Làm cách nào để sửa RDP trên windows server 2012?

Dưới đây là ảnh chụp trạng thái RDP. Có vẻ tốt:

Khi tôi đi đến kết nối từ một máy từ xa, tôi gặp lỗi:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

Tôi đã kiểm tra cổng 3389 từ xa, nó đã mở. Tôi đã thử nó với netstat.

TCP    0.0.0.0:3389           hostname:0                LISTENING

• Không có tường lửa Windows
• Không có tường lửa mạng
• Giấy chứng nhận tự ký hoàn toàn mới
• Máy gần đây đã được khởi động lại, hoạt động trước đó
• Dịch vụ đầu cuối đang chạy
• Khi tôi kiểm tra chứng chỉ SSL, nó sẽ hiển thị tất cả các chi tiết, có vẻ tốt, hết hạn vào năm 2014
• hklm: \ System \ CurrentControlset \ Control \ Terminal Server \ fDenyTSConnections là 0
• Quản trị viên C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys có tất cả các cáo buộc

Cập nhật:

Bây giờ tôi đang tìm thấy điều này trong nhật ký sự kiện trong Sự kiện hành chính:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Tôi không chắc làm thế nào để giải quyết lỗi trên. Tôi cũng không chắc chắn đó là chứng chỉ RD đã nhập của tôi, mặc dù tôi biết điều đó xảy ra khi tôi thử RDP từ máy của mình.

Cập nhật II:

Tôi đã thử sử dụng powershell để tạo certs bằng khóa riêng. Không may mắn. Sử dụng các kỹ thuật ở đây và ở đây không có may mắn. Mỗi lần tôi đã thêm chứng chỉ vào thư mục gốc và cá nhân đáng tin cậy cho người dùng hệ thống trong phần đính kèm Chứng chỉ MMC.

Cập nhật III:

Rất khó chịu

Diễn đàn này chỉ ra rằng các cửa sổ có thể đã cập nhật trong quá trình khởi động lại, gây ra lỗi không thể phục hồi khi cài đặt vai trò Nhà môi giới kết nối máy tính từ xa (rõ ràng là cần thiết để tạo tệp pfx khóa riêng để nhập vào MMC). Lỗi là với hotfix tháng 6 năm 2013 KB2821895. Điều này có thể được khắc phục với điều này? http://support.microsoft.com/kb/2871777

Vì vậy, tôi đã chạy bản cập nhật Windows mới nhất và cố gắng cài đặt Trình môi giới kết nối máy tính từ xa để tôi có thể tạo tệp pfx. Không may mắn. Nó nói rằng một hoặc nhiều tính năng gốc không được cài đặt - mặc dù Hyper-V, v.v. Và nó không nói thêm vai trò nào khác ...

Cập nhật câu hỏi tóm tắt!

Vì vậy, về mặt lý thuyết, tất cả đã nói và thực hiện, việc cài đặt Nhà môi giới kết nối RD để cài đặt (để tạo khóa riêng) có thể giải quyết lỗi mã hóa của tôi không?

Bạn có thể gặp phải lỗi này khi kết nối sau khi nhập chứng chỉ SSL (và khóa riêng được liên kết) vào Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

Ngoài ra, trong nhật ký sự kiện Windows, bạn thấy:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Giải pháp:

Trích dẫn từ Microsoft KB2001849:

"Dịch vụ dịch vụ máy chủ từ xa chạy trên tài khoản NETWORK DỊCH VỤ. Do đó, cần phải đặt ACL của tệp chính được sử dụng bởi RDS (được tham chiếu bởi chứng chỉ có tên trong giá trị đăng ký SSLCertertSHA1Hash) để bao gồm DỊCH VỤ MẠNG với" Đọc " Để sửa đổi các quyền theo các bước dưới đây:

Mở chứng chỉ đính kèm cho máy tính cục bộ:

1. Bấm Bắt đầu, bấm Chạy, gõ mmc, và bấm OK.

2. Trên menu Tệp, bấm Thêm / Xóa Snap-in.

3. Trong hộp thoại Thêm hoặc xóa Snap-in, trong danh sách snap-in có sẵn, bấm Chứng chỉ và bấm Thêm.

4. Trong hộp thoại Chứng chỉ đính kèm, bấm Tài khoản máy tính và bấm Tiếp theo.

5. Trong hộp thoại Chọn Máy tính, bấm Máy tính cục bộ: (máy tính bảng điều khiển này đang chạy) và bấm Kết thúc.

6. Trong hộp thoại Thêm hoặc xóa Snap-in, bấm OK.

7. Trong phần đính kèm Chứng chỉ, trong cây điều khiển, mở rộng Chứng chỉ (Máy tính cục bộ), mở rộng Cá nhân và điều hướng đến chứng chỉ SSL mà bạn muốn sử dụng.

