1. Na hostitelském serveru relací VP vyhledejte a dvakrát klikněte na certifikát, který chcete nainstalovat. Certifikát se může nacházet na hostitelském serveru relací VP nebo ve sdíleném umístění.
2. Pokud budete vyzváni, zda chcete otevřít soubor certifikátu, klikněte na možnost Otevřít.
3. V dialogovém okně Vlastnosti certifikátu na kartě Obecné klikněte na položku Instalovat certifikát.
4. V Průvodci importem certifikátu na stránce Vítejte klikněte na tlačítko Další.
Na stránce Úložiště certifikátů proveďte některou z následujících akcí:
6. Pokud se má certifikát automaticky umístit do úložiště certifikátů na základě typu certifikátu, klikněte na možnost Automaticky vybrat úložiště certifikátů na základě typu certifikátu.
7. Pokud chcete zadat, kam se má certifikát uložit, vyberte možnost Všechny certifikáty umístit v následujícím úložišti a poté klikněte na tlačítko Procházet. V okně Vybrat úložiště certifikátů klikněte na úložiště certifikátů, které se má použít, a poté klikněte na tlačítko OK.
8. Na stránce Úložiště certifikátů klikněte na tlačítko Další.
9. Na stránce Dokončení Průvodce importem certifikátu klikněte na tlačítko Dokončit.
Po instalaci certifikátu je třeba určit, že bude používán hostitelským serverem relací VP, pomocí následujícího postupu.
Konfigurace hostitelského serveru relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL)
Pro určení certifikátu, který bude používán hostitelským serverem relací VP pro ověřování serveru a šifrování, doporučujeme použít modul snap-in Konfigurace hostitele relací vzdálené plochy. Pokud použijete Konfiguraci hostitele relací vzdálené plochy při pokusu o instalaci certifikátu, který nesplňuje požadavky na certifikát, tento certifikát se nenainstaluje.
Postup konfigurace hostitelského serveru relací VP:
1. Otevřete konfiguraci hostitele relací vzdálené plochy. K otevření konfigurace hostitele relací vzdálené plochy klikněte na nabídku Start, vyberte položku Nástroje pro správu, Vzdálená plocha, a poté klikněte na možnost Konfigurace hostitele relací vzdálené plochy.
2. V panelu Podrobnosti pod záhlavím Připojení klikněte pravým tlačítkem na připojení (např. RDP-tcp) a poté klikněte na položku Vlastnosti.
3. Na kartě Obecné klikněte na položku Vybrat.
4. V dialogovém okně Vybrat certifikát klikněte na certifikát, který chcete použít, a klikněte na tlačítko OK.
Požadavky na certifikát
Certifikát, který je používán hostitelským serverem relací VP pro ověřování serveru a šifrování, musí splňovat následující požadavky:
Musí jít o certifikát počítače.
Certifikát musí mít odpovídající privátní klíč. Kontejner pro klíč musí být přístupný pro účet NT AUTHORITY\Network Service.
Certifikát musí mít hodnotu Použití rozšířeného klíče (EKU) Ověřování serveru (1.3.6.1.5.5.7.3.1) nebo nemít žádnou hodnotu EKU.
Pro certifikát musí být nastavena následující hodnota použití klíče: CERT_KEY_ENCIPHERMENT_KEY_USAGE.
Certifikát není prošlý. Doporučujeme, aby byl certifikát platný jeden rok od data instalace.
Postupy řešení pro následující ID události: 1050
K vyřešení tohoto problému zkontrolujte nastavení šifrování a ověřování na hostitelském serveru relací VP, abyste se přesvědčili, že jsou kompatibilní a že odpovídají vašim požadavkům na zabezpečení a úrovni zabezpečení, kterou podporují vaše klientské počítače.
Pozn.: Program Připojení ke vzdálené ploše 5.2 podporuje 128nitové šifrování.
K provedení těchto postupů musíte mít členství v místní skupině Administrators nebo vám musí být delegováno příslušné pověření.
