Не удалось аутентифицировать удаленный компьютер из-за проблем с сертификатом безопасности
Обновлено: 21.11.2024
У меня дома есть компьютер с Windows 7 Ultimate, а на работе — компьютер с Windows 7 Enterprise. У меня есть учетная запись DynDNS, указывающая на мой домашний маршрутизатор. Когда я использую подключение к удаленному рабочему столу на работе, обычно я просто ввожу свое доменное имя, имя пользователя и пароль и вуаля, я смотрю на рабочий стол своего домашнего компьютера. Сегодня я попробовал это, и мой рабочий ящик говорит мне:
"Не удалось аутентифицировать удаленный компьютер из-за проблем с его сертификатом безопасности. Продолжать работу может быть небезопасно."
.
"Сертификат не от доверенного центра сертификации"
За все годы, что я использую подключение к удаленному рабочему столу (начиная с XP), я ни разу не сталкивался с этой ошибкой. Есть идеи, почему это происходит сейчас, и могу ли я доверять соединению?
Да. ваш клиент RDP теперь проверяет сертификаты. На вашем домашнем компьютере либо его нет, либо он получен из ненадежного источника. Это может быть связано с изменением политики вашими администраторами. Позволяет ли он продолжить и подключиться или прекращает попытку? Можете ли вы добавить сертификат вашего домашнего ПК в местный магазин сертификатов?
Какие параметры проверки подлинности сервера?
При подключении к удаленному рабочему столу проверка подлинности сервера подтверждает, что вы подключаетесь к правильному удаленному компьютеру или серверу. Эта мера безопасности помогает предотвратить перехват данных неавторизованным удаленным компьютером. Существует три доступных варианта аутентификации:
Всегда подключаться, даже если аутентификация не удалась (наименее безопасный): с этим параметром, даже если подключение к удаленному рабочему столу не может проверить личность удаленного компьютера, оно все равно подключается.
Предупреждать меня, если проверка подлинности не удалась (более безопасно): с помощью этого параметра, если при подключении к удаленному рабочему столу не удается проверить подлинность удаленного компьютера, оно предупреждает вас, чтобы вы могли выбрать, следует ли продолжать подключение или нет.
Не подключаться, если проверка подлинности не удалась (наиболее безопасный вариант). При использовании этого параметра, если при подключении к удаленному рабочему столу не удается проверить подлинность удаленного компьютера, вы не сможете подключиться.
Чтобы изменить параметры проверки подлинности, откройте «Подключение к удаленному рабочему столу», нажмите «Параметры» и перейдите на вкладку «Дополнительно». Если вы не уверены, какой вариант выбрать, обратитесь к системному администратору или владельцу удаленного компьютера.
Удаленные компьютеры под управлением Windows Server 2003 с пакетом обновления 1 (SP1) или более ранними операционными системами не могут предоставлять свои идентификационные данные для проверки. Если вы знаете, что на удаленном компьютере установлена одна из этих операционных систем, вы можете избежать предупреждений о проверке подлинности, выбрав «Всегда подключаться, даже если проверка подлинности не удалась», а затем сохранить это изменение, нажав «Сохранить» или «Сохранить как» на вкладке «Общие».
По умолчанию установлено значение "Всегда подключаться, даже если аутентификация не удалась". Чтобы изменить его для будущего использования, выберите нужный уровень проверки подлинности, а затем на вкладке «Общие» щелкните «Сохранить» или «Сохранить как», чтобы сохранить настройки в файле .rdp. Чтобы подключиться к тому же удаленному компьютеру в будущем, дважды щелкните файл .rdp.
Срок действия самозаверяющего сертификата – одна из основных причин таких проблем. Это исправление продемонстрирует, как можно обновить самозаверяющий сертификат RDP.
Войдите в Windows Server → Пуск → Найдите и откройте «Управление сертификатом компьютера».
