Escritorio remoto funciona solo con clientes antiguos

10

Todas nuestras computadoras con Windows 8.1 de repente rechazan las conexiones de Escritorio remoto.

El problema es cuando conectamos A de Windows 8.1
No tenemos el problema al conectar con otras versiones de Windows.

editar: problema resuelto con la actualización de Microsoft KB2962806. Gracias a Bertrand SCHITS por su respuesta.

Lo que encontramos hasta ahora:

  • Siempre podemos conectarnos como usuarios locales. El problema es solo para usuarios de dominio (admin y regular)
  • podemos conectarnos con versiones antiguas de mstsc.exe. Por ejemplo, podemos conectarnos desde computadoras con Windows 2003 y 2003 R2. No podemos conectarnos desde Windows 7, Windows 8.1 y Windows 2012 R2.
    Si copiamos el antiguo mstsc.exe (versión 5.2.xxxx) de Windows 2003 a una computadora más nueva, podemos conectarnos
  • si nos conectamos desde una versión anterior de mstsc.exe (como se indicó anteriormente), durante varios minutos podemos conectarnos desde la versión que queramos. Debemos usar la versión anterior nuevamente después de un período de tiempo aleatorio (desde 30 segundos hasta varias horas)
  • con las versiones recientes de mstsc.exe, a veces no podemos conectar a algunos usuarios, pero esto funciona con otros usuarios. Este comportamiento desaparece en cuanto usamos una versión anterior y puede reaparecer 2 días después.
  • (gracias a la respuesta de Warren) si agregamos manualmente enablecredsspsupport:i:0al archivo .rdp, las credenciales no se solicitan antes de la conexión (por lo que el comportamiento es el mismo que con los clientes antiguos), y podemos conectarnos con cualquier versión de cliente. Pero no podemos conectarnos automáticamente, y el proceso de inicio de sesión implica cada vez que elija iniciar sesión como otro usuario (incluso si es el mismo usuario)
  • (gracias a Pathum Anjana) aplicamos la actualización opcional KB2830477 en ambos lados de las conexiones

Lo que probamos:

  • Probamos de red local a local y de distante a local. Ninguna diferencia
  • deshabilitamos el firewall
  • probamos deshabilitar todas las funciones de seguridad con gpedit.msc Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
  • habilitamos la auditoría para eventos de inicio de sesión y nada en los registros. No hay nada obvio en otros registros (¿cómo habilitar los registros del protocolo RDP?)
  • probamos en una computadora ubicada en otra red (los dominios no están relacionados), que solo tiene instalado 7-zip. Sin controladores de impresora, sin directivas de grupo, nada más. Es solo un nuevo Windows 8.1 actualizado. Tenemos exactamente el mismo problema.
  • le preguntamos a Google, y él dijo "Realmente no lo sé". Ahora nos dirige a esta página, que es una muy buena respuesta pero no realmente útil.
  • eliminamos todas las actualizaciones hasta el 25 de febrero (varios días antes de que ocurriera el problema). No hay mejora, por lo que el problema podría ser una configuración existente configurada en un valor diferente por una actualización reciente (y no revertida cuando se elimina la actualización, que es probablemente el comportamiento habitual)

Cuando no podemos conectarnos, el mensaje de error es exactamente el mismo que recibimos con una contraseña incorrecta (pero sin entrada en el registro de seguridad):
ingrese la descripción de la imagen aquí

  • cada computadora tiene licencias válidas
  • utilizamos MSE como antivirus
  • algunos Windows 8.1 están preinstalados por el fabricante (Lenovo), mientras que otros los instalamos nosotros. El único factor común que veo es el hecho de que los gestionamos todos

¿Alguna idea de lo que podemos hacer para solucionar esto?

Gregory MOUSSAT
fuente
1
@RedShift: obviamente usamos el mismo método cuando funciona y cuando no. Siempre usamos dominio \ nombre de usuario.
Gregory MOUSSAT
55
¿Por qué el voto negativo sobre esto? La pregunta se lee bien investigada.
jscott
1
Me gustaría ver cómo se están implementando estas computadoras Win 8.1. ¿Es la misma imagen que se está enviando a estas computadoras? Quizás la imagen está corrupta. Necesitamos buscar el factor común. Algo tiene que configurarse de manera diferente en las máquinas 8.1. Especialmente si no tiene problemas al usar RDP para acceder a otros sistemas operativos.
veel84
2
Solo agrego mis hallazgos a este hilo ... Soy un consultor de TI y estoy teniendo el mismo problema en varios sitios de clientes ... todo lo cual comenzó a tener problemas el 11 de marzo. 3 clientes diferentes, ninguno de los despliegues fue fotografiado, todos en diferentes redes, todos detrás de diferentes firewalls, todos en diferentes entornos. Uno es un dominio de Windows 2003, uno de 2008 y otro de 2012. Todos se pueden reproducir exactamente como se describe anteriormente. La única advertencia es que RDP funciona siempre que inicie sesión como administrador (local o de dominio). Si inicio sesión como usuario,
1
¿Tiene algo relacionado con esto en el visor de eventos? Sería bueno ver un mensaje de registro sobre esto. Quizás un rastro de Wireshark del apretón de manos de inicio de sesión también sería útil.
MrMajestyk

Respuestas:

5

Quizás esto esté relacionado con KB2962806. Deberías intentar aplicarlo.
No sé cómo aplicar esta actualización porque no está disponible en el sitio de Microsoft. Solo lo obtengo con la actualización automática de Windows, pero no en todas las computadoras.