Konfigurace ověření serveru a šifrování pro připojení pomocí Konfigurace hostitele relací vzdálené plochy
Mějte na paměti, že určitá nastavení ověření a šifrování nejsou kompatibilní. Např. pokud vyberete protokol SSL (TLS 1.0) pro vrstvu zabezpečení a nízkou úroveň šifrování, zobrazí se při pokusu použít tato nastavení chybová zpráva. Chybová zprávo oznámí, že úroveň šifrování je pro použitou vrstvu zabezpečení nastavena příliš nízko.
Postup konfigurace ověření serveru a šifrování pro připojení pomocí Konfigurace hostitele relací vzdálené plochy:
1. Otevřete konfiguraci hostitele relací vzdálené plochy. K otevření konfigurace hostitele relací vzdálené plochy klikněte na nabídku Start, vyberte položku Nástroje pro správu, Vzdálená plocha, a poté klikněte na možnost Konfigurace hostitele relací vzdálené plochy.
2. Pod záhlavím Připojení klikněte pravým tlačítkem na připojení (např. RDP-tcp) a poté klikněte na položku Vlastnosti.
3. V dialogovém okně Vlastnosti pro dané připojení klikněte na kartu Obecné.
4. Vyberte nastavení ověření serveru a šifrování vhodná pro vaše prostředí na základě vašich požadavků na zabezpečení a úroveň zabezpečení, kterou podporují vaše klientské počítače.
5. Pokud vyberete protokol SSL (TLS 1.0), vyberte buď certifikát, který j e nainstalovaný na hostitelském serveru relací VP, nebo klikněte na tlačítko Výchozí a vytvoří se certifikát podepsaný svým držitelem. Pro výběr certifikátu nainstalovaného na hostitelském serveru relací VP klikněte na tlačítko Vybrat a v dialogovém okně Vybrat certifikát vyberte certifikát, který chcete použít, a klikněte na tlačítko OK.
6. Pokud používáte certifikát podepsaný svým držitelem, zobrazí se název certifikátu Generováno automaticky.
7. Klikněte na tlačítko OK.
Konfigurace ověření serveru a šifrování pro připojení pomocí Zásad skupiny
Ověření serveru a šifrování můžete nakonfigurovat také použitím následujících nastavení Zásad skupiny:
Nastavit úroveň šifrování klienta
Vyžadovat použití určité vrstvy zabezpečení pro připojení vzdálené plochy
Šablona certifikátu ověření serveru
Vyžadovat pro vzdálená připojení ověření uživatele na úrovni sítě
Tato nastavení Zásad skupiny se nacházejí v umístění Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Hostitel relací vzdálené plochy\Zabezpečení a lze je nakonfigurovat buď pomocí Editoru zásad místní skupiny, nebo Konzoly pro správu zásad skupiny (GPMC). Pamatujte, že tato nastavení Zásad skupiny mají přednost před nastaveními nakonfigurovanými v Konfiguraci hostitele relací vzdálené plochy, s výjimkou nastavení Zásad skupiny Šablona certifikátu ověření serveru.
Pomocí nastavení Zásad skupiny Kryptografie systému: K šifrování, výpočtu hodnoty hash a k podepisování používat algoritmus vyhovující standardu FIPS můžete nakonfigurovat hostitelský server relací VP tak, aby používal úroveň šifrování vyhovující standardu FIPS. Toto nastavení Zásad skupiny se nachází v umístění Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení a lze je nakonfigurovat buď pomocí Editoru zásad místní skupiny, nebo Konzoly pro správu zásad skupiny (GPMC). Pamatujte, že toto nastavení Zásad skupiny má přednost před nastavením nakonfigurovaným v Konfiguraci hostitele relací vzdálené plochy a má přednost před nastavením Zásad skupiny Nastavit úroveň šifrování klienta.
Další informace o konfiguraci nastavení Zásad skupiny najdete v buď v nápovědě nástroje Editor místních zásad skupiny ( http://go.microsoft.com/fwlink/?LinkId=143317), nebo v nápovědě nástroje GPMC ( http://go.microsoft.com/fwlink/?LinkId=143867) v Technické knihovně pro systém Windows Server.
Postupy řešení pro následující ID událostí: 1052, 1065, 1053
Tento problém vyřešíte pomocí následujícího postupu:
Pomocí Konfigurace hostitele relací vzdálené plochy zjistěte, který certifikát je třeba obnovit.
