Discussion :

[thidenthi]

Bonjour

je me retourne vers vous , ayant un peu délaissé ce problème pour d'autres .

j'ai redirige le port 443 vers le pc qui faut et voici ce que ça m'affiche lorsque j'essaie de me connecter avec la connexion à distance



un problème de certificat apparemment

avez vous une solution rapide pour remédier à cela

Merci beaucoup

[Michaël]

Le nom qui est masqué et le nom du certificat doivent sans doute être différents

[thidenthi]

Le nom qui est masqué et le nom du certificat doivent sans doute être différents

c'est l'adresse ip publique du serveur
je me suis connecte à TSE2008R2 > c le nom du serveur

et ladresse ip publique du serveur de passerelle a ete configure

[thidenthi]

quand je clique sur afficher le certificat ça me met

"Ce certificat racine de l'Autorité de certification n'est pas de confiance car il ne fait pas partie du magasin d'autorités de certification de racine de confiance."

[Michaël]

Alors en fait tu as deux problèmes : il ne faut pas accéder au serveur via son ip mais son nom complet. Le certificat doit être signé par une autorité de certification et le certificat racine de cette autorité doit être distribué via gpo si possible et tu n'auras plus de message relatif à l'autorité de confiance non connue.
Si tu donnes l'accès à rds ailleurs que sur les ordinateurs de l'entreprise, tu ne pourras pas distribuer ce certificat : si tu ne veux plus d'erreur, il faudra acheter un certificat auprès d'une autorité de certification reconnue (verisign, thawte, etc).

[thidenthi]

Alors en fait tu as deux problèmes : il ne faut pas accéder au serveur via son ip mais son nom complet. Le certificat doit être signé par une autorité de certification et le certificat racine de cette autorité doit être distribué via gpo si possible et tu n'auras plus de message relatif à l'autorité de confiance non connue.
Si tu donnes l'accès à rds ailleurs que sur les ordinateurs de l'entreprise, tu ne pourras pas distribuer ce certificat : si tu ne veux plus d'erreur, il faudra acheter un certificat auprès d'une autorité de certification reconnue (verisign, thawte, etc).

le serveur est relié à internet , lorsque j'ai installe le serveur de passerelle je l'ai configurer par defaut et choisit le certificat par defaut preprod-TSE2008R2-CA , preprod etant mon domaine et TSE2008R2 le nom du serveur

comment je peux faire alors pour accéder depuis n importe quel pc connecté au web au pc serveur TSE2008R2 .

sur ma session administrateur grace a la connection bureau a distance

jy accede actuellement en local sans probleme , mais je voudrais y acceder depuis chez moi

merci de ton aide

[Michaël]

Je n'ai pas fait de vrai schéma avec la séparation lan/dmz (clic sur l'image)



En dessous d'internet c'est l'entreprise. Au dessus, c'est internet et donc des accès depuis n'importe quel ordinateur.

Si je prends un portable qui est dans l'entreprise, ce dernier va être dans le domaine et va donc recevoir le certificat racine par gpo (il faut la créer). Si le certificat tse2008r2.preprod.fr est auto-signé, il te faudra une autorité de certification pour qu'elle signe un certificat. Le portable dans l'entreprise peut accéder directement au rds sur le serveur db.domaine.interne, ça pourra poser des problèmes de certificat si db.domaine.interne est auto-signé. Quand le portable est connecté sur internet, il pourra se connecter à db.domaine.interne via tse2008r2.preprod.fr. Là aucun problème puisque tse2008r2.preprod.fr a été signé par ca.preprod.fr et le portable possède le certificat racine (via gpo) de ca.preprod.fr donc il fera confiance à tse2008r2.preprod.fr et il n'aura pas de problèmes de certificat

En revanche, tout change pour l'ordinateur quelconque en dehors de l'entreprise. Dans mon exemple, on prend un ordinateur public où on ne peut pas installer de certificat racine dessus. On ne pourra donc pas ajouter le certificat racine de ca.preprod.fr dessus (en le téléchargeant, les gpo ne peuvent pas s'appliquer en dehors de l'entreprise). En voulant accéder à db.domaine.interne via la passerelle tse2008r2.preprod.fr, on aura un message d'avertissement disant que le certificat tse2008r2.preprod.fr n'est pas de confiance car il a été signé par une autorité qui n'est pas de confiance. A chaque fois, on aura cet avertissement : c'est une sécurité. La solution dans ce cas est d'acheter un certificat tse2008r2.preprod.fr chez une autorité de confiance (verisign, etc) et de l'installer sur la passerelle. Comme ça les clients externes à l'entreprise verront que le certificat tse2008r2.preprod.fr a été signé par une autorité de confiance et il n'y aura pas d'avertissement.

Je pense qu'il faut relire ça plusieurs fois pour bien comprendre comment ça marche Si c'est pas clair, hésite pas

[thidenthi]

merci bien je vais lire ça à tête reposée