E cam complicata istoria, dar mie mi se pare relevanta.
Se da o ferma de Terminal Servers si se dau o multime nedefinita de clienti cu Windows XP SP2 si Win 7 pe oricati biti. Se dau probleme de conectare:
- artefacte grafice sub XP
- dublu login sun XP: te loghezi pe ferma, apoi apare un al doilea login si abia dupa el vezi remote desktop
- mesaje de atentionare sub Win 7 ca serverul la care se conecteaza (in acelasi domeniu) nu e "trusted". Instalat certificat emis de o organizatie renumita, nu merge conexiunea pentru ca la client nu apare certification path completa si nu poate verifica lista de revocari.
Primul caz rezolvat destul de simplu: descoperit accidental ca acea problema a fost indusa de un "Security Update" emis de Microsoft care a busit clientul RDP 5. Instalat 6.1 pe vreo 100.000 de computere (fara gluma), totul merge bine. In acelasi caz descopar ca dublul login e un "feature" in XP SP2, acelasi client 6.1 nu face probleme sub SP3 (unde e inclus in instalare din start) sau Vista (Win 7 are alt client, RDP 7). Cauza e destul de simpla: ferma are load balancing, primul server la care nimeresti te trimite la cel mai putin ocupat server din ferma si ... trebuie sa te loghezi din nou si pe ala. Dumb, e clar ca se poate si fara, dar din SP3 incolo.
Al doilea caz inca nu e rezolvat. Chiar si un upgrade la SP3 nu rezolva automat problema pentru ca NLA exista dar este dezactivat implicit, iar activarea inseamna modificari in Registry. Tot la vreo 100.000 de computere.
Cazul 3 e mai neobisnuit. Microsoft se jura cu mana pe inima ca merge, ca nu e nici o problema, ca nu e configurat bine certificatul, ca organizatia emitenta are o problema, ca se rezolva instaland un server IIS intern pe care sa public CRL (Certificate Revocation List). WTF?
Dupa 6 luni de sapat in problema gasesc o mentiune ca desi nu e un bug sub Win 7 SP1 RC1 problema care nu exista chiar nu mai apare. Tocmai am instalat pe o masina de test si merge fara probleme, bugul care nu exista nu mai isi face simtita prezenta. Ce e nasol e ca:
- documentatia M$ pentru utilizarea certificatelor SSL pentru RDP e cel putin incompleta (si am citit zeci de documente si discutii pe site-urile M$ despre asta). Un amanunt esential nu exista nicaieri si l-am descoperit din pura intamplare dintr-o diferenta de aspect la 2 iconite intr-o consola
- toate discutiile cu M$ au fost inutile, ei spun ca merge si ca problema e oriunde, numai la ei nu
- problema nu se poate rezolva cu uneltele M$ cam orice ai face; OpenSSL sau o unealta similara sunt necesare pentru vreo 2-3 operatiuni distincte (nu doar generare de chei, ci si conversii intre formatele de fisiere)
- pe forumurile M$ orice raspuns adreseaza orice alta intrebare decat cea pusa daca cineva se prindea sa puna intrebarea corecta, dar problema e cunoscuta totusi din moment ce a fost reparata in service pack.
Acum astept un upgrade la 100.000 de computere de la XP SP2 la XP SP3 ca dupa cateva saptamani sa treaca la Win 7 fara nici un SP. Dupa aceea astept cu nerabdare un upgrade la Win 7 SP1, sper sa fie in cursul acestui deceniu care tocmai a inceput, ca e ceva de munca