Як виправити RDP на Windows Server 2012?

Ось короткий знімок стану RDP. Виглядає добре:

Під час підключення до віддаленої машини я отримую помилку:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

Я перевіряв порт 3389 віддалено, він відкритий. Я перевірив це за допомогою netstat.

TCP    0.0.0.0:3389           hostname:0                LISTENING

• Немає брандмауера Windows
• Немає мережевого брандмауера
• Новий сертифікат самопідписання
• Нещодавно машина була перезавантажена, працювала до цього
• Служба терміналів працює
• Коли я оглядаю сервер SSL, він показує всі деталі, виглядає добре, закінчується в 2014 році
• hklm: \ System \ CurrentControlSet \ Control \ Термінальний сервер \ fDenyTSConnections дорівнює 0
• C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys адміністратор має всі привілеї

Оновлення:

Тепер я знаходжу це в журналі подій у розділі Адміністративні події:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Я не впевнений, як вирішити вищевказану помилку. Я не впевнений, що це моє імпортне RD RD cert, хоч я і знаю, що це відбувається, коли я намагаюся RDP зі своєї машини.

Оновлення II:

Я спробував використовувати powershell для генерації сертифікатів із приватними ключами. Не вдалося. Використовувані методи тут і тут не пощастило. Кожен раз, коли я додаю сертифікат до надійних коренів та персональних для користувача системи в оснастці MMC Certificate.

Оновлення III:

Так дратує

Цей Форум вказує на те, що під час перезавантаження Windows може оновлюватися, що спричинило непоправну помилку при встановленні ролі брокера підключення до віддаленого робочого столу (потрібно, мабуть, для створення файлу pfx приватного ключа для імпорту в MMC). Помилка з виправленням червня 2013 KB2821895. Це може нагадати це? http://support.microsoft.com/kb/2871777

Тому я запустив останнє оновлення Windows і спробував встановити Брокер підключення до віддаленого робочого столу, щоб я міг генерувати файл pfx. Не вдалося. Він говорить про те, що одна або кілька батьківських функцій не встановлені - навіть незважаючи на те, що Hyper-V тощо. І не сказано, які ще ролі додати ...

Оновіть підсумкове запитання!

Отже, все теоретично сказане і зроблено, чи встановлення встановленого брокера RD Connection (щоб генерувати приватний ключ), можливо, вирішить мою помилку шифрування?

Ви можете зіткнутися з цією помилкою під час підключення після імпорту сертифіката SSL (та пов'язаного з ним приватного ключа) в Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

Крім того, у журналах подій Windows ви бачите:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Рішення:

Цитата від Microsoft KB2001849:

"Послуга віддалених службових служб робочого столу працює за допомогою облікового запису NETWORK SERVICE. Тому потрібно встановити ACL ключового файлу, використовуваного RDS (на який посилається сертифікат, названий у значенні реєстру SSLCertificateSHA1Hash), щоб включити NETWORK SERVICE з" Read " Щоб змінити дозволи, виконайте наведені нижче дії.

Відкрийте оснащення сертифікатів для локального комп'ютера:

1. Натисніть кнопку Пуск, виберіть команду Виконати, наберіть mmc та натисніть кнопку ОК.

2. У меню «Файл» натисніть «Додати / видалити оснащення».

3. У діалоговому вікні "Додати або видалити оснащення" у списку "Доступні оснащення" натисніть "Сертифікати" та натисніть "Додати".

4. У діалоговому вікні оснащення Сертифікати натисніть Обліковий запис комп'ютера та натисніть кнопку Далі.

5. У діалоговому вікні "Вибір комп'ютера" натисніть "Місцевий комп'ютер" (комп'ютер, на якому працює ця консоль), і натисніть кнопку Готово.

6. У діалоговому вікні "Додати або видалити оснащення" натисніть кнопку ОК.

7. У оснастці Сертифікати на дереві консолі розгорніть Сертифікати (локальний комп'ютер), розгорніть Особисті та перейдіть до SSL-сертифіката, який ви хочете використовувати.

