Vadim's KB

Перемещение служб Terminal Services (Remote Desktop) Gateway в сайт IIS, отличный от Default Web Site

15. октября 2015 koba (0)
Необходимо произвести следующие действия:
  1. Создать новый сайт, настроить на нем привязку на нужный IP, порт 443 и указать SSL-сертификат.
  2. В сайте создать 2 новых приложения (Application) с именами "Rpc" и "RpcWithCert". При создании приложений указать в качестве каталога размещения каталог "%windir%\System32\RpcProxy".
  3. Отредактировать файл "C:\Windows\System32\inetsrv\config\applicationHost.config". В файле скопировать содержимое разделов "Default Web Site/Rpc" и "Default Web Site/RpcWithCert" в соответствующие разделы нового сайта.
  4. Перезапустить службы IIS.
  5. При необходимости добавить запись в реестр сервера (потребуется перезагрузка):
reg add HKLM\Software\Microsoft\RPC\RpcProxy /v Website /t REG_SZ /d <new-web-site>

Примечание.
Открывать файл "C:\Windows\System32\inetsrv\config\applicationHost.config" в 64-битной системе необходимо также 64-битным текстовым редактором.

Смена алгоритма подписи SSL-сертификатов в Windows Server Certificate Authority

13. октября 2015 koba (0)
Необходимо заменить используемый алгоритм (Hash Algorithm) SHA-1 на SHA-256 и перевыпустить корневой сертификат CA.

1. На сервере CA выполнить команду:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
2. Перезапустить сервис CA
3. Перевыпустить новый корневой сертификат CA (All Tasks - Renew CA Certificate)

В дальнейшем для выпуска сертификатов использовать шаблоны с минимальным уровнем CA (Minimum Supported CAs) не ниже "Windows Server 2008 Enterprise".

Отключение HSTS (HTTP Strict Transport Security) на KEMP LoadMaster

13. октября 2015 koba (0)
Когда VMware View Connection Server опубликован по протоколу HTTPS на одном доменном имени с публичным сайтом (протокол HTTP) в ряде браузеров (Chrome) происходит автоматическое перенаправление пользователя на сайт View при открытии публичного сайта (HTTP -> HTTPS). Причиной является использование механизма HTTP Strict Transport Security в VMware View Connection Server.

Решается модификацией заголовка, возвращаемого VMware View Connection Server. В KEMP LoadMaster для этого необходимо:
1. Создать правило Header Modification Rule:
Rule Type: Replace Header
Header: Strict-Transport-Security
Pattern: max-age=31536000
Replacement: max-age=0
2. Добавить правило в опубликованный HTTPS-сервис (Advanced Properties - HTTP Header Modification).