¿Cómo arreglar RDP en Windows Server 2012?

12

Aquí hay una instantánea del estado de RDP. Se ve bien: ingrese la descripción de la imagen aquí

Cuando voy a conectarme desde una máquina remota, aparece un error:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

He probado el puerto 3389 de forma remota, está abierto. Lo he probado con netstat.

TCP    0.0.0.0:3389           hostname:0                LISTENING
  • Sin firewall de Windows
  • Sin firewall de red
  • Nuevo certificado autofirmado
  • La máquina se reinició recientemente, funcionó antes de eso
  • Terminal Services se está ejecutando
  • Cuando inspecciono el certificado SSL, muestra todos los detalles, se ve bien, caduca en 2014
  • hklm: \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections es 0
  • El administrador de C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys tiene todos los privilegios

Actualizar:

Ahora estoy encontrando esto en el registro de eventos en Eventos administrativos:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

No estoy seguro de cómo resolver el error anterior. Tampoco estoy seguro de que sea mi certificado RD importado, aunque sé que sucede cuando trato de RDP desde mi máquina.

Actualización II:

Intenté usar powershell para generar certificados con claves privadas. Sin suerte. Técnicas utilizadas aquí y aquí sin suerte. Cada vez que agregué el certificado a raíces confiables y personales para el usuario del sistema en el complemento Certificado MMC.

Actualización III:

Muy molesto

Este foro indica que Windows puede haberse actualizado durante el reinicio, causando un error irrecuperable al instalar el rol de Remote Desktop Connection Broker (aparentemente necesario para generar un archivo pfx de clave privada para importar a MMC). El error es con la revisión de junio de 2013 KB2821895. Esto podría ser remediado con esto? http://support.microsoft.com/kb/2871777

Así que ejecuté la última actualización de Windows e intenté instalar el Remote Desktop Connection Broker para poder generar el archivo pfx. Sin suerte. Dice que una o más funciones principales no están instaladas, aunque Hyper-V, etc. lo están. Y no dice qué otros roles agregar ...

¡Pregunta de resumen de actualización!

Entonces, todo dicho y hecho, teóricamente, ¿hacer que el RD Connection Broker se instale (para generar una clave privada) probablemente resolvería mi error de cifrado?

ssl windows-server-2012 remote-desktop rdp FlavorScape
fuente
Su captura de pantalla es de rdp gateway, pero está hablando de vanilla rdp. Son dos cosas separadas; una puerta de enlace rdp funciona en: 443 para tunelizar conexiones rdp dentro de una red.
Mark Henderson
Bien, recibí una sospecha furtiva de que estaba en el lugar equivocado. ¿Cómo resuelvo el problema del certificado? No veo en qué parte de la configuración de RD de vainilla incluso cambiar esto.
FlavorScape
Verificar que el servicio se ejecuta a través de netstat no es una prueba suficiente. Desde un sistema remoto, ejecute "telnet IP_OF_RDP_HOST 3389" (sin comillas) y debería eliminar todo el texto en la ventana de cmd. Alternativamente, ejecute una captura de red (netmon / wireshark) para determinar si se está estableciendo una sesión TCP.
user2320464
Intente ir a través de blogs.technet.microsoft.com/askperf/2014/10/22/… - funcionó para mí con la conexión RDP rechazada a Win2012 svr :-)
Nigel Harvey

Respuestas:

7

Puede encontrar este error al conectarse después de importar un certificado SSL (y la clave privada asociada) en Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator.

Además, en los registros de eventos de Windows, verá:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

Solución:

Cita de Microsoft KB2001849:

"El servicio de Servicios de host de escritorio remoto se ejecuta bajo la cuenta de SERVICIO DE RED. Por lo tanto, es necesario establecer la ACL del archivo de clave utilizado por RDS (referenciado por el certificado nombrado en el valor de registro SSLCertificateSHA1Hash) para incluir SERVICIO DE RED con" Leer " permisos. Para modificar los permisos, siga los pasos a continuación:

Abra el complemento Certificados para la computadora local:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y haga clic en Aceptar.

  2. En el menú Archivo, haga clic en Agregar o quitar complemento.

  3. En el cuadro de diálogo Agregar o quitar complementos, en la lista Complementos disponibles, haga clic en Certificados y haga clic en Agregar.

  4. En el cuadro de diálogo Complemento Certificados, haga clic en Cuenta del equipo y haga clic en Siguiente.

  5. En el cuadro de diálogo Seleccionar equipo, haga clic en Equipo local: (el equipo en el que se ejecuta esta consola) y haga clic en Finalizar.