8. Bấm chuột phải vào chứng chỉ, chọn Tất cả tác vụ và chọn Quản lý khóa riêng.

9. Trong hộp thoại Quyền, bấm Thêm, nhập DỊCH VỤ MẠNG, bấm OK, chọn Đọc trong hộp kiểm Cho phép, sau đó bấm OK. "

Nguồn: https://support.microsoft.com/en-us/kb/2001849

Tôi đã vô hiệu hóa các dịch vụ cổng. Cuối cùng tôi đã chạy MMC và xóa chứng chỉ RD hoàn toàn. Sau đó, tôi vô hiệu hóa và kích hoạt lại cho phép kết nối từ xa. Điều này tạo ra một chứng chỉ mới, tốt và tôi đã có thể đăng nhập vào miền máy!

Tôi có đúng không khi cho rằng bạn đã nhập chứng chỉ Tự ký? Nếu đây là trường hợp rất có thể bạn đã đánh dấu chứng chỉ không thể xuất khẩu, sau đó sẽ giải thích lỗi ... Hãy xem http://bloss.msdn.com/b/kaushal/archive/2012/10/07/error -hresult-0x80070520-khi-thêm-ssl-bind-in-iis.aspx để biết thêm chi tiết. Nếu tôi đúng, bạn cần xóa và nhập lại chứng chỉ với cờ "Cho phép xuất".

Có một giải pháp cho bạn:

Tải xuống makecert.exe và tạo chứng chỉ mới cho RDP

makecert -r -pe -n "CN = máy chủ FQDN" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Nhà cung cấp mật mã Microsoft RSA SChannel" -sy 12 "

Thay đổi máy chủ FQDN với giá trị thực.

Đi đến chứng chỉ máy tính và dưới máy tính để bàn từ xa xóa chứng chỉ hiện tại. Sau đó, từ cửa hàng cá nhân chuyển chứng chỉ mới được tạo sang Remote Desktop. Mở chứng chỉ và sao chép Thumbprint.

Mở regedit và đi đến:

HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Control \ Terminal Server \ WinStations

Cập nhật khóa SelfSignCertert với chứng nhận mới.

Khởi động lại dịch vụ Remote Desktop Services

Tôi gặp vấn đề tương tự, với lỗi xuất hiện ngay khi tôi nhấp vào kết nối.

Để giải quyết cho tôi, tôi đã thay đổi dịch vụ Remote Desktop Services để nó hoạt động như Tài khoản hệ thống cục bộ thay vì DỊCH VỤ MẠNG. Khởi động lại dịch vụ và mọi thứ hoạt động như bình thường.

EDIT: Tôi vừa phát hiện ra rằng điều này sẽ khiến Access bị từ chối tin nhắn và phải được đặt thành DỊCH VỤ MẠNG. Nhưng việc thay đổi điều này thành Tài khoản hệ thống cục bộ và quay lại DỊCH VỤ MẠNG đã giải quyết hoàn toàn vấn đề của tôi.

Đây cuối cùng là điều đã khắc phục vấn đề tương tự đối với tôi (đạo cụ lớn cho bài đăng trên TechNet này về cách theo dõi khóa riêng nào là người vi phạm)

1. Tải xuống và chạy Procmon (từ Sysiternals Suite)
2. Theo dõi thư mục MachineKeys để biết hoạt động (rất có thể: C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys) bằng cách lắng nghe bất kỳ hoạt động nào trong đường dẫn đó
3. Cố gắng RDP vào máy vi phạm và sau đó bạn sẽ thấy Procmon lưu ý lỗi từ chối truy cập, cùng với tệp từ chối quyền truy cập
4. Xóa tệp vi phạm (trước tiên bạn có thể phải biến mình thành chủ sở hữu của tệp đó, sau đó cung cấp cho mình toàn quyền kiểm soát)
5. Khởi động lại máy tính và nó sẽ tạo lại khóa bị thiếu của bạn với các quyền chính xác được áp dụng

Tôi đến bữa tiệc muộn, nhưng đây là điều đã giúp tôi.

• Tạo chứng chỉ PFX mới. Tự ký sẽ hoạt động:

  Cài đặt-Mô-đun SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertert -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName

• Chụp dấu vân tay trong cửa sổ đầu ra
• Cài đặt chứng chỉ PFX được tạo vào máy tính của tôi> Cửa hàng cá nhân

• Chạy lệnh sau bằng dấu vân tay mà bạn đã nắm bắt trong các bước trên:

  wmic / không gian tên: \ root \ cimv2 \ TerminalService PATH Win32_TSGeneralSding Set SSLCertertSHA1Hash = " THUMB_PRINT "