Windows Server 2012'de RDP Nasıl Onarılır?

İşte RDP durumunun bir anlık görüntüsü. İyi görünüyor:

Uzak bir makineden bağlanmaya gittiğimde bir hata alıyorum:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

3389 numaralı bağlantı noktasını uzaktan test ettim, açık. Netstat ile test ettim.

TCP    0.0.0.0:3389           hostname:0                LISTENING

• Windows güvenlik duvarı yok
• Ağ Güvenlik Duvarı Yok
• Yepyeni kendinden imzalı sertifika
• Makine kısa süre önce yeniden başlatıldı, ondan önce çalıştı
• Terminal Hizmetleri çalışıyor
• SSL sertifikasını incelediğimde, tüm ayrıntıları gösterir, iyi görünür, 2014'te sona erer
• hklm: \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections 0
• C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys yöneticisi tüm yetkilere sahip

Güncelleme:

Şimdi bunu Yönetim Olayları altındaki olay günlüğünde buluyorum:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Yukarıdaki hatayı nasıl çözeceğimi bilmiyorum. Benim ithal RD sertifikam olduğundan da emin değilim, ancak makinemden RDP yapmaya çalıştığımda bunun olacağını biliyorum.

Güncelleme II:

Özel anahtarlarla certs oluşturmak için powershell'i kullanmayı denedim. Şanssız. Burada ve burada şanssız teknikler kullanıldı . Sertifikayı güvenilir köklere her eklediğimde ve MMC Sertifikası ek bileşenindeki sistem kullanıcısı için kişisel.

Güncelleme III:

Çok rahatsız edici

Bu Forum , pencerelerin yeniden başlatma sırasında güncellenmiş olabileceğini ve Uzak Masaüstü Bağlantı Aracısı rolünün yüklenmesinde kurtarılamaz bir hataya neden olabileceğini gösteriyor (görünüşe göre MMC'ye aktarmak için özel bir anahtar pfx dosyası oluşturmak için gerekli). Hata Haziran 2013 KB2821895 düzeltmesi ile. Bu bununla giderilebilir mi? http://support.microsoft.com/kb/2871777

Bu yüzden en son windows güncellemesini çalıştırdım ve pfx dosyasını oluşturabilmem için Uzak Masaüstü Bağlantı Aracısı'nı yüklemeye çalıştım. Şanssız. Hyper-V vb. Olsa bile bir veya daha fazla üst özellik yüklü değil. Ve başka hangi rollerin ekleneceğini söylemiyor ...

Özet Soruyu Güncelle!

Yani, tüm söylenen ve yapılan teorik olarak, RD Bağlantı Aracısı yüklemek (özel bir anahtar oluşturmak için) muhtemelen şifreleme hatamı çözmek için?

Windows Server 2012'ye bir SSL sertifikası (ve ilişkili özel anahtar) aktardıktan sonra bağlanırken bu hatayla karşılaşabilirsiniz:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

Ayrıca, Windows olay günlüklerinde şunları görürsünüz:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Çözüm:

Microsoft KB2001849'dan alıntı:

"Uzak Masaüstü Ana Bilgisayar Hizmetleri hizmeti AĞ HİZMET hesabı altında çalışır. Bu nedenle, RDS tarafından kullanılan anahtar dosyasının ACL'sini (SSLCertificateSHA1Hash kayıt defteri değerinde adlandırılan sertifika tarafından başvuruda bulunur)" AĞ "ile AĞ HİZMETİ içerecek şekilde ayarlamak gerekir. İzinleri değiştirmek için aşağıdaki adımları izleyin:

Yerel bilgisayar için Sertifikalar ek bileşenini açın:

1. Başlat'a tıklayın, Çalıştır'a tıklayın, mmc yazın ve Tamam'a tıklayın.

2. Dosya menüsünde Ek Bileşen Ekle / Kaldır'ı tıklatın.

3. Ek Bileşen Ekle veya Kaldır iletişim kutusunda, Kullanılabilir ek bileşenler listesinde Sertifikalar'ı ve Ekle'yi tıklatın.

4. Sertifikalar ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı ve ardından İleri'yi tıklatın.

5. Bilgisayar Seç iletişim kutusunda Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) öğesini ve Son'u tıklatın.

6. Ek Bileşen Ekle veya Kaldır iletişim kutusunda Tamam'ı tıklatın.

7. Sertifikalar ek bileşeninde, konsol ağacında Sertifikalar'ı (Yerel Bilgisayar) genişletin, Kişisel'i genişletin ve kullanmak istediğiniz SSL sertifikasına gidin.

