- Remove From My Forums
-
Question
-
Возникла проблема на Windows server 2012R2 -перестал работать RDP, в журналах только ошибка «отсутствует доступ к закрытой части ключа SSL», что только уже не делал:
Очищал историю подключений в реестре
До настраивал параметры безопасности доступа к папке C://ProgramData/microsoft/crypto/rsa/machinekeys
Подскажите куда копать?
All replies
-
Возникла проблема на Windows server 2012R2 -перестал работать RDP, в журналах только ошибка «отсутствует доступ к закрытой части ключа SSL», что только уже не делал:
Очищал историю подключений в реестре
До настраивал параметры безопасности доступа к папке C://ProgramData/microsoft/crypto/rsa/machinekeys
Подскажите куда копать?
https://answers.microsoft.com/ru-ru/profile/430f0bf5-051c-45da-ae93-fbb5cd44fcf8 — вот этой пользовался инструкцией, но не могу в Windows Server 2012 R2 найти вкладку «Свойства RDP-TCP», как ее править? Через реестр?
-
Привет,
Это может произойти из-за конфликта назначения портов. Эта проблема может указывать на то, что другое приложение на сервере удаленного рабочего стола использует тот же TCP-порт, что и протокол удаленного рабочего стола (RDP). Порт по умолчанию,
назначенный для RDP, — 3389.На Windows Server 2012 R2 убедитесь, что все следующие службы в коллекции сеансов запущены и проверены должным образом.
-Уровень безопасности: уровень безопасности RDP.
-Уровень шифрования: клиент-совместимый.
— Параметр «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети» должен быть снят.Устранение неполадок с отключением удаленного рабочего стола
https://docs.microsoft.com/en-GB/troubleshoot/windows-server/remote/troubleshoot-remote-desktop-disconnected-errorsНадеюсь, это разрешит ваш запрос!!
—Если ответ полезен, проголосуйте и примите его как ответ—
-
- Привет, перепробовал уже и настройку политик, для RDP у меня не стандартный порт, и про этой статье проходил — ошибка остается, уже не знаю куда копать… При подключении через mstsc «Произошла внутренняя ошибка»
Из ошибок в журналах на сервере:
1) Журнал RemoteDesktopServices-RdpCoreTS: RDP_TCP: произошла ошибка при переходе из StatePreparingX224CC в ответ на Event_ERROR_SendingX224CC (код ошибки 0x0)
2) Журнал RemoteAccessServer: Монитор Services изменил состояние с Healthy на Unhealthy Эвристические ИД сбоя, вызвавшего изменение состояния services: c0000001
3) Из общих журналов: Schannel Произошла неустранимая ошибка при попытке обращения к закрытому ключу учетных данных SSL server. Код ошибки, возвращенный модулем шифрования: 0x8009030D, внутреннее состояние ошибки: 10001 - Привет, перепробовал уже и настройку политик, для RDP у меня не стандартный порт, и про этой статье проходил — ошибка остается, уже не знаю куда копать… При подключении через mstsc «Произошла внутренняя ошибка»
Добрый день, уважаемые читатели моего блога. В этой статье я рассказываю, как происходить настройка rdp windows server 2012 r2. Во всех операционных системах windows настройка rdp довольно простая задача, но конечно есть особенности, я расскажу и покажу, как настроить rdp в windows 2012 r2…
Введение
Я уже рассказывал, как включить удаленный рабочий стол (rdp) удаленно тут. А также рассказывал, как поменять стандартный порт rdp 3389 на любой другой. Теперь давайте посмотрим, как собственно происходит настройка rdp на winows server 2012, также полезно будет почитать как подключиться к удаленному рабочему столу windows 10.
Хочу напомнить, что rdp — это remote desktop protocol или если по-русски протокол удаленного рабочего стола. Давайте перейдем к настройке.
Настройка rdp windows server 2012 r2 — пошаговая инструкция
Итак, первым делом нам надо включить remote desktop в server 2012 r2. Выполним следующие простые шаги:
- Запускаем оснастку Server Manager (сделать это можно кликнув по кнопке прикрепленной на панели задач):
- В результате откроется окно настроек, Server Manager. Нам необходимо перейти в раздел Local Serve (слева). Откроется окно настроек сервера. Необходимо найти среди всех настроек пункт Remote Desktop, щелкнуть по значению Disabled.