Перейдите к \LocalMachine\Remote Desktop\, и вы увидите, что срок действия самозаверяющего SSL-сертификата истек или нет.
Если срок действия самозаверяющего сертификата истек, вы можете перезапустить службу настройки удаленного рабочего стола, создав новый сертификат. Сначала найдите и откройте CMD (командную строку) и выполните следующие команды,
Использование реестра
<р>1. Войдите в Windows → Пуск → Найдите и откройте «regedit»
ИЛИ
Войдите в Windows, откройте «Выполнить» с помощью Windows + R → Введите и запустите Regedit.
<р>2. Открыв «Редактор реестра», перейдите в раздел HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client → дважды щелкните RDGClientTransport.
<р>3. Введите значение data = 1 → Нажмите OK.
Замена файлов mstsc.exe и mstscax.dll
Microsoft поставляется с mstsc.exe по умолчанию, приложением удаленного рабочего стола, которое мы используем при подключении к любому RDP. Иногда замена файлов mstsc.exe и mstscax.dll может решить указанную проблему для Windows 10 (версия 1607). Вы можете найти файлы mstsc.exe и mstscax.dll по следующему адресу,
Примечание. Вы должны заменить файлы версии Windows до версии 1607.
Microsoft уже представила исправление для этой проблемы. Если вы поддерживаете Windows в актуальном состоянии, вы не должны столкнуться с этой проблемой.
Заключение
Об этой ошибке сообщил один из наших клиентов, и предложенное выше решение должно решить проблему "Соединение было прервано, так как с удаленного компьютера был получен неожиданный сертификат проверки подлинности сервера".. р>
Пользователи могут настроить безопасные RDP-подключения к машине PSM с помощью SSL-подключения.
На сервере PSM запустите gpedit.msc, чтобы установить уровень безопасности.
- Перейдите в раздел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность.
- Откройте параметр "Безопасность", установите уровень шифрования клиентского подключения.
В области "Параметры" в раскрывающемся списке "Уровень шифрования" выберите "Высокий уровень".
Нажмите "ОК", чтобы сохранить настройки.
Откройте параметр «Безопасность» , «Требовать использования определенного уровня безопасности для удаленных подключений (RDP)».
В области "Параметры" в раскрывающемся списке "Уровень безопасности" выберите:
Нажмите "ОК", чтобы сохранить настройки.
В PVWA обновите все активные компоненты подключения, чтобы включить подключения RDP через SSL к машине PSM. Например, для подключений PSM SSH обновите PSM-SSH.
Войдите в PVWA как администратор.
На странице "Конфигурации системы" нажмите "Параметры" и разверните "Компоненты подключения" .
В каждый активный компонент подключения добавьте новый параметр компонента .
В свойствах параметра компонента добавьте новый параметр со следующими значениями:
Для соединений с ActiveX укажите AdvancedSettings4.AuthenticationLevel .
Для соединений с файлами RDP укажите уровень аутентификации: i .
Добавьте оба параметра, чтобы использовать оба метода.
- Value — значение имени этого параметра. Укажите 1.
Нажмите «Применить», чтобы применить новые настройки и остаться на странице «Параметры».
Для подключения к PSM требуется сертификат на машине PSM. По умолчанию Windows создает самозаверяющий сертификат, но вы можете использовать сертификат, предоставленный вашей организацией.
Разверните параметры управления привилегированными сеансами, а затем разверните узел Настроенные серверы PSM .
Разверните Сведения о подключении и выберите Сервер ; отображаются свойства сервера.
В свойстве Address укажите общее имя сертификата.
Нажмите «Применить», чтобы применить новые настройки, или
Нажмите "ОК", чтобы сохранить новые настройки и вернуться на страницу "Конфигурация системы".
Убедитесь, что в параметрах управления привилегированными сеансами адрес PSM указывает точное общее имя сертификата.
На клиентских компьютерах убедитесь, что сертификат компьютера PSM подписан доверенным ЦС.