  6. En el cuadro de diálogo Agregar o quitar complementos, haga clic en Aceptar.

  7. En el complemento Certificados, en el árbol de la consola, expanda Certificados (equipo local), expanda Personal y navegue hasta el certificado SSL que desea usar.

  8. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y seleccione Administrar claves privadas.

  9. En el cuadro de diálogo Permisos, haga clic en Agregar, escriba SERVICIO DE RED, haga clic en Aceptar, seleccione Leer en la casilla de verificación Permitir y luego haga clic en Aceptar ".

Fuente: https://support.microsoft.com/en-us/kb/2001849

hwdsl2
fuente
3

Deshabilité los servicios de puerta de enlace. Terminé ejecutando MMC y eliminando el certificado RD por completo. Luego deshabilité y volví a habilitar permitir conexiones remotas. ¡Esto generó un nuevo certificado bueno y pude iniciar sesión en el dominio de la máquina!

FlavorScape
fuente
2

¿Estoy en lo cierto suponiendo que importó el certificado autofirmado? Si este es el caso, lo más probable es que haya marcado el certificado como no exportable, lo que explicaría el error ... Consulte http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error -hresult-0x80070520-when-agregar-ssl-binding-in-iis.aspx para más detalles. Si tengo razón, debe eliminar y volver a importar el certificado con el conjunto de indicadores "Permitir exportación".

CHfish
fuente
Mi certificado nunca generó una clave privada, por lo que no puedo exportar / importar para obtenerlo en el sistema en lugar de mi almacén de certificados de usuario. Ahora estoy tratando de usar PowerShell para generar uno con una clave privada, porque aparentemente el que está en el cuadro de diálogo RD no hace esto en absoluto.
FlavorScape
Tampoco estoy agregando el enlace a IIS, es para Escritorio remoto ...
FlavorScape
1

Ten una solución para ti:

Descargue makecert.exe y genere un nuevo certificado para RDP

makecert -r -pe -n "CN = FQDN del servidor" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Proveedor criptográfico SChannel de Microsoft RSA SChannel" -sy 12 "

Cambiar el FQDN del servidor con valor real.

Vaya a certificados de computadora y en el escritorio remoto elimine el certificado actual. Luego, desde la tienda personal, mueva el certificado recién creado a Escritorio remoto. Abra el certificado y copie la huella digital.

Abra regedit y vaya a:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations

Actualice la clave SelfSignedCertificate con el nuevo certificado tumbprint.

Reinicie el servicio de Servicios de escritorio remoto

opti2k4
fuente
1

Tuve el mismo problema, y ​​apareció un error tan pronto como hice clic en conectar.

Para resolverlo, cambié el servicio de Servicios de escritorio remoto para que se ejecutara como Cuenta de sistema local en lugar de SERVICIO DE RED. Reinicié el servicio y todo funcionó normalmente.

EDITAR: Acabo de descubrir que esto causará que el mensaje de acceso denegado se deba configurar como SERVICIO DE RED. Pero cambiar esto a Cuenta de sistema local y volver a SERVICIO DE RED resolvió mi problema por completo.

0x0000001E
fuente
Fuente: blogs.technet.microsoft.com/askperf/2010/07/08/…
0x0000001E
1

Finalmente, esto es lo que solucionó este mismo problema para mí (grandes apoyos para esta publicación de TechNet sobre cómo rastrear qué clave privada es el delincuente)

  1. Descargue y ejecute Procmon (desde Sysinternals Suite)
  2. Monitoree la actividad de la carpeta MachineKeys (muy probablemente: C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys) escuchando cualquier actividad en esa ruta
  3. Intente RDP a la máquina infractora y luego debería ver que Procmon nota el error de acceso denegado, junto con el archivo que estaba denegando el acceso
  4. Elimine el archivo ofensivo (es posible que primero deba hacerse propietario del mismo y luego otorgarle el control total)
  5. Reinicie la computadora y debería regenerar su clave faltante con los permisos correctos aplicados
si1ic0n_gh0st
fuente
0

Llego tarde a la fiesta, pero esto es lo que me ayudó.

  • Genere un nuevo certificado PFX. Autofirmado funcionará:

    Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx" -CertificatePassword $ password

  • Capture una huella digital en la ventana de salida
  • Instale el certificado PFX generado en Mi computadora> Tienda personal

  • Ejecute el siguiente comando utilizando la huella digital que capturó en los pasos anteriores:

    wmic / namespace: \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = " THUMB_PRINT "

Zerg00s
fuente