- В результате нажатия значения Disabled, откроется окно включения rdp. Необходимо выбрать следующие значение: Allow remote connections to this computer. Галочка — Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended) означает, что подключиться по RDP можно будет только с компьютеров, у которых есть поддержка Network Level Authentication (проверка подлинности на уровне сети). Если простым языком, то вы не сможете подключиться к этому компьютеру по rdp с Windows XP и windows 2003 (если использовать бубен, то сможете). Так что можете эту галку оставить включенной.
- Нажимаем ОК. Все, после этого ваш компьютер доступен по RDP. Но есть особенность с FireWall. Он может блокировать подключения, читаем ниже…
FireWall блокирует RDP
Итак, вы включили rdp, по инструкции выше, но подключиться так и не можете к компьютеру. По умолчанию, в Windows есть разрешающие правила rdp в FireWall. После включения remote desktop эти правила активируются. Но есть одно но, включаются правила только для сетей Domain и Private, и если ваш компьютер находится в сети Public то вы не сможете подключиться по rdp. Надо эти правила активировать. 
Вот собственно и все, на этом настройка rdp windows server 2012 r2 завершена. Можете спокойно подключаться к своему серверу. Как это сделать в Windows Xp написано в моей статье — 7.1 rdp клиент для windows xp.
Если у вас остались вопросы, замечания, или какая-то критика, то прошу оставлять их в комментариях. С вашей помощью буду приводить статьи к идеальному виду. Надеюсь, вы нашли ответ на свой вопрос.
С уважением, Александр Глебов.
Загрузка…
Интересные статьи по теме:
zenon46
25.05.22
✎
10:51
Доброго дня всем! Внезапно на Server 2012R2 перестал работать RDP, клиенты не могут к нему подключиться, на самом сервере если запустить подключение к удаленному рабочему столу по адресу 127.0.0.1, тоже не происходит подклчюения.
Выходит ошибка «Не удается подключиться к удаленному компьютеру. Повторите попытку подключение.». Вроде все службы запущены, в логах чисто. Куда копать?
Gary417
25.05.22
✎
10:53
порт открыт? telnet проходит?
zenon46
25.05.22
✎
10:54
(1) порт в статусе listning.
vbus
25.05.22
✎
10:56
для начала на сервере проверить порт netstat -aon |findstr 3389
zenon46
25.05.22
✎
10:57
zenon46
25.05.22
✎
11:04
(1) telnet заходит черное окно с мигающим курсором, значит порт открыт
vbus
25.05.22
✎
11:13
По адресу 127.0.0.1 у меня тоже не подключается, пишет компьютеру не удалось подключиться к другому сеансу консоли, так как сеанс уже запущен.
Попробуй с другого компа в командной строке mstsc /v:адрес_компа , может напишет какую-нибудь ошибку для ориентира.
zenon46
25.05.22
✎
11:16
(6) Ошибка та же «Не удается подключиться к удаленному компьютеру. Повторите попытку подключение.».
yopQua
25.05.22
✎
11:17
перегрузить?
zenon46
25.05.22
✎
11:20
(8) не помогает)
yopQua
25.05.22
✎
11:24
zenon46
25.05.22
✎
11:27
Попробовал с «проблемного» сервера подключиться на другой сервер, то же не подключается (хотя тот сервер работает и люди на нем работают) но уже с другой ошибкой «Произошла ошибка при проверке подлинности. Не удается установить связь с локальной системой безопасности»
zenon46
25.05.22
✎
11:34
Еще на сервере установлен VipNet CSP но раньше таких проблем не было, работает уже давно.
vbus
25.05.22
✎
11:34
У тебя по паролю вход или сертификат?
vbus
25.05.22
✎
11:35
С VipNet были не объяснимые проблемы, есть возможность удалить?
zenon46
25.05.22
✎
11:37
(13) по паролю
zenon46
25.05.22
✎
11:37
(14) проблемно конечно, там куча сертификатов и в бухнях они используются
vbus
25.05.22
✎
11:42
(15) По паролю, есть ограничения по времени действия пароля? Поставить время действия не ограничено.