Подключения RDP к целевым машинам с помощью SSL
Пользователи могут настроить безопасные подключения PSM-RDP к целевым машинам, проверив целевую машину перед подключением к ней и зашифровав сеанс с помощью соединения SSL. Для облегчения этого типа подключения целевая машина должна иметь собственный сертификат. Компьютер-сервер PSM должен доверять ЦС, подписавшему сертификат, используемый целевой машиной.
Перед настройкой безопасных подключений RDP с помощью SSL
Сервер PSM должен иметь доступ к CRL (списку отозванных сертификатов) из точек распространения CRL в сертификате.
На странице «Конфигурация системы» в разделе «Веб-доступ» нажмите «Параметры» и выберите «Компоненты подключения»; параметры компонента подключения, определяющие целевые адреса, отображаются в списке свойств.
Разверните компонент подключения PSM-RDP, а затем разверните Параметры цели .
Щелкните правой кнопкой мыши "Специфический для клиента" и во всплывающем меню выберите "Добавить параметр"; в список параметров клиента добавлен новый параметр.
В свойствах параметра укажите следующее:
Имя — имя параметра, специфичного для клиента. Укажите уровень аутентификации .
Value — уровень аутентификации, который будет использоваться для этого подключения. Укажите любое из следующих значений:
Нажмите «Применить», чтобы применить новые конфигурации компонента подключения,
Нажмите "ОК", чтобы сохранить новые конфигурации компонента подключения и вернуться на страницу "Конфигурация системы".
После установки последних обновлений безопасности на рабочий стол Windows 10 я не могу удаленно подключиться к своему новому серверу VDS (под управлением Windows Server 2012 R2) с помощью удаленного рабочего стола. Когда я указываю имя RDP-сервера в окне клиента mstsc.exe и нажимаю «Подключиться», появляется ошибка:
Подключение к удаленному рабочему столу
Произошла ошибка аутентификации.
Запрашиваемая функция не поддерживается.
Удаленный компьютер: имя_компьютера
После того как я удалил последние обновления и перезагрузил компьютер, я смог подключиться к удаленному серверу через RDP. Насколько я понимаю, это временное решение. Прибудет новый накопительный пакет обновления Windows, который будет установлен в следующем месяце, и ошибка аутентификации RDP вернется. Вы можете мне что-нибудь посоветовать?
Ответить
Вы совершенно правы. Бессмысленно решать эту проблему, удаляя установленное обновление Windows, потому что вы подвергаете свой компьютер риску использования различных уязвимостей, которые устраняет это обновление. Ошибка RDP «Произошла ошибка аутентификации» также может появиться при попытке запустить приложение RemoteApp.
Что вы можете сделать, чтобы решить эту проблему и подключиться к вашему RDP-серверу?
- Самый правильный способ решить проблему — установить последние накопительные обновления безопасности Windows на удаленный компьютер или RDS-сервер (к которому вы пытаетесь подключиться по RDP);
- Временное решение 1 . Вы можете отключить NLA (проверку подлинности на уровне сети) на стороне RDP-сервера (как описано ниже);
- Временное решение 2 . Вы можете перенастроить свои рабочие столы, разрешив им подключаться к удаленному рабочему столу с небезопасной версией CredSSP (как описано в статье по ссылке выше). Для этого измените параметр реестра AllowEncryptionOracle (используйте команду: REG ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 ) или измените параметр локальная политика Encryption Oracle Remediation, установив для нее значение Vulnerable. Это единственный способ получить доступ к удаленному серверу по RDP, если вы не можете войти на сервер локально (через ILO, консоль виртуальной машины или веб-интерфейс облачного провайдера). В этом режиме вы можете подключиться к удаленному серверу и установить последние обновления безопасности. После обновления сервера не забудьте отключить политику или вернуть значение параметра реестра AllowEncryptionOracle в 0 ( REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /д 0 ).
