Bagaimana cara memperbaiki RDP di windows server 2012?

12

Ini adalah snapshot dari status RDP. Kelihatan bagus: masukkan deskripsi gambar di sini

Ketika saya pergi untuk terhubung dari mesin jarak jauh saya mendapatkan kesalahan:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

Saya sudah menguji port 3389 dari jarak jauh, terbuka. Saya sudah mengujinya dengan netstat.

TCP    0.0.0.0:3389           hostname:0                LISTENING
  • Tidak ada firewall Windows
  • Tidak Ada Firewall Jaringan
  • Sertifikat yang ditandatangani sendiri baru
  • Mesin baru-baru ini reboot, berfungsi sebelum itu
  • Layanan Terminal sedang berjalan
  • Ketika saya memeriksa sertifikat SSL, itu menunjukkan semua detail, terlihat bagus, berakhir pada 2014
  • hklm: \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections adalah 0
  • C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys administrator memiliki semua hak istimewa

Memperbarui:

Sekarang saya menemukan ini di log peristiwa di bawah Acara Administratif:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

Saya tidak yakin bagaimana mengatasi kesalahan di atas. Saya tidak yakin itu sertifikat RD saya yang diimpor, juga, meskipun saya tahu itu terjadi ketika saya mencoba RDP dari mesin saya.

Pembaruan II:

Saya sudah mencoba menggunakan PowerShell untuk menghasilkan sertifikat dengan kunci pribadi. Tidak berhasil Teknik yang digunakan di sini dan di sini tidak berhasil. Setiap kali saya menambahkan sertifikat ke akar tepercaya dan pribadi untuk pengguna sistem di snap-in MMC Certificate.

Pembaruan III:

Sangat mengganggu

Forum ini menunjukkan bahwa windows mungkin telah diperbarui selama reboot, menyebabkan kesalahan yang tidak dapat dipulihkan dalam menginstal peran Remote Desktop Connection Broker (diperlukan, tampaknya, untuk menghasilkan file pfx kunci pribadi untuk diimpor ke MMC). Bug ini dengan perbaikan terbaru Juni 2013 KB2821895. Ini mungkin remidied dengan ini? http://support.microsoft.com/kb/2871777

Jadi saya menjalankan pembaruan windows terbaru dan mencoba menginstal Remote Desktop Connection Broker sehingga saya dapat menghasilkan file pfx. Tidak berhasil Dikatakan satu atau lebih fitur induk tidak diinstal-- meskipun Hyper-V dll. Dan tidak disebutkan peran apa yang ditambahkan ...

Perbarui Pertanyaan Ringkasan!

Jadi, semua yang dikatakan dan dilakukan, secara teoritis, akan meminta RD Connection Broker untuk menginstal (untuk menghasilkan kunci pribadi) mungkin menyelesaikan kesalahan enkripsi saya?

ssl  windows-server-2012  remote-desktop  rdp 
FlavorScape
sumber
Tangkapan layar Anda menggunakan gateway rdp, tetapi Anda berbicara tentang vanilla rdp. Mereka adalah dua hal yang terpisah; gateway rdp bekerja pada: 443 untuk tunnel koneksi rdp di dalam jaringan.
Mark Henderson
Benar saya mendapat kecurigaan menyelinap saya di tempat yang salah - Bagaimana cara mengatasi masalah sertifikat? Saya tidak melihat di mana dalam pengaturan vanilla RD untuk bahkan mengubah ini.
FlavourScape
Memverifikasi layanan berjalan melalui netstat bukan tes yang cukup. Dari sistem jarak jauh, jalankan "telnet IP_OF_RDP_HOST 3389" (tanpa tanda kutip) dan seharusnya menghapus semua teks di jendela cmd. Atau jalankan tangkapan jaringan (netmon / wireshark) untuk menentukan apakah sesi TCP sedang dibuat.
user2320464
Coba lalui blogs.technet.microsoft.com/askperf/2014/10/22/... - itu bekerja untuk saya dengan koneksi RDP yang ditolak ke Win2012 svr :-)
Nigel Harvey

Jawaban:

7

Anda mungkin mengalami kesalahan ini ketika menghubungkan setelah mengimpor sertifikat SSL (dan kunci pribadi terkait) ke Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator.

Selain itu, di log peristiwa Windows, Anda melihat:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

Larutan:

Kutipan dari Microsoft KB2001849:

"Layanan Remote Desktop Host Services berjalan di bawah akun NETWORK SERVICE. Oleh karena itu, perlu untuk menetapkan ACL dari file kunci yang digunakan oleh RDS (dirujuk oleh sertifikat yang disebutkan dalam nilai registri SSLCertificateSHA1Hash) untuk memasukkan LAYANAN NETWORK dengan" Baca " Untuk memodifikasi izin, ikuti langkah-langkah di bawah ini:

Buka snap-in Sertifikat untuk komputer lokal:

  1. Klik Mulai, klik Jalankan, ketik mmc, dan klik OK.

  2. Pada menu File, klik Add / Remove Snap-in.

  3. Di kotak dialog Tambah atau Hapus Snap-in, di daftar Snap-in yang tersedia, klik Sertifikat, dan klik Tambah.

  4. Di kotak dialog snap-in Sertifikat, klik Akun komputer, dan klik Berikutnya.

  5. Di kotak dialog Pilih Komputer, klik Komputer lokal: (komputer di mana konsol ini berjalan), dan klik Selesai.

  6. Di kotak dialog Tambah atau Hapus Snap-in, klik OK.

  7. Di snap-in Sertifikat, di pohon konsol, rentangkan Sertifikat (Komputer Lokal), rentangkan Pribadi, dan navigasikan ke sertifikat SSL yang ingin Anda gunakan.

  8. Klik kanan sertifikat, pilih Semua Tugas, dan pilih Kelola Kunci Pribadi.

  9. Di kotak dialog Izin, klik Tambah, ketik LAYANAN JARINGAN, klik OK, pilih Baca di bawah kotak centang Perbolehkan, lalu klik OK. "

Sumber: https://support.microsoft.com/en-us/kb/2001849

hwdsl2
sumber
3

Saya menonaktifkan layanan gateway. Saya akhirnya menjalankan MMC dan menghapus sertifikat RD sama sekali. Kemudian saya dinonaktifkan dan diaktifkan kembali memungkinkan koneksi jarak jauh. Ini menghasilkan sertifikat baru yang bagus dan saya bisa masuk di domain mesin!

FlavorScape
sumber
2

Apakah saya benar dengan asumsi Anda mengimpor sertifikat yang ditandatangani sendiri? Jika ini adalah kasus Anda kemungkinan besar menandai sertifikat yang tidak dapat diekspor yang kemudian akan menjelaskan kesalahan ... Lihat di http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error -hresult-0x80070520-saat-menambahkan-ssl-binding-in-iis.aspx untuk detail lebih lanjut. Jika saya benar, Anda perlu menghapus dan mengimpor kembali sertifikat dengan set bendera "Izinkan ekspor".

Chfish
sumber
Sertifikat saya tidak pernah menghasilkan kunci pribadi, jadi saya tidak bisa mengekspor / mengimpor untuk memasukkannya ke sistem, bukan toko sertifikat pengguna saya. Saya sekarang mencoba menggunakan PowerShell untuk menghasilkan satu dengan kunci pribadi, karena ternyata yang ada di dialog RD tidak melakukan ini sama sekali.
FlavourScape
Saya juga tidak menambahkan ikatan ke IIS, itu untuk Remote Desktop ...
FlavourScape
1

Ada solusi untuk Anda:

Unduh makecert.exe dan hasilkan sertifikat baru untuk RDP

makecert -r -pe -n "CN = server FQDN" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "

Ubah FQDN server dengan nilai nyata.

Buka sertifikat komputer dan di bawah desktop jauh hapus sertifikat saat ini. Kemudian dari toko pribadi pindahkan sertifikat yang baru dibuat ke Remote Desktop. Buka sertifikat dan salin Thumbprint.

Buka regedit dan buka:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations

Perbarui kunciSignSignedCertificate dengan tanda cetakan sertifikat baru

Mulai ulang layanan Layanan Desktop Jarak Jauh

opti2k4
sumber
1

Saya memiliki masalah yang sama, dengan kesalahan muncul segera setelah saya mengklik terhubung.

Untuk menyelesaikannya, saya mengubah layanan Remote Desktop Services sehingga berjalan sebagai Akun Sistem Lokal dan bukannya LAYANAN JARINGAN. Mulai ulang layanan dan semuanya berfungsi seperti biasa.

EDIT: Saya baru tahu bahwa ini akan menyebabkan Access ditolak pesan dan harus ditetapkan sebagai LAYANAN JARINGAN. Tetapi mengubah ini ke Akun Sistem Lokal dan kembali ke LAYANAN JARINGAN benar-benar menyelesaikan masalah saya.

0x0000001E
sumber
0x0000001E
1

Inilah yang akhirnya memperbaiki masalah yang sama bagi saya (alat peraga besar untuk posting TechNet ini tentang cara melacak kunci pribadi mana yang menjadi pelaku)

  1. Unduh dan jalankan Procmon (dari Sysinternals Suite)
  2. Pantau folder MachineKeys untuk aktivitas (kemungkinan besar: C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys) dengan mendengarkan aktivitas apa pun di jalur itu
  3. Coba RDP ke mesin yang melanggar dan Anda akan melihat Procmon mencatat kesalahan akses ditolak, bersama dengan file yang menolak akses
  4. Hapus file yang menyinggung (Anda mungkin harus menjadikan diri Anda pemiliknya terlebih dahulu, lalu beri diri Anda kendali penuh)
  5. Nyalakan kembali komputer dan itu harus membuat ulang kunci Anda yang hilang dengan izin yang benar diterapkan
si1ic0n_gh0st
sumber
0

Saya terlambat ke pesta, tapi ini yang membantu saya.

  • Hasilkan sertifikat PFX baru. Ditandatangani sendiri akan berfungsi:

    Instal-Modul SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText Baru-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName. Password

  • Abadikan sidik jari di jendela output
  • Instal sertifikat PFX yang dihasilkan ke komputer Saya> Toko pribadi

  • Jalankan perintah berikut menggunakan cap jempol yang Anda ambil pada langkah-langkah di atas:

    wmic / namespace: \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = " THUMB_PRINT "

Zerg00s
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.