(16) У меня все серт-ты оставались на месте, но резервная копия через экспорт с закрытыми ключами , должна быть конечно.
zenon46
25.05.22
✎
11:48
(17) нет ограничений по паролям. Дело в том что с ЭТОГО сервера я на другой не могу подключиться, хотя с компа в этой сети на ДРУГОЙ сервер подключается. Получается что-то на самом сервере, причем даже не задумывается тупо, после нажатия кнопки подключить моментально выходит окно с сообщением об ошибке.
vbus
25.05.22
✎
11:57
Может проверить зависимые службы из диспетчера серверов
WIN-SER Вспомогательная служба IP iphlpsvc Выполняется Автоматически
WIN-SER Диспетчер подключений удаленного доступа RasMan Выполняется Автоматически
WIN-SER Брандмауэр Защитника Windows mpssvc Выполняется Автоматически
WIN-SER Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности IKEEXT Выполняется Автоматически (триггер)
WIN-SER Маршрутизация и удаленный доступ RemoteAccess Выполняется Автоматически (отложенный запуск)
WIN-SER Сетевой вход в систему Netlogon Остановлено Вручную
WIN-SER Служба управления удаленным доступом RaMgmtSvc Выполняется Автоматически (отложенный запуск)
WIN-SER Служба базовой фильтрации BFE Выполняется Автоматически
WIN-SER Служба SSTP SstpSvc Выполняется Вручную
ИС-2
25.05.22
✎
12:40
(0) перезагрузка ?
Попробовать зайти не по ip, а по имени сервера?
Другой RDP клиент ?
zenon46
25.05.22
✎
12:57
(19) Удалил VIPNET все заработало….видимо майкрософт что-то выпустило интересное
zenon46
25.05.22
✎
13:26
Выяснилось что на сервере где нет VipNet используются Security Packages
kerberos
msv1_0
tspkg
pku2u
wdigest
schannel
А где есть
kerberos
msv1_0
tspkg
pku2u
wdigest
sspp
При попытка изменить sspp на schannel — получаем ошибку (
zenon46
25.05.22
✎
14:53
Проблему решил через костыли в реестре \HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer — поставил 0, заработало.
zenon46
25.05.22
✎
15:45
Теперь нет подключения к SQLServer уже на другой машине но тоже с установленным VipNet, 1С выбрасывает с ошибкой «ошибка безопасности ssl»
zenon46
25.05.22
✎
17:02
Во втором случае не возможности подключения к SQL Server пришлось с клиентской машины удалить VipNet и установить CryptoPRO (SQL сервер перезагружать нельзя), и все заработало. Осталось только 90 дней на покупку лицензии на крипто про. Не понятно что случилось с VipNet именно сегодня но в дух разных местах, при разных сценариях работы но схожих только в использовании шифрования, VipNET подложил свинью.
yopQua
25.05.22
✎
17:30
ахренеца бубны танцы
zenon46
25.05.22
✎
21:14
(26) сам в шоке, денек выдался не простой. И я так понимаю везде где есть VipNet и работа с использованием шифрования, можно ожидать «приключений».
yopQua
26.05.22
✎
09:21
ну выход то есть: как всегда удалить венду
- Работа
- Cancel
Внезапно перестали подключаться юзеры. При попытке подключения выдает ошибку: «удалённый сеанс отключён поскольку отсутствуют доступные серверы лицензирования». Не могут подключиться ни обычные пользователи, ни администраторы.
Проблема и решение:
Помог запуск mstsc с параметром:
mstsc /admin
По-моему, раньше это называлось «нулевая сессия».
В таком варианте подключиться смог. Юзеров с правами пользователей по-прежнему не пускает. Ошибка: «Доступ к требуемому сеансу отклонен».
В диспетчере сервера — ошибки службы лицензирования рабочих столов. Отсутствует сервер лицензирования.
Настройки удаленных рабочих столов и их службы лицензирования — правильные. Поиграл настройками, удалил и заново прописал сервер лицензирования, изменил режим лицензирования с «на пользователя» на «на устройство» и обратно «на пользоателя».
После этого ошибка у юзеров при подключении сменилась на другую:
«Удаленный компьютер отключил сеанс, из-за ошибки в протоколе лицензирования».
Погуглил.
Прочитал, что надо удалить ключ в реестре:
HKLM\SYSTEM\CurrentControlSet\Control\Te
https://social.technet.microsoft.com/Forums/ru-RU/c702783e-9298-47af-a427-fd94bd2957b5/-server-2012?forum=WS8ru
Проблема в том, что просто так его не удалить даже с правами администратора. Редактор реестра нужно запускать с правами системы. Для этого служит PCTools от Марка Руссиновича, инструкция здесь:
http://forum.oszone.net/thread-267821.html
Удалил.
После этого перезагрузился и сеансы у пользователей заработали.
Были бы лицензии — их, вероятно, можно было бы просто переактивировать.