Отключить NLA для удаленного рабочего стола в Windows
Если на вашем RDP-сервере включен NLA, это означает, что CredSSP используется для предварительной аутентификации пользователей RDP. Вы можете отключить проверку подлинности на уровне сети в свойствах системы на вкладке «Удаленное», сняв флажок «Разрешить подключение только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)» (Windows 10/8.1 или Windows Server 2012R2/2016). р>
В Windows 7 (Windows Server 2008 R2) этот параметр называется по-другому. На вкладке «Удаленный» выберите параметр «Разрешить подключения с компьютеров, на которых запущена любая версия удаленного рабочего стола (менее безопасная)».
Вы также можете отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики — gpedit.msc (вы можете запустить gpedit.msc в Windows 10 Home, как показано ниже) или с помощью консоли управления групповой политикой домена — GPMC. мск.В редакторе политики перейдите в раздел Конфигурация компьютера —> Административные шаблоны —> Компоненты Windows —> Службы удаленных рабочих столов —> Узел сеансов удаленных рабочих столов —> Безопасность, найдите и отключите политику «Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на уровне сети». “.
Также необходимо выбрать уровень безопасности RDP в параметрах политики «Требовать использования определенного уровня безопасности для удаленных (RDP) подключений».
Чтобы применить новые настройки RDP, вам необходимо обновить групповые политики на локальном компьютере ( gpupdate / force ) или перезагрузить рабочий стол. После этого вы должны успешно подключиться к удаленному рабочему столу.
Я видел это при попытке создать подключение удаленного рабочего стола к Windows 2012 Server. (Хотя подключение к Windows 8 будет таким же).
Я только что настроил этот сервер и знал, что включил RDP и пытался подключиться как администратор домена, поэтому сначала я был немного озадачен.
Решение
Если у вас есть прямой/локальный доступ к машине, к которой вы пытаетесь подключиться.
<р>1. Нажмите клавишу Windows + R > В поле «Выполнить» введите sysdm.cpl > Remote.<р>2. Снимите флажок «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)».
Если у вас нет прямого/локального доступа к машине, к которой вы пытаетесь подключиться.
<р>1. На ВАШЕМ компьютере > Клавиша Windows+R > введите regedit > Файл > Подключить сетевой реестр > Введите сведения о компьютере, к которому вы пытаетесь подключиться > ОК.
Найдите значение UserAuthentication и измените его на 1 (один) > OK > Выйдите из редактора реестра.
Отключить аутентификацию на уровне сети RDP с помощью групповой политики
Если конечный сервер находится в удаленном центре обработки данных или в удаленном месте, и вы не можете получить доступ к свойствам системы, вы можете отключить этот параметр с помощью групповой политики и подождать пару часов.
<р>1. На контроллере домена> Пуск> Управление групповой политикой> Либо создайте новый объект групповой политики и свяжите его с OU, содержащей проблемный компьютер, либо отредактируйте существующий. (Здесь, в моей тестовой сети, я собираюсь изменить политику домена по умолчанию — ПРЕДУПРЕЖДЕНИЕ, это отключит эту функцию на всех машинах в производственной среде!Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность
<р>3. Найдите политику «Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на уровне сети».<р>4. Установите для политики значение «Отключено» > «Применить» > «ОК» > «Закрыть редактор управления групповыми политиками».
<р>5. Через какое время групповая политика повлияет на целевую машину? Групповые политики обрабатываются при запуске машины, после этого они обрабатываются снова (только если они изменились), период времени меняется (поэтому все клиенты не обновляются одновременно). Интервал составляет 90 минут со случайным смещением на 30 минут. Таким образом, максимальное время, которое это может занять, составляет 2 часа (120 минут). Примечание: это настройка по умолчанию, ее можно изменить вручную до (45 дней) 64 800 минут (хотя зачем вам это?)
Читайте также: