Я только что установил последнее обновление Windows (исправление уязвимости АНБ во вторник) и теперь не могу подключиться к удаленному рабочему столу.
telnet servername 3389
, тогда он инициирует соединение, поэтому я знаю, что порт открыт. Я понимаю, что в недавнем обзоре патчей «NSA edition» были некоторые исправления RDP, но я не могу найти никого, кто бы мог внезапно были проблемы на неделе.
Я хочу понять, в чем проблема, прежде чем обращаться в хостинговую компанию, поэтому я публикую здесь.
Обновление:
Хотя у меня все еще нет физического доступа к серверу, я вспомнил, что иметь виртуальную машину Windows 7, размещенную на самом сервере. Я смог разобраться в этом и открыть оснастку сертификатов сервера, подключившись к локальному IP-адресу 10.0.0.1.
Это показывает, что срок действия сертификата RDP действительно истек, хотя при подключении я не получаю ошибок, которые предполагаются как таковые. Я определенно подключаюсь ежедневно, и поскольку срок его действия истек 2 месяца назад, я предполагаю, что какое-то обновление безопасности удалило любой другой сертификат, который был в хранилище удаленного рабочего стола, и он не обновлялся сам.
Итак, пытаюсь выяснить способ установите здесь другой сертификат.
Обновление 2
Наконец, нашел это в журнале событий в разделе «Административные события» (путем удаленного подключения через виртуальную машину):
«Терминальному серверу не удалось создать новый сертификат. подписанный сертификат, который будет использоваться для аутентификации сервера терминалов по SSL соединения. Соответствующим кодом состояния был «Объект уже существует».
Это кажется полезным, хотя и немного другая ошибка. Не могу перезагрузиться сегодня вечером, поэтому придется проверить снова завтра.
Решение в основном здесь
https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/
Это тоже помогло:
Предполагая, что вы уже проверили, что сертификат, указанный в разделе Сертификаты> Удаленный рабочий стол> Сертификаты, недействителен ...
Примечание: я сделал этот снимок экрана после того, как я все исправил - так что эта дата истечения срока является вновь созданным сертификатом, который он сделал сам.
Затем вам нужно переименовать или удалить этот файл - и затем он воссоздает его:
"C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys \ f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757"
Это хорошо известное имя файла, начинающееся с [116682718] 1162719]. Затем перезапустите службу Настройка удаленного рабочего стола
, и она должна создать ее заново. (Примечание: на самом деле может не потребоваться перезапуск службы - просто подождите, чтобы увидеть, будет ли она воссоздана с тем же именем файла в течение минуты.)
Это может занять некоторое время с разрешениями, и вам может потребоваться стать владельцем файл, а затем дополнительно примените разрешения. Примечание. Право собственности не подразумевает разрешений. Вы должны добавить разрешения после вступления во владение.
Как я уже сказал, у меня нет физического доступа к серверу - если да, то вышеперечисленного должно хватить.
Мне повезло, что я смог удаленно подключиться через другую машину в той же локальной сети и изменить реестр.
Я хотел ОТКЛЮЧИТЬ аутентификацию, чтобы иметь возможность подключаться и получать доступ удаленно. Для этого используются следующие записи реестра HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp
. Установите для существующих ключей SecurityLayer
и UserAuthentication
значение 0
Создайте файл RDP (откройте mstsc и нажмите «Сохранить» после ввода имени сервера) и в блокноте добавьте строку enablecredsspsupport: i: 0
где-нибудь. Это отключает ожидание безопасности.
Когда вы затем запустите файл RDP, он должен позволить вам БЕЗОПАСНО подключиться и получить доступ к вашему серверу.
Как только вы подключитесь, измените эти две записи реестра, а затем продолжайте и удалите f686 ...
файл ...
Эти настройки устранили мою проблему:
1. В панели управления щелкните «Администрирование», а затем дважды щелкните «Локальная политика безопасности».
2. В локальных параметрах безопасности разверните «Локальный» Политики, а затем щелкните Параметры безопасности.
3. В разделе «Политика» на правой панели дважды щелкните Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписи, а затем щелкните Включено. В моем случае это было отключено. Поэтому я просто включил его и выполнил указанную ниже команду.
Другой вариант, который решит эту проблему:
Протоколы не были включены на сервере. Я использовал IIScrypto и включил TLS1.2, и все начало работать
Привет всем в моей среде, это было вызвано созданием нового самоподписанного сертификата. TLS 1.0 либо отключен в реестре, либо не существует в реестр и новый самозаверяющий сертификат не находился в хранилище доверенных корневых центров сертификации.
Вы можете доказать это двумя способами, прежде чем редактировать реестр. загрузите IIS Crypto и посмотрите, что включено и отключено в протоколах, шифров, хэше и обмене ключами.
Иногда, хотя IIS Crypto показывает, что TLS включен, даже если он не включен в реестре, просто к сведению.
Ваш следующий вариант - включить FIPS в политике локальной группы, что приведет к включению и использованию TLS 1.0, 1.1 и 1.2. Включите FIPS, а затем попробуйте RDP на свой компьютер, на этот раз он будет работать, даже если TLS отключен в реестре. Вы не хотите использовать FIPS постоянно, хотя это только для устранения неполадок, поэтому отключите его на сервере и перейдите в реестр.
Перейдите в HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
и в разделе «Протоколы» добавьте три новых ключа, назовите их TLS 1.0
, TLS 1.1
и TLS 1.2
, затем создайте два подключа под каждой записью TLS Назовите их Клиент
и Сервер
.
Внутри ключа клиента
и сервера
создаются две 32-битные записи DWORD, одна под названием DisabledByDefault
с Значение
установлено на 0 и Включено
со значением, установленным на 1.
Как только вы это сделаете, и срок действия вашего самоподписанного сертификата не истечет и в правильных хранилищах вы сможете использовать RDP снова на ваш сервер.