8. Sertifikayı sağ tıklatın, Tüm Görevler'i ve Özel Anahtarları Yönet'i seçin.

9. İzinler iletişim kutusunda, Ekle'yi tıklatın, AĞ HİZMETİ yazın, Tamam'ı tıklatın, İzin Ver onay kutusunun altında Oku'yu seçin ve Tamam'ı tıklatın. "

Kaynak: https://support.microsoft.com/en-us/kb/2001849

Ağ geçidi hizmetlerini devre dışı bıraktım. MMC'yi çalıştırıp RD sertifikasını tamamen sildim. Sonra uzak bağlantılara izin vermek devre dışı bırakıldı ve yeniden etkinleştirildi. Bu yeni, iyi bir sertifika oluşturdu ve makine etki alanında oturum açabildim!

Kendinden İmzalı sertifikayı içe aktardığınızı varsayıyor muyum? Bu durumda büyük olasılıkla hatayı açıklayacak olan sertifikayı dışa aktarılamaz olarak işaretlediyseniz ... http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error adresine bir göz atın -hresult-0x80070520-zaman-eklerken-ssl-bağlama-iis.aspx daha fazla bilgi için. Haklıysam, sertifikayı "Dışa aktarmaya izin ver" bayrağı ayarlanmış olarak silmeniz ve yeniden içe aktarmanız gerekir.

Size bir çözüm bulun:

Makecert.exe dosyasını indirin ve RDP için yeni sertifika oluşturun

makecert -r -pe -n "CN = sunucu FQDN" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Şifreleme Sağlayıcısı" -sy 12 "

Sunucu FQDN'sini gerçek değerle değiştirin.

Bilgisayar sertifikalarına gidin ve uzak masaüstü altında geçerli sertifikayı silin. Daha sonra kişisel mağazadan yeni oluşturulan sertifikayı Uzak Masaüstü'ne taşıyın. Sertifikayı açın ve Parmakizi kopyalayın.

Regedit'i açın ve şuraya gidin:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations

SelfSignedCertificate anahtarını yeni cert tumbprint ile güncelleyin.

Uzak Masaüstü Hizmetleri hizmetini yeniden başlatma

Aynı sorunu yaşadım, bağlan'ı tıklattığımda hata görünüyor.

Benim adıma çözmek için Uzak Masaüstü Hizmetleri hizmetini değiştirdim, böylece AĞ HİZMETİ yerine Yerel Sistem Hesabı olarak çalışıyordu . Hizmeti yeniden başlattı ve her şey normal şekilde çalıştı.

EDIT: Bunun Access'in reddedildi iletisine neden olacağını ve AĞ HİZMETİ olarak ayarlanması gerektiğini öğrendim . Ancak bunu Yerel Sistem Hesabı olarak ve tekrar AĞ HİZMETİ olarak değiştirmek sorunumu tamamen çözdü.

Bu nihayet benim için aynı sorunu düzeltti ( bu TechNet yayınına hangi özel anahtarın suçlu olduğunu nasıl izleyeceğiyle ilgili büyük destek )

1. Procmon'u indirin ve çalıştırın (Sysinternals Suite'ten)
2. Bu yoldaki herhangi bir etkinliği dinleyerek MachineKeys klasörünü etkinlik için izleyin (büyük olasılıkla: C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys)
3. Sorunlu makineye RDP girişimi ve erişim reddedilen dosya ile birlikte erişim reddedildi hatası Procmon notu görmelisiniz
4. Rahatsız edici dosyayı silin (önce kendinize dosyanın sahibi olmanız, ardından kendinize tam kontrol vermeniz gerekebilir)
5. Bilgisayarı yeniden başlatın, eksik anahtarınızı doğru izinler uygulanarak yeniden oluşturmalısınız

Partiye geç kaldım, ama bu bana yardımcı oldu.

• Yeni bir PFX sertifikası oluşturun. Kendinden imzalı:

  Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText Yeni-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx" -CertificatePassword $

• Çıktı penceresinde parmak izi yakalama
• Oluşturulan PFX sertifikasını Bilgisayarım> Kişisel depoya yükleme

• Yukarıdaki adımlarda yakaladığınız parmak izini kullanarak aşağıdaki komutu çalıştırın:

  wmic / namespace: \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = " THUMB_PRINT "