Desktop 'kesalahan internal' jarak jauh terhubung setelah tambalan 'NSA' diinstal

9

Saya baru saja menginstal pembaruan Windows terbaru (patch NSA kerentanan) dan sekarang saya tidak dapat terhubung ke desktop jarak jauh.

  • Server di-host dari jarak jauh. Saya tidak punya akses fisik. Server 2012 R1.
  • Untungnya semua situs web berjalan ok setelah reboot.
  • Saya belum mencoba reboot kedua karena saya agak takut.
  • Ketika saya mencoba terhubung, saya langsung mendapatkan pesan ini:
  • " Koneksi Desktop Jarak Jauh : Terjadi kesalahan internal"

masukkan deskripsi gambar di sini

  • Telah mencoba dari banyak klien. Mereka semua gagal - termasuk aplikasi iOS yang selain memberi saya kesalahan 0x00000904.
  • Jika saya menjalankan telnet servername 3389maka itu memulai koneksi, jadi saya tahu port terbuka.
  • Saya dapat terhubung dengan baik ke server lain dari mesin Win 10 saya (tidak ditambal).
  • Saya tidak dapat terhubung dari laptop kedua saya, yaitu edisi Win 10 Creators.
  • Tidak dapat menemukan sesuatu yang berguna di Peraga Peristiwa.
  • Saya bahkan sudah mencoba wireshark yang tidak menunjukkan sesuatu yang berguna.
  • Yang terbaik yang harus saya diagnosa adalah kemampuan untuk mengunggah halaman ASPX dan menjalankannya.

Saya mengerti bahwa pengumpulan patch 'edisi NSA' baru-baru ini memiliki beberapa perbaikan RDP - tapi saya tidak dapat menemukan orang lain yang tiba-tiba mengalami masalah minggu ini.

Saya ingin tahu apa masalahnya sebelum saya menghubungi perusahaan hosting, itulah sebabnya saya memposting di sini.


Memperbarui:

Meskipun saya masih tidak memiliki akses server fisik, saya ingat saya memiliki VM Windows 7 yang di-host di server itu sendiri. Saya bisa masuk ke ini dan membuka snap-in sertifikat server dengan menghubungkan ke IP lokal 10.0.0.1.

Ini menunjukkan bahwa sertifikat RDP memang kedaluwarsa - meskipun saya tidak mendapatkan kesalahan saat menghubungkan saran itu. Saya tentu saja telah terhubung setiap hari dan sejak kedaluwarsa 2 bulan yang lalu, dugaan saya adalah beberapa jenis pembaruan keamanan menghapus sertifikat apa pun yang ada di toko Remote Desktop dan tidak memperbarui dirinya sendiri.

Jadi mencoba mencari cara untuk menginstal sertifikat yang berbeda di sini sekarang.

Perbarui 2

Akhirnya menemukan ini di log peristiwa di bawah 'Acara Administratif' (dengan menghubungkan dari jarak jauh melalui VM):

"Server Terminal telah gagal membuat sertifikat yang ditandatangani sendiri untuk digunakan untuk otentikasi Server Terminal pada koneksi SSL. Kode status yang relevan adalah Objek sudah ada."

Ini sepertinya membantu, walaupun kesalahannya sedikit berbeda. Tidak dapat melakukan reboot malam ini jadi harus memeriksa lagi besok.

https://blogs.technet.microsoft.com/the_9z_by_chris_davis/2014/02/20/event-id-1057-the-terminal-server-has-failed-to-create-a-new-self-signed-certificate/

masukkan deskripsi gambar di sini

Simon
sumber
2
Akan lebih baik jika Anda memberi tahu kami pembaruan atau pembaruan apa yang Anda instal alih-alih menyebutnya sebagai NSA vulnerability patch tuesday. Tidak semua orang peduli untuk bermain "Mystery Update Theatre 3000".
joeqwerty
Saya ingin memberitahu Anda - tetapi saya hanya menjalankan pembaruan windows dan kemudian reboot - dan sekarang saya tidak bisa masuk. 'Pembaruan terbaru' yang menang 2k ingin memperbarui sayangnya semua yang saya dapat mengungkapkan misteri. Saya telah bermain Theatre 3000 sepanjang hari mencoba memikirkan strategi. Kemungkinannya adalah jika saya membuat perusahaan hosting untuk reboot itu akan baik-baik saja, tetapi rasanya seperti saya mengunci diri dari rumah saya dan saya mengirim tukang kunci sementara saya bahkan tidak akan ada di sana. Terima kasih Tuhan, saya memiliki akses jarak jauh untuk SQL server / FTP dan semua situs web berjalan ok. Jika ada perintah untuk dijalankan untuk melihat pembaruan, saya dapat mencobanya
Simon
1
Anda dapat mencoba melihat Riwayat Pembaruan Windows dan menghapus pembaruan satu per satu (jika mereka mendukung penghapusan instalasi) sampai masalah teratasi dengan sendirinya. Catat pembaruan mana yang Anda hapus instalasinya sehingga Anda dapat mengidentifikasi pembaruan mana yang merupakan pembaruan tersangka.
joeqwerty
tapi saya tidak punya akses ke desktop untuk melakukan itu. itulah masalahnya. Saya hanya memiliki akses ke baris perintah melalui menjalankan perintah melalui halaman web ASPNET. Saya mencoba menjalankan systeminfo.exe untuk mendapatkan output sekarang
Simon
Baik. Lupa tentang itu. Salahku. Permintaan maaf.
joeqwerty

Jawaban:

9

Solusinya pada dasarnya di sini

https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/

Ini juga membantu:

https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to- gagal membuat sertifikat yang ditandatangani sendiri? forum = winserverTS

Anggap Anda telah memverifikasi bahwa sertifikat yang tercantum di bawah Sertifikat> Remote Desktop> Sertifikat tidak valid ...

masukkan deskripsi gambar di sini

Catatan: Saya mengambil tangkapan layar ini setelah saya memperbaiki semuanya - jadi tanggal kedaluwarsa ini adalah sertifikat yang baru dibuat yang melakukan semuanya dengan sendirinya.

