声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com

   我在测试windows 2008 TS GW时碰到问题如下:
介绍:我有两台windows 2008,其中一台:安装域控制器,证书颁发机构,终端服务器,终端服务REMOTEAPP服务器,终端服务WEB访问(主机名:godwin2008.svrapp.com)
另外一台:安装终端服务网关(主机名:godwin2008gw.svrapp.com),这台安装完毕后,进入此机器申请证书,双击查看如附件1,并应用到TS GW上!
然后找到一台XP机器,其不在域中,安装证书提示证书问题!我在XP上面查看证书,提示"没有足够的信息,不能验证该证书"为什么会这样!导出来也正常

回答:根据您的描述,我对这个问题的理解是: 在测试Windows Server 2008 TS GW的时候,遇到证书问题,提示:“没有足够的信息,不能验证该证书”

自己或者CA签名的证书可以被TS Gateway使用。通常来说,由于根CA证书将被自动保存到客户端,在域环境中,我们建议使用企业CA签名认证过的证书(信任的证书)。
对于一台工作组机器来说,我们可能需要手动导入根CA证书(信任的证书)到这个客户端。根CA证书通常可以在CA服务器的systemroot\System32\CertSrv\CertEnroll目录下找到。
同时我还引述一些附加的信息给您:
===========================================
Install the certificate of the enterprise root CA as a trusted root CA certificate (英文)
http://technet.microsoft.com/en-us/library/cc758128.aspx
您尝试连接到终端服务器使用了 Single Sign 基于 Windows Server 2008-计算机的功能启用时错误消息:"的登录尝试失败"
http://support.microsoft.com/kb/954397/zh-cn?spid=12925&sid=496
您使用智能卡身份验证从客户端计算机在运行 Windows Vista 或 Windows Server 2008 登录到基于 Windows Server 2008-终端服务器时出现错误信息:"0xC000040C"

http://support.microsoft.com/kb/954910/zh-cn?spid=12925&sid=496

我很高兴您已经找到了原因,因为AD与终端服务器装在一台机器上了,需要修改一个组策略。另外您想得到TS会话broker相关配置实现资料。
关于TS会话broker相关配置实现资料,我已经提供在下面了。同时您能否告诉我,我们需要修改哪一个组策略,这样的话,更多的人可以从我们的帖子中受益。谢谢您。
===========================================
TS Session Broker Load Balancing Step-by-Step Guide
http://technet.microsoft.com/en-us/library/cc772418.aspx

我了解到你想知道TS Session broker和TS GW是否可以共存在一台计算机上,后者安装在后端的终端服务器上。
根据官方文档,TS Session broker和TS GW的安装并未做这样的限制。我认为应该可以共存在一台计算机上的。
同时我们安装TS网关和TS Session Broker时需要满足以下条件。

若要正常使用 TS 网关,必须满足下列先决条件:
================================
1) 须拥有安装了 Windows Server 2008 的服务器
2) 必须是要配置为 TS 网关 服务器的计算机上 Administrators 组的成员
3) 必须为 TS 网关 服务器获取安全套接字层 (SSL) 证书(如果还没有该证书)。默认情况下,在 TS 网关 服务器上,RPC/HTTP 负载平衡服务和 Internet 信息服务 (IIS) 服务使用传输层安全 (TLS) 1.0 对通过 Internet 在客户端与 TS 网关 服务器之间进行的通信加密。若要正常使用 TLS,必须在 TS 网关 服务器上安装 SSL 证书
4) 如果配置的 TS 网关 授权策略要求客户端计算机上的用户是 Active Directory 安全组的成员,才能连接到 TS 网关 服务器,或如果要部署负载平衡的 TS 网关 服务器场,则 TS 网关 服务器必须也是 Active Directory 域服务域的成员
若要参与 TS Session Broker,服务器必须符合下列条件:

================================
1) 服务器必须安装了“终端服务器”角色服务。
2) 服务器必须是 Active Directory 域的成员。
3) 服务器必须是负载平衡终端服务器场的成员。
4) 服务器必须是 TS Session Broker 服务器上的 Session Directory Computers 本地组的成员。
5) 服务器必须加入 TS Session Broker 中的场。
我们可以查看以下中文技术文章:
=================================
TS Session Broker 概述
http://technet2.microsoft.com/windowsserver2008/zh-CHS/library/eac0b3d4-c74c-465c-a2c7-536964fdd8842052.mspx?mfr=true
安装 TS 网关的先决条件
http://technet2.microsoft.com/windowsserver2008/zh-CHS/library/eac0b3d4-c74c-465c-a2c7-536964fdd8842052.mspx?mfr=true
徐颖彧 微软全球技术支持中心