8. Клацніть правою кнопкою миші сертифікат, виберіть Усі завдання та виберіть Керувати приватними клавішами.

9. У діалоговому вікні «Дозволи» натисніть кнопку «Додати», введіть «МЕРЕЖНЕ ОБСЛУГОВУВАННЯ», натисніть «ОК», виберіть «Прочитати» у вікні «Дозволити» та натисніть «ОК».

Джерело: https://support.microsoft.com/en-us/kb/2001849

Я відключив послуги шлюзу. Я в кінцевому підсумку запустив MMC і повністю видалив сертифікат RD. Тоді я відключив і знову включив дозволене віддалене з'єднання. Це створило новий, хороший сертифікат, і я зміг увійти в машинний домен!

Чи правильно я припускаю, що ви імпортували сертифікат самопідписання? Якщо це так, ви, швидше за все, позначили сертифікат неекспортуючим, який потім пояснить помилку ... Погляньте на сторінку http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error -hresult-0x80070520 -при додаванні -sl-прив'язування-в-iis.aspx для отримання додаткової інформації. Якщо я маю рацію, вам потрібно видалити та повторно імпортувати сертифікат із встановленим прапором "Дозволити експорт".

Маємо рішення для вас:

Завантажте makecert.exe та генеруйте новий сертифікат для RDP

makecert -r -pe -n "CN = сервер FQDN" -еку 1.3.6.1.5.5.7.3.1 -ss мій -sr LocalMachine -sky exchange -sp "Криптографічний провайдер SChannel Microsoft RSA" -sy 12 "

Змініть FQDN сервера на реальне значення.

Перейдіть до комп'ютерних сертифікатів і під удаленим робочим столом видаліть поточний сертифікат. Потім з особистого магазину перемістіть новостворений сертифікат на віддалений робочий стіл. Відкрийте сертифікат і скопіюйте Thumbprint.

Відкрийте regedit та перейдіть до:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Термінальний сервер \ WinStation

Оновіть ключ SelfSignedCertificate новим інструментом для підтвердження сертифікату.

Перезапустіть сервіс віддаленого робочого столу

У мене була та сама проблема, помилка з'явилася, як тільки я натиснув на підключення.

Щоб вирішити для мене, я змінив службу віддалених служб робочого столу, щоб вона працювала як локальний обліковий запис системи, а не мережевий сервіс. Перебув службу і все працювало як нормально.

РЕДАКТУВАННЯ: Я щойно з’ясував, що це призведе до відмови в доступі в повідомленні, і його потрібно встановити як мережну службу. Але змінивши цей обліковий запис на локальній системі та повернувшись до мережі, повністю усунув мою проблему.

Це, нарешті, те, що вирішило цю саму проблему для мене (великі реквізити до цієї публікації на TechNet про те, як відстежити, який приватний ключ є правопорушником)

1. Завантажте і запустіть програму Procmon (з пакету Sysinternals)
2. Відстежуйте активність папки MachineKeys (швидше за все: C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys), слухаючи будь-яку активність на цьому шляху
3. Спроба RDP на машину-порушник, і тоді ви побачите, як Procmon відзначає помилку, заборонену в доступі, а також файл, який забороняв доступ.
4. Видаліть файл, який порушує правопорушення (можливо, вам доведеться спочатку зробити його власником, а потім надати повний контроль)
5. Перезавантажте комп'ютер, і він повинен відновити відсутній ключ із застосованими правильними дозволами

Я спізнююсь на вечірку, але саме це мені допомогло.

• Створіть новий сертифікат PFX. Самопідписані працюватимуть:

  Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_Certіgеr

• Зробіть відбиток пальця у вікні виводу
• Встановіть створений сертифікат PFX на Мій комп'ютер> Особистий магазин

• Виконайте таку команду, використовуючи відбиток пальця, який ви захопили в описаних вище кроках:

  wmic / простір імен: \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = " THUMB_PRINT "