Come riparare RDP su Windows Server 2012?

12

Ecco un'istantanea dello stato RDP. Sembra buono: inserisci qui la descrizione dell'immagine

Quando vado a connettermi da una macchina remota, ricevo un errore:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

Ho testato la porta 3389 da remoto, è aperta. L'ho provato con netstat.

TCP    0.0.0.0:3389           hostname:0                LISTENING

Nessun firewall di Windows
Nessun firewall di rete
Nuovissimo certificato autofirmato
La macchina è stata recentemente riavviata, prima funzionava
Servizi terminal è in esecuzione
Quando ispeziono il certificato SSL, mostra tutti i dettagli, sembra buono, scade nel 2014
hklm: \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections è 0
L'amministratore C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys ha tutti i privilegi

Aggiornare:

Ora sto trovando questo nel registro eventi in Eventi amministrativi:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

Non sono sicuro di come risolvere l'errore sopra riportato. Non sono nemmeno sicuro che sia il mio certificato RD importato, anche se so che succede quando provo a eseguire un RDP dalla mia macchina.

Aggiornamento II:

Ho provato a usare PowerShell per generare certificati con chiavi private. Senza fortuna. Tecniche usate qui e qui senza fortuna. Ogni volta che ho aggiunto il certificato a radici attendibili e personali per l'utente di sistema nello snap-in Certificato MMC.

Aggiornamento III:

Così fastidioso

Questo forum indica che Windows potrebbe essere stato aggiornato durante il riavvio, causando un errore irreversibile durante l'installazione del ruolo di broker di connessione desktop remoto (necessario, apparentemente, per generare un file pfx di chiave privata da importare in MMC). Il bug è con l'aggiornamento rapido giugno 2013 KB2821895. Questo potrebbe essere risolto con questo? http://support.microsoft.com/kb/2871777

Quindi ho eseguito l'ultimo aggiornamento di Windows e ho provato a installare il broker di connessione desktop remoto in modo da poter generare il file pfx. Senza fortuna. Dice che una o più funzionalità padre non sono installate, anche se Hyper-V ecc. E non dice quali altri ruoli aggiungere ...

Domanda di riepilogo aggiornamento!

Quindi, tutto sommato, teoricamente, ottenere l'installazione di RD Connection Broker (al fine di generare una chiave privata) probabilmente risolverebbe il mio errore di crittografia?

— FlavorScape
fonte

Il tuo screenshot è di gateway rdp, ma stai parlando di vanilla rdp. Sono due cose separate; un gateway rdp funziona su: 443 per tunnelare connessioni rdp all'interno di una rete.

— Mark Henderson,

Giusto, avevo il sospetto che mi trovassi nel posto sbagliato ... Come posso risolvere il problema del certificato? Non vedo dove nelle impostazioni di vanilla RD persino cambiarlo.

— FlavorScape

Verificare che il servizio sia in esecuzione tramite netstat non è un test sufficiente. Da un sistema remoto eseguire "telnet IP_OF_RDP_HOST 3389" (senza virgolette) e dovrebbe rimuovere tutto il testo nella finestra cmd. In alternativa, eseguire un'acquisizione di rete (netmon / WireShark) per determinare se è stata stabilita una sessione TCP.

— user2320464

Prova a consultare blogs.technet.microsoft.com/askperf/2014/10/22/… - ha funzionato per me con una connessione RDP rifiutata a Win2012 svr :-)

— Nigel Harvey il

7

È possibile che si verifichi questo errore durante la connessione dopo l'importazione di un certificato SSL (e della chiave privata associata) in Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator.

Inoltre, nei registri degli eventi di Windows, viene visualizzato:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

Soluzione:

Citazione da Microsoft KB2001849:

"Il servizio Servizi host desktop remoto viene eseguito con l'account SERVIZIO DI RETE. Pertanto, è necessario impostare l'ACL del file chiave utilizzato da RDS (a cui fa riferimento il certificato denominato nel valore del registro SSLCertificateSHA1Hash) per includere SERVIZIO DI RETE con" Leggi " Autorizzazioni. Per modificare le autorizzazioni, attenersi alla seguente procedura:

Apri lo snap-in Certificati per il computer locale:

Fare clic su Start, scegliere Esegui, digitare mmc e fare clic su OK.
Nel menu file, fare clic su Aggiungi / Rimuovi snap-in.
Nella finestra di dialogo Aggiungi o rimuovi snap-in, nell'elenco Snap-in disponibili, fare clic su Certificati e fare clic su Aggiungi.
Nella finestra di dialogo Snap-in certificati, fare clic su Account computer e fare clic su Avanti.
Nella finestra di dialogo Seleziona computer, fare clic su Computer locale: (il computer su cui è in esecuzione questa console) e fare clic su Fine.
Nella finestra di dialogo Aggiungi o rimuovi snap-in, fare clic su OK.
Nello snap-in Certificati, nella struttura della console, espandere Certificati (computer locale), espandere Personale e passare al certificato SSL che si desidera utilizzare.
Fare clic con il tasto destro del mouse sul certificato, selezionare Tutte le attività e selezionare Gestisci chiavi private.
Nella finestra di dialogo Autorizzazioni, fare clic su Aggiungi, digitare SERVIZIO DI RETE, fare clic su OK, selezionare Leggi nella casella di controllo Consenti, quindi fare clic su OK. "

Fonte: https://support.microsoft.com/en-us/kb/2001849

— hwdsl2
fonte

3

Ho disabilitato i servizi gateway. Ho finito per eseguire MMC e cancellare del tutto il certificato RD. Quindi ho disabilitato e riattivato consentire connessioni remote. Ciò ha generato un nuovo certificato valido e sono stato in grado di accedere al dominio della macchina!

— FlavorScape
fonte

2

Ho ragione supponendo che tu abbia importato il certificato autofirmato? In questo caso, molto probabilmente hai contrassegnato il certificato come non esportabile, il che spiegherebbe l'errore ... Dai un'occhiata a http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error -hresult-0x80070520-quando-aggiungendo-ssl-binding-in-iis.aspx per ulteriori dettagli. Se ho ragione, è necessario eliminare e reimportare il certificato con il flag "Consenti esportazione" impostato.

— CHfish
fonte

Il mio certificato non ha mai generato una chiave privata, quindi non posso esportare / importare per ottenerlo nel sistema invece del mio archivio certificati utente. Sto ora cercando di utilizzare PowerShell per generarne uno con una chiave privata, perché apparentemente quello nella finestra di dialogo RD non lo fa affatto.

— FlavorScape

Non aggiungo neanche l'associazione a IIS, è per Desktop remoto ...

— FlavorScape

1

Hai una soluzione per te:

Scarica makecert.exe e genera un nuovo certificato per RDP

makecert -r -pe -n "CN = FQDN server" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Provider crittografico Microsoft RSA SChannel" -sy 12 "

Modifica il nome FQDN del server con valore reale.

Vai ai certificati del computer e sotto il desktop remoto elimina il certificato corrente. Quindi dal negozio personale sposta il certificato appena creato su Desktop remoto. Apri il certificato e copia l'identificazione personale.

Apri regedit e vai a:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations

Aggiorna la chiave SelfSignedCertificate con il nuovo tumbprint certificato.

Riavviare il servizio di Servizi Desktop remoto

— opti2k4
fonte

1

Ho avuto lo stesso problema, con errore visualizzato non appena ho fatto clic su Connetti.

Per risolvere il problema, ho modificato il servizio di Servizi Desktop remoto in modo che fosse in esecuzione come Account di sistema locale anziché SERVIZIO DI RETE. Riavviato il servizio e tutto ha funzionato normalmente.

EDIT: Ho appena scoperto che questo causerà il messaggio di accesso negato e deve essere impostato come SERVIZIO DI RETE. Ma cambiarlo in Account di sistema locale e tornare a SERVIZIO DI RETE ha risolto completamente il mio problema.

— 0x0000001E
fonte

Fonte: blogs.technet.microsoft.com/askperf/2010/07/08/…

— 0x0000001E

1

Questo è finalmente ciò che ha risolto questo stesso problema per me (grandi oggetti di scena in questo post TechNet su come rintracciare quale chiave privata è l'autore del reato)

Scarica ed esegui Procmon (dalla Suite Sysinternals)
Monitorare l'attività della cartella MachineKeys (molto probabilmente: C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys) ascoltando qualsiasi attività in quel percorso
Tentativo di RDP sul computer incriminato e si dovrebbe quindi vedere Procmon notare l'errore di accesso negato, insieme al file che negava l'accesso
Elimina il file offensivo (potresti dover prima renderne il proprietario, quindi darti il pieno controllo)
Riavvia il computer e dovrebbe rigenerare la chiave mancante con le autorizzazioni corrette applicate

— si1ic0n_gh0st
fonte

0

Sono in ritardo alla festa, ma questo è ciò che mi ha aiutato.

Genera un nuovo certificato PFX. Autofirmato funzionerà:

Modulo di installazione SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName $ password
Cattura un'impronta digitale nella finestra di output
Installa il certificato PFX generato su Risorse del computer> Archivio personale
Esegui il comando seguente utilizzando l'identificazione personale che hai acquisito nei passaggi precedenti:

wmic / namespace: \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = " THUMB_PRINT "

— Zerg00s
fonte