Como corrigir RDP no windows server 2012?

6

Aqui está um instantâneo do status do RDP. Parece bom:

Quandovoumeconectardeumamáquinaremota,receboumerro:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

Eu testei a porta 3389 remotamente, está aberta. Eu testei com o netstat.

TCP    0.0.0.0:3389           hostname:0                LISTENING
  • Não há firewall do Windows
  • Sem firewall de rede
  • Certificado autoassinado novo em folha
  • A máquina foi reinicializada recentemente, trabalhou antes disso
  • Os serviços de terminal estão sendo executados
  • Quando eu inspeciono o certificado SSL, ele mostra todos os detalhes, parece bom, expira em 2014
  • hklm: \ Sistema \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections é 0
  • Administrador C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys tem todos os privleges

Atualização:

Agora estou encontrando isso no log de eventos em Eventos administrativos:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Não sei como resolver o erro acima. Não sei se é o meu certificado RD importado, embora saiba que isso acontece quando tento executar o RDP da minha máquina.

Atualização II:

Eu tentei usar o PowerShell para gerar certificados com chaves privadas. Sem sorte. Técnicas usadas aqui e aqui sem sorte. Sempre que adiciono o certificado a raízes confiáveis e pessoais para o usuário do sistema no snap-in do Certificado MMC.

Atualização III:

Tão irritante

Este fórum indica que o Windows pode ter sido atualizado durante a reinicialização, causando um erro irrecuperável na instalação da função do Agente de Conexão de Área de Trabalho Remota (necessário, aparentemente, para gerar um arquivo pfx de chave privada para importar para o MMC). O bug é com o hotfix de junho de 2013 KB2821895. Isso pode ser remidied com isso? link

Então eu executei a atualização mais recente do Windows e tentei instalar o Agente de Conexão de Área de Trabalho Remota para que eu possa gerar o arquivo pfx. Sem sorte. Ele diz que um ou mais recursos pai não estão instalados - mesmo que o Hyper-V, etc. E isso não diz quais outros papéis adicionar ...

Atualizar a pergunta de resumo!

Então, tudo dito e feito, teoricamente, conseguir instalar o Agente de Conexão RD (para gerar uma chave privada) provavelmente resolveria meu erro de criptografia?

    
por FlavorScape 24.09.2013 / 20:31

6 respostas

5

Você pode encontrar esse erro ao se conectar após importar um certificado SSL (e a chave privada associada) para o Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

Além disso, nos logs de eventos do Windows, você vê:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Solução:

Citação da Microsoft KB2001849:

"O serviço Serviços de Host da Área de Trabalho Remota é executado na conta NETWORK SERVICE. Portanto, é necessário definir a ACL do arquivo de chaves usado pelo RDS (referenciado pelo certificado com o valor de registro SSLCertificateSHA1Hash) para incluir SERVIÇO DE REDE com Permissões "Ler". Para modificar as permissões, siga as etapas abaixo:

Abra o snap-in Certificados para o computador local:

  1. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.

  2. No menu Arquivo, clique em Adicionar / Remover Snap-in.

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, na lista Snap-ins disponíveis, clique em Certificados e clique em Adicionar.

  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e clique em Avançar.

  5. Na caixa de diálogo Selecionar Computador, clique em Computador local: (o computador em que este console está sendo executado) e clique em Concluir.

  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.

  7. No snap-in Certificados, na árvore do console, expanda Certificados (Computador local), expanda Pessoal e navegue até o certificado SSL que você gostaria de usar.

  8. Clique com o botão direito no certificado, selecione Todas as tarefas e selecione Gerenciar chaves privadas.

  9. Na caixa de diálogo Permissões, clique em Adicionar, digite SERVIÇO DE REDE, clique em OK, selecione Ler na caixa de seleção Permitir e clique em OK. "

Fonte: link

    
por 10.01.2016 / 17:06
3

Eu desativei os serviços de gateway. Eu acabei executando o MMC e excluindo o certificado RD completamente. Então desativei e reativei as conexões remotas. Isso gerou um certificado novo e bom e consegui fazer o login no domínio da máquina!

    
por 26.09.2013 / 19:59
2

Estou certo de que você tenha importado o certificado auto-assinado? Se esse for o caso, você provavelmente marcou o certificado como não exportável, o que explicaria o erro ... Dê uma olhada em link para mais detalhes. Se tiver razão, você precisa excluir e reimportar o certificado com o sinalizador "Permitir exportação" definido.

    
por 24.09.2013 / 21:48
1

Tenha uma solução para você:

Faça o download do makecert.exe e gere um novo certificado para o RDP

makecert -r -pe -n "CN = FQDN do servidor" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Provedor criptográfico do Microsoft RSA SChannel" -sy 12 "

Altere o FQDN do servidor com valor real.

Vá para certificados de computador e, na área de trabalho remota, exclua o certificado atual. Em seguida, a partir da loja pessoal, mova o certificado recém-criado para o Remote Desktop. Abra o certificado e copie a impressão digital.

Abra o regedit e vá para:

Servidor HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal \ WinStations

Atualize a chave SelfSignedCertificate com o novo certificado tumbprint.

Reinicie o serviço Serviços de Área de Trabalho Remota

    
por 26.01.2015 / 14:21
0

Eu tive o mesmo problema, com erro aparecendo assim que eu cliquei em conectar.

Para resolver para mim eu mudei o serviço Remote Desktop Services para que ele estivesse rodando como Conta do sistema local em vez de SERVIÇO DE REDE. Reiniciei o serviço e tudo funcionou normalmente.

EDITAR:
Acabei de descobrir que isso causará a mensagem Access is denied e deverá ser definido como NETWORK SERVICE. Mas alterar isso para a conta do sistema local e voltar para o serviço de rede resolveu meu problema completamente.

    
por 13.06.2017 / 13:02
0

Finalmente, isso foi o que corrigiu esse mesmo problema para mim (grandes adereços para esta postagem do TechNet sobre como rastrear qual chave privada é o ofensor)

  1. Baixar e executar o Procmon (do Sysinternals Suite)
  2. Monitore a atividade da pasta MachineKeys (provavelmente: C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys) ouvindo qualquer atividade nesse caminho
  3. Tente executar o RDP na máquina incorreta e, em seguida, você verá a Procmon observar o erro de acesso negado, junto com o arquivo que estava negando acesso
  4. Exclua o arquivo incorreto (você pode ter que se tornar um proprietário dele primeiro e, em seguida, dar a si mesmo controle total)
  5. Reinicie o computador e ele deve gerar novamente a chave ausente com as permissões corretas aplicadas
por 11.08.2017 / 14:10