Desktop remoto funziona solo con vecchi client

10

Tutti i nostri computer Windows 8.1 all'improvviso rifiutano le connessioni Desktop remoto.

Il problema è quando ci colleghiamo AL di Windows 8.1
Non abbiamo il problema quando si collega ad altre versioni di Windows.

modifica: problema risolto con l'aggiornamento Microsoft KB2962806. Grazie a Bertrand SCHITS per la sua risposta.

Quello che abbiamo trovato fino ad ora:

  • possiamo sempre connetterci come utente locale. Il problema è solo per gli utenti del dominio (admin e regolari)
  • possiamo connetterci con le vecchie versioni di mstsc.exe. Ad esempio, possiamo connetterci da computer Windows 2003 e 2003 R2. Non è possibile connettersi da Windows 7, Windows 8.1 e Windows 2012 R2.
    Se copiamo il vecchio mstsc.exe (versione 5.2.xxxx) da Windows 2003 a un computer più recente, possiamo collegarci
  • se ci connettiamo da una vecchia versione di mstsc.exe (come indicato sopra), quindi per alcuni minuti possiamo connetterci da qualunque versione desideriamo. Dobbiamo riutilizzare la vecchia versione dopo un periodo di tempo casuale (da 30 secondi a diverse ore)
  • con le recenti versioni di mstsc.exe a volte non è possibile connettere alcuni utenti, ma questo funziona con altri utenti. Questo comportamento scompare non appena utilizziamo una versione precedente e può riapparire 2 giorni dopo
  • (grazie alla risposta di Warren) se aggiungiamo manualmente enablecredsspsupport:i:0nel file .rdp, le credenziali non vengono richieste prima della connessione (quindi il comportamento è lo stesso dei vecchi client) e possiamo connetterci con qualsiasi versione del client. Tuttavia, non è possibile connettersi automaticamente e il processo di accesso comporta ogni volta la scelta di accedere come un altro utente (anche se si tratta dello stesso utente)
  • (grazie a Pathum Anjana) abbiamo applicato l'aggiornamento opzionale KB2830477 su entrambi i lati delle connessioni

Cosa abbiamo testato:

  • abbiamo testato da rete locale a locale e da lontano a locale. Nessuna differenza
  • abbiamo disabilitato il firewall
  • abbiamo testato disabilitando tutte le funzionalità di sicurezza con gpedit.msc Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
  • abbiamo abilitato il controllo per gli eventi di accesso e nulla nei registri. Nulla di evidente in altri registri (come abilitare i registri del protocollo RDP?)
  • abbiamo testato su un computer situato su un'altra rete (i domini non sono correlati), su cui è installato solo 7-zip. Nessun driver di stampante, nessun criterio di gruppo, nient'altro. È solo un nuovo Windows 8.1 aggiornato. Abbiamo esattamente lo stesso problema
  • abbiamo chiesto a Google e ha detto "Davvero non lo so". Ora ci indirizza a questa pagina, che è un'ottima risposta ma non molto utile
  • abbiamo rimosso tutti gli aggiornamenti fino al 25 febbraio (diversi giorni prima che si verificasse il problema). Nessun miglioramento, quindi il problema potrebbe essere un'impostazione esistente impostata su un valore diverso da un aggiornamento recente (e non ripristinata quando l'aggiornamento viene rimosso, che è probabilmente il solito comportamento)

Quando non possiamo connetterci, il messaggio di errore è esattamente lo stesso di quello che riceviamo con una password errata (ma nessuna voce nel registro di sicurezza):
inserisci qui la descrizione dell'immagine

  • ogni computer ha licenze valide
  • usiamo MSE come antivirus
  • alcuni Windows 8.1 sono preinstallati dal produttore (Lenovo), mentre altri sono installati da noi. L'unico fattore comune che vedo è il fatto che li gestiamo tutti

Qualche idea su cosa possiamo fare per risolvere questo problema?

remote-desktop  windows-8.1 
Gregory MOUSSAT
fonte
1
@RedShift: ovviamente usiamo lo stesso metodo quando funziona e quando non funziona. Usiamo sempre dominio \ nomeutente.
Gregory MOUSSAT,
5
Perché il voto negativo su questo? La domanda è ben studiata.
jscott,
1
Vorrei vedere come vengono distribuiti questi computer Win 8.1. È la stessa immagine che viene inviata a questi computer? Forse l'immagine è corrotta. Dobbiamo cercare il fattore comune. Qualcosa deve essere impostato diversamente sulle macchine 8.1. Soprattutto se non si hanno problemi con RDP per accedere ad altri sistemi operativi.
Veel84,
2
Sto solo aggiungendo i miei risultati a questo thread .... Sono un consulente IT e sto riscontrando lo stesso problema in più siti di clienti ... tutti che hanno iniziato ad avere problemi l'11 marzo. 3 clienti diversi, nessuna delle implementazioni è stata acquisita, tutte su reti diverse, tutte con firewall diversi, tutte in ambienti diversi. Uno è un dominio Windows 2003, uno 2008 e uno 2012. Tutto può essere riprodotto esattamente come descritto sopra. L'unica avvertenza è che RDP funziona fintanto che accedo come amministratore (locale o dominio). Se
1
Hai qualcosa correlato a questo nel Visualizzatore eventi? Sarebbe bello vedere un messaggio di registro su questo. Forse sarebbe utile anche una traccia di Wireshark dell'handshake di login.
Mr Majestyk,

Risposte:

5

Forse questo è legato a KB2962806. Dovresti provare ad applicarlo.
Non so come applicare questo aggiornamento perché non è disponibile sul sito Microsoft. Lo ottengo solo con l'aggiornamento automatico di Windows ma non su tutti i computer.