Anda pada dasarnya perlu mengubah nama atau menghapus file ini - dan kemudian akan membuatnya kembali:

"C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys \ f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757"

Ini adalah nama file terkenal yang dimulai pada f686aace. Kemudian restart Remote Desktop Configurationlayanan dan itu harus membuatnya kembali. (Catatan: sebenarnya mungkin tidak diperlukan untuk memulai kembali layanan - tunggu saja untuk melihat apakah itu dibuat ulang dengan nama file yang sama sebentar).

Mungkin butuh waktu untuk bermain-main dengan izin dan Anda mungkin perlu mengambil kepemilikan file dan kemudian di samping menerapkan izin. Catatan: Kepemilikan tidak menyiratkan izin. Anda harus menambahkan izin setelah mengambil kepemilikan.


Seperti yang saya katakan saya tidak memiliki akses fisik ke server - jika Anda melakukannya maka yang di atas sudah cukup.

Saya beruntung dapat terhubung dari jarak jauh melalui komputer lain di jaringan lokal yang sama dan mengubah registri.

Saya ingin menonaktifkan otentikasi sehingga saya dapat terhubung dan mendapatkan akses dari jarak jauh. Entri registri untuk melakukan ini adalahHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Atur kunci yang ada SecurityLayerdan UserAuthenticationke0

Buat file RDP (buka mstsc dan klik Simpan setelah memasukkan nama server) dan di notepad tambahkan baris di enablecredsspsupport:i:0suatu tempat. Ini menonaktifkan harapan keamanan.

Ketika Anda kemudian menjalankan file RDP itu harus memungkinkan Anda untuk tersambung dan mendapatkan akses ke server Anda secara tidak pasti

Segera setelah Anda terhubung, ubah kedua entri registri ini kembali lalu lanjutkan dan hapus f686...file ...

Simon
sumber
Saya menggunakan sertifikat yang ditandatangani sendiri dan tidak pernah benar-benar secara eksplisit membuat sertifikat RDP. Jika Anda menemukan masalah yang sama maka solusinya mungkin sedikit berbeda jika Anda membuat sertifikat sendiri.
Simon
Tampaknya kebetulan pada tambalan terbaru - dan saya masih memiliki beberapa bulan yang layak!
Simon
PS. maafkan jawaban saya yang tidak terorganisir - ini hanya menghabiskan seluruh akhir pekan. OK saya sudah selesai
Simon
Aneh tiba-tiba mendapatkan masalah tentang ini. Apakah pembaruan baru menyebabkan ini lagi?
Simon
3

Pengaturan ini memperbaiki masalah saya:

1. Pada Panel Kontrol, klik Alat Administratif, lalu klik dua kali Kebijakan Keamanan Lokal.

2.Dalam Pengaturan Keamanan Lokal, rentangkan Kebijakan Lokal, lalu klik Opsi Keamanan.

3.Di bawah Kebijakan di panel kanan, klik dua kali Sistem kriptografi: Gunakan algoritma yang sesuai FIPS untuk enkripsi, hashing, dan penandatanganan, lalu klik Diaktifkan. Dalam kasus saya itu dinonaktifkan. Jadi saya hanya mengaktifkannya dan mengeluarkan perintah yang tercantum di bawah.

  1. Jalankan gpupdate / force

Opsi lain yang akan mengatasi masalah ini:

Protokol tidak diaktifkan di server. Saya menggunakan IIScrypto dan mengaktifkan TLS1.2 dan semuanya mulai berfungsi

azhar buttar
sumber
-1

Halo semua orang di lingkungan saya ini disebabkan ketika sertifikat yang ditandatangani sendiri yang baru dibuat TLS 1.0 dinonaktifkan di registri atau tidak ada dalam registri dan sertifikat yang ditandatangani sendiri baru tidak ada di toko otoritas sertifikasi root yang tepercaya.

Anda dapat membuktikan ini dua cara sebelum mengedit registri. unduh IIS Crypto dan lihat apa yang diaktifkan dan dinonaktifkan di Protokol, Ciphers, Hash, dan Pertukaran Kunci.

Kadang-kadang meskipun IIS Crypto akan menunjukkan bahwa TLS diaktifkan meskipun tidak diaktifkan di registri hanya FYI.

Opsi Anda berikutnya adalah untuk mengaktifkan FIPS dalam kebijakan grup lokal ini memaksa TLS 1.0, 1.1, dan 1.2 untuk dihidupkan dan digunakan. Aktifkan FIPS dan kemudian coba RDP ke mesin Anda itu akan berfungsi saat ini bahkan jika TLS dinonaktifkan di registri. Anda tidak ingin menggunakan FIPS secara permanen meskipun ini hanya untuk pemecahan masalah jadi nonaktifkan pada server dan langsung ke registri.

Kepala ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELdan di bawah Protokol menambah tiga kunci baru judul mereka TLS 1.0, TLS 1.1dan TLS 1.2kemudian membuat dua sub kunci di bawah setiap entri Judul TLS mereka Clientdan Server.

Di dalam Clientdan Servertombol membuat dua entri DWORD 32bit satu berjudul DisabledByDefaultdengan Valueset ke 0 dan Enableddengan nilai set ke 1.

Setelah Anda melakukan ini dan sertifikat yang ditandatangani sendiri tidak kedaluwarsa dan di toko yang benar Anda akan dapat RDP ke server Anda lagi.

aaron johnson
sumber