Kết nối 'lỗi nội bộ' của máy tính từ xa được kết nối sau khi cài đặt các bản vá 'NSA'


9

Tôi vừa cài đặt bản cập nhật Windows mới nhất (bản vá lỗ hổng NSA thứ ba) và bây giờ tôi không thể kết nối với máy tính để bàn từ xa.

  • Máy chủ được lưu trữ từ xa. Tôi không có quyền truy cập vật lý. Máy chủ 2012 R1.
  • May mắn là tất cả các trang web đang chạy ok sau khi khởi động lại.
  • Tôi chưa thử khởi động lại lần thứ hai vì tôi hơi sợ.
  • Khi tôi cố gắng kết nối, tôi nhận được thông báo này ngay lập tức :
  • " Kết nối máy tính từ xa : Đã xảy ra lỗi nội bộ"

nhập mô tả hình ảnh ở đây

  • Đã thử từ nhiều khách hàng. Tất cả đều thất bại - bao gồm cả ứng dụng iOS, ngoài ra còn gây ra lỗi 0x00000904.
  • Nếu tôi chạy telnet servername 3389thì nó khởi tạo một kết nối, vì vậy tôi biết cổng đang mở.
  • Tôi có thể kết nối tốt với các máy chủ khác từ máy Win 10 (chưa được vá) của mình.
  • Tôi cũng không thể kết nối từ máy tính xách tay thứ hai của mình, đó là phiên bản Win 10 Creators.
  • Không thể tìm thấy bất cứ điều gì hữu ích trong Trình xem sự kiện.
  • Tôi thậm chí đã từng thử wireshark mà không cho tôi thấy bất cứ điều gì hữu ích.
  • Điều tốt nhất tôi phải chẩn đoán là khả năng tải lên một trang ASPX và chạy nó.

Tôi hiểu rằng bản vá lỗi 'phiên bản NSA' gần đây có một số bản sửa lỗi RDP - nhưng tôi không thể tìm thấy ai khác đột nhiên gặp sự cố trong tuần.

Tôi muốn có một ý tưởng về vấn đề là gì trước khi tôi liên hệ với công ty lưu trữ, đó là lý do tại sao tôi đăng bài ở đây.


Cập nhật:

Trong khi tôi vẫn không có quyền truy cập máy chủ vật lý, tôi nhớ rằng tôi có máy ảo Windows 7 được lưu trữ trên chính máy chủ đó. Tôi đã có thể vào đây và mở chứng chỉ máy chủ đính kèm bằng cách kết nối với IP cục bộ 10.0.0.1.

Điều này cho thấy chứng chỉ RDP thực sự đã hết hạn - mặc dù tôi không gặp lỗi khi kết nối đề xuất đó. Tôi chắc chắn đã kết nối hàng ngày và vì nó đã hết hạn 2 tháng trước, tôi đoán là một loại cập nhật bảo mật đã xóa bất kỳ chứng chỉ nào khác trong cửa hàng Remote Desktop và nó không tự gia hạn.

Vì vậy, cố gắng tìm ra một cách để cài đặt một chứng chỉ khác nhau ở đây bây giờ.

Cập nhật 2

Cuối cùng đã tìm thấy điều này trong nhật ký sự kiện trong phần 'Sự kiện hành chính' (bằng cách kết nối từ xa qua VM):

"Máy chủ đầu cuối đã không tạo được chứng chỉ tự ký mới được sử dụng để xác thực Máy chủ đầu cuối trên các kết nối SSL. Mã trạng thái có liên quan là Object đã tồn tại."

Điều này có vẻ hữu ích, mặc dù một lỗi hơi khác nhau. Không thể khởi động lại tối nay mặc dù vậy sẽ phải kiểm tra lại vào ngày mai.

https://bloss.technet.microsoft.com/the_9z_by_chris_davis/2014/02/20/event-id-1057-the-terminal-server-has-fails-to-create-a-new-elf-sign-cert ve /

nhập mô tả hình ảnh ở đây


2
Sẽ tốt hơn nếu bạn nói với chúng tôi chính xác bản cập nhật hoặc bản cập nhật bạn đã cài đặt thay vì gọi nó là bản cập nhật NSA vulnerability patch tuesday. Không phải ai cũng quan tâm để chơi "Mystery Update Theater 3000".
joeqwerty