После установки обновления KB4103718 на моем компьютере с Windows 7 я не могу удаленно подключится к серверу c Windows Server 2012 R2 через удаленный рабочий стол RDP. После того, как я указываю адрес RDP сервера в окне клиента mstsc.exe и нажимаю «Подключить», появляется ошибка:
Подключение к удаленному рабочему столу
Произошла ошибка проверки подлинности.
Указанная функция не поддерживается.
Удаленный компьютер: computername
После того, как я удалил обновление KB4103718 и перезагрузил компьютер, RDP подключение стало работать нормально. Если я правильно понимаю, это только временное обходное решение, в следующем месяце приедет новый кумулятивный пакет обновлений и ошибка вернется? Можете что-нибудь посоветовать?
Ответ
Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлений Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывают патчи в данном обновлении.
В своей проблеме вы не одиноки. Данная ошибка может появится в любой операционной системе Windows или Windows Server (не только Windows 7). У пользователей английской версии Windows 10 при попытке подключится к RDP/RDS серверу аналогичная ошибка выглядит так:
An authentication error has occurred.
The function requested is not supported.
Remote computer: computername
Ошибка RDP “An authentication error has occurred” может появляться и при попытке запуска RemoteApp приложений.
Почему это происходит? Дело в том, что на вашем компьютере установлены актуальные обновления безопасности (выпущенные после мая 2018 года), в которых исправляется серьёзная уязвимость в протоколе CredSSP (Credential Security Support Provider), использующегося для аутентификации на RDP серверах (CVE-2018-0886) (рекомендую познакомится со статьей Ошибка RDP подключения: CredSSP encryption oracle remediation). При этом на стороне RDP / RDS сервера, к которому вы подключаетесь со своего компьютера, эти обновления не установлены и при этом для RDP доступа включен протокол NLA (Network Level Authentication / Проверку подлинности на уровне сети). Протокол NLA использует механизмы CredSSP для пре-аутентификация пользователей через TLS/SSL или Kerberos. Ваш компьютер из-за новых настроек безопасности, которые выставило установленное у вас обновление, просто блокирует подключение к удаленному компьютеру, который использует уязвимую версию CredSSP.
Что можно сделать для исправления эту ошибки и подключиться к вашему RDP серверу?
- Самый правильный способ решения проблемы – установка последних кумулятивных обновлений безопасности Windows на компьютере / сервере, к которому вы подключаетесь по RDP;
- Временный способ 1. Можно отключить проверку подлинности на уровне сети (NLA) на стороне RDP сервера (описано ниже);
- Временный способ 2. Вы можете на стороне клиента разрешить подключение к RDP серверам с небезопасной версией CredSSP, как описано в статье по ссылке выше. Для этого нужно изменить ключ реестра AllowEncryptionOracle (команда
REG ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
) или изменить настройки локальной политики Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула), установив ее значение = Vulnerable / Оставить уязвимость).Это единственный способ доступа к удаленному серверу по RDP, если у вас отсусвует возможность локального входа на сервер (через консоль ILO, виртуальной машины, облачный интерфейс и т.д.). В этом режиме вы сможете подключиться к удаленному серверу и установить обновления безопасности, таким образом перейдете к рекомендуемому 1 способу. После обновления сервера не забудьте отключить политику или вернуть значение ключа AllowEncryptionOracle = 0 :
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0
Отключение NLA для протокола RDP в Windows
Если на стороне RDP сервера, которому вы подключаетесь, включен NLA, это означает что для преаутентификации RDP пользователя используется CredSPP. Отключить Network Level Authentication можно в свойствах системы на вкладке Удаленный доступ (Remote), сняв галку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети / Allow connection only from computers running Remote Desktop with Network Level Authentication (recommended)» (Windows 10 / Windows 8).
В Windows 7 эта опция называется по-другому. На вкладке Удаленный доступ нужно выбрать опцию «Разрешить подключения от компьютеров с любой версией удаленного рабочего стола (опасный) / Allow connections from computers running any version of Remote Desktop (less secure)».
Также можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики — gpedit.msc (в Windows 10 Home редактор политик gpedit.msc можно запустить так) или с помощью консоли управления доменными политиками – GPMC.msc. Для этого перейдите в разделе Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security), отключите политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети (Require user authentication for remote connections by using Network Level Authentication).
Также нужно в политике «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP.
Для применения новых настроек RDP нужно обновить политики (gpupdate /force) или перезагрузить компьютер. После этого вы должны успешно подключиться к удаленному рабочему столу сервера.