Saya baru saja menginstal pembaruan Windows terbaru (patch NSA kerentanan) dan sekarang saya tidak dapat terhubung ke desktop jarak jauh.
- Server di-host dari jarak jauh. Saya tidak punya akses fisik. Server 2012 R1.
- Untungnya semua situs web berjalan ok setelah reboot.
- Saya belum mencoba reboot kedua karena saya agak takut.
- Ketika saya mencoba terhubung, saya langsung mendapatkan pesan ini:
- " Koneksi Desktop Jarak Jauh : Terjadi kesalahan internal"
- Telah mencoba dari banyak klien. Mereka semua gagal - termasuk aplikasi iOS yang selain memberi saya kesalahan 0x00000904.
- Jika saya menjalankan
telnet servername 3389
maka itu memulai koneksi, jadi saya tahu port terbuka. - Saya dapat terhubung dengan baik ke server lain dari mesin Win 10 saya (tidak ditambal).
- Saya tidak dapat terhubung dari laptop kedua saya, yaitu edisi Win 10 Creators.
- Tidak dapat menemukan sesuatu yang berguna di Peraga Peristiwa.
- Saya bahkan sudah mencoba wireshark yang tidak menunjukkan sesuatu yang berguna.
- Yang terbaik yang harus saya diagnosa adalah kemampuan untuk mengunggah halaman ASPX dan menjalankannya.
Saya mengerti bahwa pengumpulan patch 'edisi NSA' baru-baru ini memiliki beberapa perbaikan RDP - tapi saya tidak dapat menemukan orang lain yang tiba-tiba mengalami masalah minggu ini.
Saya ingin tahu apa masalahnya sebelum saya menghubungi perusahaan hosting, itulah sebabnya saya memposting di sini.
Memperbarui:
Meskipun saya masih tidak memiliki akses server fisik, saya ingat saya memiliki VM Windows 7 yang di-host di server itu sendiri. Saya bisa masuk ke ini dan membuka snap-in sertifikat server dengan menghubungkan ke IP lokal 10.0.0.1.
Ini menunjukkan bahwa sertifikat RDP memang kedaluwarsa - meskipun saya tidak mendapatkan kesalahan saat menghubungkan saran itu. Saya tentu saja telah terhubung setiap hari dan sejak kedaluwarsa 2 bulan yang lalu, dugaan saya adalah beberapa jenis pembaruan keamanan menghapus sertifikat apa pun yang ada di toko Remote Desktop dan tidak memperbarui dirinya sendiri.
Jadi mencoba mencari cara untuk menginstal sertifikat yang berbeda di sini sekarang.
Perbarui 2
Akhirnya menemukan ini di log peristiwa di bawah 'Acara Administratif' (dengan menghubungkan dari jarak jauh melalui VM):
"Server Terminal telah gagal membuat sertifikat yang ditandatangani sendiri untuk digunakan untuk otentikasi Server Terminal pada koneksi SSL. Kode status yang relevan adalah Objek sudah ada."
Ini sepertinya membantu, walaupun kesalahannya sedikit berbeda. Tidak dapat melakukan reboot malam ini jadi harus memeriksa lagi besok.
NSA vulnerability patch tuesday
. Tidak semua orang peduli untuk bermain "Mystery Update Theatre 3000".Jawaban:
Solusinya pada dasarnya di sini
https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/
Ini juga membantu:
https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to- gagal membuat sertifikat yang ditandatangani sendiri? forum = winserverTS
Anggap Anda telah memverifikasi bahwa sertifikat yang tercantum di bawah Sertifikat> Remote Desktop> Sertifikat tidak valid ...
Catatan: Saya mengambil tangkapan layar ini setelah saya memperbaiki semuanya - jadi tanggal kedaluwarsa ini adalah sertifikat yang baru dibuat yang melakukan semuanya dengan sendirinya.
Anda pada dasarnya perlu mengubah nama atau menghapus file ini - dan kemudian akan membuatnya kembali:
"C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys \ f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757"
Ini adalah nama file terkenal yang dimulai pada
f686aace
. Kemudian restartRemote Desktop Configuration
layanan dan itu harus membuatnya kembali. (Catatan: sebenarnya mungkin tidak diperlukan untuk memulai kembali layanan - tunggu saja untuk melihat apakah itu dibuat ulang dengan nama file yang sama sebentar).Mungkin butuh waktu untuk bermain-main dengan izin dan Anda mungkin perlu mengambil kepemilikan file dan kemudian di samping menerapkan izin. Catatan: Kepemilikan tidak menyiratkan izin. Anda harus menambahkan izin setelah mengambil kepemilikan.