Tôi rất muốn nói với bạn - nhưng tôi chỉ chạy cập nhật windows và sau đó nó khởi động lại - và bây giờ tôi không thể vào được. 'Bản cập nhật mới nhất' mà win 2k muốn cập nhật thật không may là tất cả những gì tôi có thể tiết lộ về bí ẩn. Tôi đã chơi Nhà hát 3000 cả ngày để cố gắng nghĩ ra một chiến lược. Rất có thể nếu tôi khiến công ty lưu trữ khởi động lại thì mọi chuyện sẽ ổn, nhưng cảm giác như tôi tự nhốt mình ra khỏi nhà và tôi đang gửi một thợ khóa trong khi tôi thậm chí sẽ không ở đó. Ơn trời tôi có quyền truy cập từ xa cho máy chủ SQL / FTP và tất cả các trang web đều chạy ổn. Nếu có lệnh chạy để xem các bản cập nhật, tôi có thể thử điều đó
Simon

1
Bạn có thể thử xem Lịch sử cập nhật Windows và gỡ cài đặt từng bản cập nhật (nếu chúng hỗ trợ gỡ cài đặt) cho đến khi sự cố tự khắc phục. Lưu ý những cập nhật nào bạn đang gỡ cài đặt để bạn có thể xác định bản cập nhật nào là bản cập nhật đáng ngờ.
joeqwerty

nhưng tôi không có quyền truy cập vào máy tính để bàn để làm điều đó. đó chính là vấn đề. Tôi chỉ có quyền truy cập vào dòng lệnh thông qua việc chạy lệnh thông qua trang web ASPNET. Tôi đang cố chạy systeminfo.exe để nhận đầu ra ngay bây giờ
Simon

Đúng. Quên về điều đó. Lỗi của tôi. Lời xin lỗi.
joeqwerty

Câu trả lời:


9

Giải pháp cơ bản là ở đây

https://bloss.technet.microsoft.com/askpfeplat/2017/02/01/removing-elf-sign-rdp-certert/

Điều này cũng giúp:

https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to- thất bại để tự tạo chứng chỉ tự ký? forum = wonerverTS

Giả sử bạn đã xác minh rằng chứng chỉ được liệt kê trong Chứng chỉ> Máy tính từ xa> Chứng chỉ không hợp lệ ...

nhập mô tả hình ảnh ở đây

Lưu ý: Tôi đã chụp ảnh màn hình này sau khi tôi sửa mọi thứ - vì vậy ngày hết hạn này là chứng chỉ mới được tạo mà nó tự làm tất cả.

Về cơ bản, sau đó bạn cần đổi tên hoặc xóa tệp này - và sau đó nó sẽ tạo lại nó:

"C: \ Chương trìnhataata Microsoft Microsoft

Đây là một tên tệp nổi tiếng bắt đầu từ f686aace. Sau đó khởi động lại Remote Desktop Configurationdịch vụ và nó sẽ tạo lại nó. (Lưu ý: thực sự có thể không cần thiết phải khởi động lại dịch vụ - chỉ cần chờ xem liệu nó có được tạo lại với cùng tên tệp trong một phút không).

Nó có thể mất một số lộn xộn với các quyền và bạn có thể cần có quyền sở hữu tệp và sau đó áp dụng các quyền. Lưu ý: Quyền sở hữu không bao hàm quyền. Bạn phải thêm quyền sau khi sở hữu.


Như tôi đã nói tôi không có quyền truy cập vật lý vào máy chủ - nếu bạn làm như vậy thì những điều trên sẽ đủ.

Tôi đã may mắn có thể kết nối từ xa thông qua một máy khác trên cùng một mạng cục bộ và thay đổi sổ đăng ký.

Tôi muốn xác thực DISABLE để tôi có thể kết nối và truy cập từ xa. Các mục đăng ký để làm điều này làHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Thiết lập các phím hiện có SecurityLayerUserAuthenticationđể0

Tạo một tệp RDP (mở mstsc và nhấp vào Lưu sau khi nhập tên máy chủ) và trong notepad thêm dòng enablecredsspsupport:i:0ở đâu đó. Điều này vô hiệu hóa sự mong đợi của an ninh.