Questo aggiornamento ha risolto un problema simile per me. E poiché questo aggiornamento viene applicato su ALCUNI computer, anche tutti gli altri funzionano. Non ho cercato il perché.

Bertrand SCHITS
fonte
Ho provato su due computer e il problema sembra risolto. Ho bisogno di più tempo per assicurarmi che vada bene.
Gregory MOUSSAT,
1
Confermo che questo KB2962806 è quello giusto per il nostro problema. Grazie!
Gregory MOUSSAT,
2

La richiesta di credenziali mi ha fatto impazzire negli ultimi due giorni e seguire la catena di eventi recenti mi fa credere che sia correlato a KB3035017 che i nostri server RDP 2012 sono stati installati di recente.

Dopo aver cercato questo post e altri mi sono imbattuto in qualcosa che finora sta risolvendo il problema.

Testare le icone RDP dalla mia parte sullo stesso computer produce credenziali in caso di errore uno e un accesso riuscito dall'altro.

http://www.boredsysadmin.com/2008/06/how-to-disable-credentials-prompt-of.html

Spero che questo aiuti gli altri, continuerò a monitorare e cercare una soluzione corretta.

Saluti

conigliera
fonte
Confermo enablecredsspsupport: i: 0 risolve parzialmente il problema. Domanda aggiornata
Gregory MOUSSAT,
1

Probabilmente funziona con i client RDP meno recenti perché forza il downgrade di una versione del protocollo in cui non si verificano problemi.

La mia ipotesi è che potrebbe essere correlato alla risoluzione dello schermo. Microsoft ha apportato alcune modifiche relative alla risoluzione dello schermo e alla gestione multi-monitor in RDP in Windows 8.1. Anche se i sintomi non sembrano essere correlati alle risoluzioni, forse la negoziazione non riesce tra il client RDP di Windows 7 e Windows 8.1?

Ciò spiegherebbe anche perché funziona per alcuni utenti e non per altri: potrebbero avere impostazioni di risoluzione diverse sul client o sul sistema 8.1 di destinazione.

Verifica se la modifica della risoluzione dello schermo nel client RDP ha qualche effetto (in particolare, la modifica tra la modalità a schermo intero e una risoluzione specifica e anche la modifica delle impostazioni multi-monitor).

Puoi leggere di più su questo qui: http://blogs.msdn.com/b/rds/archive/2013/12/16/resolution-and-scaling-level-updates-in-rdp-8-1.aspx

Kevin Keane
fonte
Ho appena provato con sessioni RDP a 1024x768 e disabilitando stampanti / copia-incolla / etc -> niente di meglio
Gregory MOUSSAT
1

Dati i tempi di ciò che stai vedendo, il problema potrebbe coincidere con la patch per CVE-2015-0079 . Il bollettino Microsoft relativo a questa vulnerabilità è MS15-030 e la patch effettiva per il problema è disponibile qui . Se questa patch è stata installata sui tuoi sistemi, potresti provare a rimuoverla da uno di essi per vedere se questo risolve il problema.

Non sarebbe la prima patch MS a rompere alcune combinazioni RDP. Dai un'occhiata a questo , in particolare a KB2984972.

Il problema che MS sta risolvendo con la patch è un potenziale attacco DoS - di solito non è un grosso problema in un ambiente d'ufficio ma comunque.

MrMajestyk
fonte
Ho provato a rimuovere KB3035017 (che è la patch relativa alla vulnerabilità a cui fai riferimento) -> nessuna modifica. Ora rimuovo altri percorsi dall'11 marzo per vedere se abbiamo qualche miglioramento.
Gregory MOUSSAT,
Ho rimosso ogni patch dall'11 marzo e il 5 prima -> niente di meglio
Gregory MOUSSAT il
Beh, valeva sicuramente la pena provarlo. È davvero un peccato che quel tizio di Google non sappia delle cose. Di solito è molto bravo con le cose al riguardo. Un'altra cosa da guardare potrebbe essere il tempo: le tue stazioni di lavoro mantengono il tempo correttamente? Immagino che lo facciano se fanno parte di un dominio, ma Kerberos è sensibile al disallineamento del tempo, quindi potrebbe essere un posto dove guardare - anche se è un po 'allungato.
Mr Majestyk,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.