Seperti yang saya katakan saya tidak memiliki akses fisik ke server - jika Anda melakukannya maka yang di atas sudah cukup.
Saya beruntung dapat terhubung dari jarak jauh melalui komputer lain di jaringan lokal yang sama dan mengubah registri.
Saya ingin menonaktifkan otentikasi sehingga saya dapat terhubung dan mendapatkan akses dari jarak jauh. Entri registri untuk melakukan ini adalah
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Atur kunci yang ada
SecurityLayer
danUserAuthentication
ke0
Buat file RDP (buka mstsc dan klik Simpan setelah memasukkan nama server) dan di notepad tambahkan baris di
enablecredsspsupport:i:0
suatu tempat. Ini menonaktifkan harapan keamanan.Ketika Anda kemudian menjalankan file RDP itu harus memungkinkan Anda untuk tersambung dan mendapatkan akses ke server Anda secara tidak pasti
Segera setelah Anda terhubung, ubah kedua entri registri ini kembali lalu lanjutkan dan hapus
f686...
file ...sumber
Pengaturan ini memperbaiki masalah saya:
1. Pada Panel Kontrol, klik Alat Administratif, lalu klik dua kali Kebijakan Keamanan Lokal.
2.Dalam Pengaturan Keamanan Lokal, rentangkan Kebijakan Lokal, lalu klik Opsi Keamanan.
3.Di bawah Kebijakan di panel kanan, klik dua kali Sistem kriptografi: Gunakan algoritma yang sesuai FIPS untuk enkripsi, hashing, dan penandatanganan, lalu klik Diaktifkan. Dalam kasus saya itu dinonaktifkan. Jadi saya hanya mengaktifkannya dan mengeluarkan perintah yang tercantum di bawah.
Opsi lain yang akan mengatasi masalah ini:
Protokol tidak diaktifkan di server. Saya menggunakan IIScrypto dan mengaktifkan TLS1.2 dan semuanya mulai berfungsi
sumber
Halo semua orang di lingkungan saya ini disebabkan ketika sertifikat yang ditandatangani sendiri yang baru dibuat TLS 1.0 dinonaktifkan di registri atau tidak ada dalam registri dan sertifikat yang ditandatangani sendiri baru tidak ada di toko otoritas sertifikasi root yang tepercaya.
Anda dapat membuktikan ini dua cara sebelum mengedit registri. unduh IIS Crypto dan lihat apa yang diaktifkan dan dinonaktifkan di Protokol, Ciphers, Hash, dan Pertukaran Kunci.
Kadang-kadang meskipun IIS Crypto akan menunjukkan bahwa TLS diaktifkan meskipun tidak diaktifkan di registri hanya FYI.
Opsi Anda berikutnya adalah untuk mengaktifkan FIPS dalam kebijakan grup lokal ini memaksa TLS 1.0, 1.1, dan 1.2 untuk dihidupkan dan digunakan. Aktifkan FIPS dan kemudian coba RDP ke mesin Anda itu akan berfungsi saat ini bahkan jika TLS dinonaktifkan di registri. Anda tidak ingin menggunakan FIPS secara permanen meskipun ini hanya untuk pemecahan masalah jadi nonaktifkan pada server dan langsung ke registri.
Kepala ke
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
dan di bawah Protokol menambah tiga kunci baru judul merekaTLS 1.0
,TLS 1.1
danTLS 1.2
kemudian membuat dua sub kunci di bawah setiap entri Judul TLS merekaClient
danServer
.Di dalam
Client
danServer
tombol membuat dua entri DWORD 32bit satu berjudulDisabledByDefault
denganValue
set ke 0 danEnabled
dengan nilai set ke 1.Setelah Anda melakukan ini dan sertifikat yang ditandatangani sendiri tidak kedaluwarsa dan di toko yang benar Anda akan dapat RDP ke server Anda lagi.
sumber