Esta actualización resolvió un problema similar para mí. Y dado que esta actualización se aplica en ALGUNAS computadoras, todas las demás también funcionan. No busqué por qué.

Bertrand SCHITS
fuente
Probé en dos computadoras y el problema parece resuelto. Necesito más tiempo para asegurarme de que esto esté bien.
Gregory MOUSSAT
1
Confirmo que este KB2962806 es el correcto para nuestro problema. ¡Gracias!
Gregory MOUSSAT
2

La solicitud de credenciales me ha estado volviendo loco durante los últimos días, y seguir la cadena de eventos recientes me lleva a creer que está relacionado con KB3035017 que nuestros servidores RDP 2012 se instalaron recientemente.

Después de buscar en esta publicación y en otras, he encontrado algo que hasta ahora está solucionando el problema.

La prueba de los iconos RDP de mi lado en la misma máquina produce el error de solicitud de credenciales uno uno y el inicio de sesión exitoso del otro.

http://www.boredsysadmin.com/2008/06/how-to-disable-credentials-prompt-of.html

Espero que esto ayude a otros, continuaré monitoreando y buscando una solución correcta.

Salud

Madriguera
fuente
Confirmo enablecredsspsupport: i: 0 resuelve parcialmente el problema. Pregunta actualizada
Gregory MOUSSAT
1

Probablemente funciona con los clientes RDP más antiguos porque obliga a una versión de protocolo de bajada de categoría donde cualquier problema causa que esto no ocurra.

Supongo que podría estar relacionado con la resolución de pantalla. Microsoft realizó bastantes cambios relacionados con la resolución de pantalla y el manejo de monitores múltiples en RDP en Windows 8.1. Aunque sus síntomas no parecen estar relacionados con las resoluciones, ¿tal vez la negociación falla entre el cliente RDP de Windows 7 y Windows 8.1?

Eso también explicaría por qué funciona para algunos usuarios y no para otros: pueden tener diferentes configuraciones de resolución en el cliente o en el sistema 8.1 de destino.

Vea si cambiar la resolución de la pantalla en el cliente RDP tiene algún efecto (en particular, cambiar entre el modo de pantalla completa y una resolución específica, y también cambiar la configuración de varios monitores).

Puede leer más sobre esto aquí: http://blogs.msdn.com/b/rds/archive/2013/12/16/resolution-and-scaling-level-updates-in-rdp-8-1.aspx

Kevin Keane
fuente
Acabo de probar con sesiones RDP a 1024x768, y deshabilitar impresoras / copiar-pegar / etc -> nada mejor
Gregory MOUSSAT
1

Dado el momento de lo que está viendo, el problema puede coincidir con el parche para CVE-2015-0079 . El boletín de Microsoft relacionado con esta vulnerabilidad es MS15-030 y el parche real para el problema está disponible aquí . Si este parche se ha instalado en sus sistemas, puede intentar eliminarlo de uno de ellos para ver si esto soluciona el problema.

No sería el primer parche de MS para romper ciertas combinaciones de RDP. Eche un vistazo a esto , en particular sobre KB2984972.

El problema que MS está solucionando con el parche es un posible ataque DoS, generalmente no es un gran problema en un entorno de oficina, pero aún así.

MrMajestyk
fuente
Probé eliminar KB3035017 (que es el parche relacionado con la vulnerabilidad a la que señala) -> sin cambios. Ahora elimino otros parches del 11 de marzo para ver si tenemos alguna mejora.
Gregory MOUSSAT
Eliminé todos los parches del 11 de marzo, y los 5 anteriores -> nada mejor
Gregory MOUSSAT
Bueno, ciertamente valió la pena intentarlo. Es realmente muy malo cuando ese tipo de Google no sabe nada. Por lo general, es muy bueno con las cosas a ese respecto. Otra cosa a tener en cuenta podría ser el tiempo: ¿las estaciones de trabajo mantienen el tiempo correctamente? Me imagino que lo hacen si son parte de un dominio, pero Kerberos es sensible al sesgo de tiempo, por lo que podría ser un lugar para buscar, incluso si es un poco exagerado.
MrMajestyk