Khi bạn chạy tệp RDP, nó sẽ cho phép bạn KHÔNG GIỚI HẠN kết nối và giành quyền truy cập vào máy chủ của bạn.

Ngay sau khi bạn kết nối, hãy thay đổi hai mục đăng ký này và sau đó tiếp tục và xóa f686...tệp ...


Tôi đang sử dụng chứng chỉ tự ký và chưa bao giờ thực sự tạo chứng chỉ RDP. Nếu bạn thấy vấn đề tương tự thì giải pháp có thể hơi khác nếu bạn tự tạo chứng chỉ.
Simon

Xuất hiện trùng hợp với các bản vá mới nhất - và dù sao tôi cũng có vài tháng đáng giá!
Simon

Tái bút xin lỗi câu trả lời vô tổ chức của tôi - điều này chỉ lãng phí cả một ngày cuối tuần. OK Tôi xong rồi
Simon

Weird đột nhiên nhận được upvotes về điều này. Là một bản cập nhật mới gây ra điều này một lần nữa?
Simon

3

Các cài đặt này đã khắc phục sự cố của tôi:

1. Trong Bảng điều khiển, bấm Công cụ quản trị, sau đó bấm đúp vào Chính sách bảo mật cục bộ.

2.Trong Cài đặt bảo mật cục bộ, mở rộng Chính sách cục bộ, sau đó bấm Tùy chọn bảo mật.

3.Under Chính sách trong khung bên phải, bấm đúp vào Mật mã hệ thống: Sử dụng thuật toán tuân thủ mật khẩu để mã hóa, băm và ký, sau đó bấm Kích hoạt. Trong trường hợp của tôi, nó đã bị vô hiệu hóa. Vì vậy, tôi chỉ kích hoạt nó và ban hành lệnh được liệt kê.

  1. Chạy gpupdate / lực lượng

Một lựa chọn khác sẽ giải quyết vấn đề này:

Các giao thức không được kích hoạt trên máy chủ. Tôi đã sử dụng IIScrypto và kích hoạt TLS1.2 và mọi thứ bắt đầu hoạt động


-1

Xin chào mọi người trong môi trường của tôi, điều này xảy ra khi chứng chỉ tự ký mới được tạo TLS 1.0 bị vô hiệu hóa trong sổ đăng ký hoặc không tồn tại trong sổ đăng ký và chứng chỉ tự ký mới không có trong kho lưu trữ chứng nhận gốc đáng tin cậy.

Bạn có thể chứng minh hai cách này trước khi chỉnh sửa sổ đăng ký. tải xuống IIS Crypto và xem những gì được kích hoạt và vô hiệu hóa trong Giao thức, Mật mã, Băm và Trao đổi khóa.

Đôi khi, mặc dù IIS Crypto sẽ hiển thị rằng TLS được bật ngay cả khi nó không được kích hoạt trong sổ đăng ký chỉ là một FYI.

Tùy chọn tiếp theo của bạn là bật chế độ Trin trong chính sách nhóm cục bộ, điều này buộc TLS 1.0, 1.1 và 1.2 được bật và sử dụng. Bật Trin và sau đó thử RDP vào máy của bạn, lần này nó sẽ hoạt động ngay cả khi TLS bị vô hiệu hóa trong sổ đăng ký. Bạn không muốn sử dụng Trin vĩnh viễn mặc dù điều này chỉ để khắc phục sự cố vì vậy hãy vô hiệu hóa nó trên máy chủ và đi đến sổ đăng ký.

Đi đến HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELdưới giao thức thêm ba phím mới tên họ TLS 1.0, TLS 1.1TLS 1.2sau đó tạo ra hai phím phụ dưới mỗi TLS mục Tiêu đề họ ClientServer.

Bên trong ClientServerphím tạo hai mục 32bit DWORD một tiêu đề DisabledByDefaultvới các Valuethiết lập để 0 và Enabledvới các thiết lập giá trị cho 1.

Khi bạn thực hiện việc này và chứng chỉ tự ký của bạn chưa hết hạn và trong các cửa hàng chính xác, bạn sẽ có thể RDP vào máy chủ của mình một lần nữa.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.