Obnovte certifikát používaný hostitelským serverem relací VP jedním z následujících postupů:
Obnovte certifikát pomocí stejného klíče. Tento postup zajistí maximální kompatibilitu s předchozími použitími průvodní dvojice klíčů, ale nijak nezvyšuje zabezpečení certifikátu a dvojice klíčů. Po obnovení certifikátu se starý certifikát archivuje.
Obnovte certifikát pomocí nového klíče. Tento postup umožní další používání existujícího certifikátu a s ním spojených údajů a současně zvýší sílu klíče spojeného s certifikátem. Po obnovení certifikátu se starý certifikát a dvojice klíčů archivují.
Nakonfigurujte hostitelský server relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL)
Pokud používáte certifikát podepsaný svým držitelem, který byl automaticky vygenerován hostitelským serverem relací VP, pamatujte, že hostitelský server relací VP automaticky obnoví tento certifikát 30 dní předtím, než skončí jeho platnost.
K provedení těchto postupů musíte mít členství v místní skupině Administrators nebo vám musí být delegováno příslušné pověření.
Jak zjistit, který certifikát je třeba obnovit
Jak zjistit, který certifikát je třeba obnovit:
1. Otevřete konfiguraci hostitele relací vzdálené plochy. K otevření konfigurace hostitele relací vzdálené plochy klikněte na nabídku Start, vyberte položku Nástroje pro správu, Vzdálená plocha, a poté klikněte na možnost Konfigurace hostitele relací vzdálené plochy.
2. V panelu Podrobnosti pod záhlavím Připojení klikněte pravým tlačítkem na připojení (např. RDP-tcp) a poté klikněte na položku Vlastnosti.
3. Na kartě Obecné klikněte na položku Vybrat.
4. V dialogovém okně Vybrat certifikát si všimněte, který certifikát je vybraný, a klikněte na tlačítko Zobrazit certifikát.
5. V dialogovém okně Certifikát klikněte na položku Obecné a poté zkontrolujte datum vypršení platnosti. Pokud má platnost certifikátu vypršet během několika dní, postupujte podle pokynů v části "Obnovení certifikátu pomocí stejného klíče" nebo "Obnovení certifikátu pomocí nového klíče".
6. Kliknutím na tlačítko OK zavřete dialogové okno Certifikát.
7. Kliknutím na tlačítko OK zavřete dialogové okno Vybrat certifikát.
8. Kliknutím na tlačítko OK zavřete dialogové okno Vlastnosti pro dané připojení.
Obnovení certifikátu pomocí stejného klíče
Tento postup můžete použít pouze k vyžádání certifikátů od certifikační autority (CA) rozlehlé sítě.
Obnovení certifikátu pomocí nového klíče:
1. Na hostitelském serveru relací VP otevřete modul snap-in Certifikáty pro počítač. Pokud jste ještě nepřidali konzolu snap-in Certifikáty, můžete to provést následujícím způsobem:
2. Klikněte na nabídku Start, klikněte na položku Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.
3. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
4. V dialogovém okně Přidat nebo odebrat moduly snap-in v seznamu Moduly snap-in k dispozici klikněte na položku Certifikáty a poté klikněte na tlačítko Přidat.
5. V dialogovém okně modulu snap-in Certifikáty klikněte na položku Účet počítače a klikněte na tlačítko Další.
6. V dialogovém okně Vybrat počítač klikněte na položku Místní počítač (počítač, ve kterém je spuštěna tato konzola) a poté klikněte na tlačítko Dokončit.
7. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.
8. Přesvědčte se, že certifikáty jsou zobrazeny podle logických úložišť certifikátů. V nabídce Zobrazení klikněte na položku Možnosti a v dialogovém okně Možnosti zobrazení se přesvědčte, že je vybrána možnost Podle logických úložišť certifikátů.
9. V konzole snap-in Certifikáty ve stromu konzoly rozbalte položku Certifikáty (místní), vyberte možnost Osobní a klikněte na položku Certifikáty.
10. V panelu podrobností klikněte na certifikát, který obnovujete.
11. V nabídce Akce vyberte položku Všechny úkoly, vyberte možnost Upřesnit operace a poté kliknutím na položku Obnovit tento certifikát se stejným klíčem spusťte Průvodce obnovením certifikátu.
12. Pokud je v okně Vyžádat certifikáty uveden více než jeden certifikát, vyberte certifikát, který chcete obnovit, a poté proveďte jednu z následujících činností:
13. Použijte výchozí hodnoty k obnovení certifikátu.
14. Klikněte na položku Podrobnosti a poté na položku Vlastnosti, abyste mohli poskytnout vlastní nastavení obnovení certifikátu. Je třeba znát certifikační autoritu, která certifikát vydává.
15. Klikněte na tlačítko Zapsat.
16. Po úspěšném dokončení Průvodce obnovením certifikátu klikněte na tlačítko Dokončit.
Obnovení certifikátu pomocí nového klíče
Tento postup můžete použít pouze k vyžádání certifikátů od certifikační autority rozlehlé sítě.
Obnovení certifikátu pomocí nového klíče:
1. Na hostitelském serveru relací VP otevřete modul snap-in Certifikáty pro počítač. Pokud jste ještě nepřidali konzolu snap-in Certifikáty, můžete to provést následujícím způsobem:
2. Klikněte na nabídku Start, klikněte na položku Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.
3. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in.
4. V dialogovém okně Přidat nebo odebrat moduly snap-in v seznamu Moduly snap-in k dispozici klikněte na položku Certifikáty a poté klikněte na tlačítko Přidat.
5. V dialogovém okně modulu snap-in Certifikáty klikněte na položku Účet počítače a klikněte na tlačítko Další.
6. V dialogovém okně Vybrat počítač klikněte na položku Místní počítač (počítač, ve kterém je spuštěna tato konzola) a poté klikněte na tlačítko Dokončit.
7. V dialogovém okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.
8. Přesvědčte se, že certifikáty jsou zobrazeny podle logických úložišť certifikátů. V nabídce Zobrazení klikněte na položku Možnosti a v dialogovém okně Možnosti zobrazení se přesvědčte, že je vybrána možnost Podle logických úložišť certifikátů.
9. V konzole snap-in Certifikáty ve stromu konzoly rozbalte položku Certifikáty (místní), vyberte možnost Osobní a klikněte na položku Certifikáty.
10. V panelu podrobností klikněte na certifikát, který obnovujete.
11. V nabídce Akce vyberte položku Všechny úkoly a poté kliknutím na položku Obnovit certifikát s novým klíčem spusťte Průvodce obnovením certifikátu.
12. V Průvodci obnovením certifikátu proveďte jednu z následujících akcí:
13. Použijte výchozí hodnoty k obnovení certifikátu.
14. Pokud chcete poskytnout vlastní nastavení obnovení certifikátu, klikněte na tlačítko Podrobnosti a poté na položku Vlastnosti. Je třeba znát zprostředkovatele kryptografických služeb (CSP) a certifikační autoritu, která certifikát vydává.
15. Vyberte sílu (v bitech) veřejného klíče spojeného s certifikátem.
16. Rovněž můžete povolit silnou ochranu privátního klíče. Povolením silné ochrany privátního klíče zajistíte, že při každém použití privátního klíče budete vyzváni k zadání hesla. To je užitečné, pokud chcete zajistit, aby privátní klíč nebyl použit bez vašeho vědomí.
17. Jakmile budete připraveni požádat o certifikát, klikněte na tlačítko Zapsat.
18. Po úspěšném dokončení Průvodce obnovením certifikátu klikněte na tlačítko Zavřít.
Konfigurace hostitelského serveru relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL)
Postup konfigurace hostitelského serveru relací VP pro používání certifikátu pro protokol TLS 1.0 (SSL):
1. Otevřete konfiguraci hostitele relací vzdálené plochy. K otevření konfigurace hostitele relací vzdálené plochy klikněte na nabídku Start, vyberte položku Nástroje pro správu, Vzdálená plocha, a poté klikněte na možnost Konfigurace hostitele relací vzdálené plochy.
2. V panelu podrobností pod záhlavím Připojení klikněte pravým tlačítkem na položku RDP-tcp a poté klikněte na položku Vlastnosti.
3. Na kartě Obecné klikněte na položku Vybrat.
4. V dialogovém okně Vybrat certifikát klikněte na certifikát, který chcete použít, a klikněte na tlačítko OK.
Home
CSY