RDP de 2008 R2 através de um túnel falha

1

Estou tentando RDP de uma máquina Win7 para uma máquina 2008 R2 através de um túnel (pense em SSH, mas não exatamente).

Ele falha e o seguinte está no log de eventos 2008 R2 (destino):

System Event Log, LsaSrv source, Event ID 6037

"The program lsass.exe, with the assigned process ID 632, could not authenticate locally by using the target name TERMSRV/{WIN7_name}. The target name used is not valid. A target name should refer to one of the local computer names, for example, the DNS host name.

Try a different target name. "

O lado do WIN7 mostra:

System Event Log, TermDD event source, Event ID 56

The Terminal Server security layer detected an error in the protocol stream and has disconnected the client. Client IP: {WIN7_name}.

(with an error code of C000018D = STATUS_TRUSTED_RELATIONSHIP_FAILURE)

Então, aparentemente, o cliente RDP está passando o nome do servidor local para o lado remoto (eu disse ao RDP para a máquina Win7, mas para uma porta de túnel).

Eu não consegui encontrar nenhuma maneira de dizer ao cliente ou servidor RDP para ignorar esse problema. Parece que seria possível usar setspn.exe para definir o nome do princípio de serviço {Win7_name} na caixa 2008 R2, mas isso parece confuso e, no meu caso, meus clientes não saberão como fazer isso. Além disso, você teria que fazer isso para todos os clientes que podem se conectar a esse servidor.

Existe alguém mais capaz de RDP entre 2008 R2 e Win 7 usando tunelamento?

    
por DougN 14.04.2011 / 21:42

1 resposta

3

Parece que você tem a configuração do computador servidor para permitir apenas conexões RDP que passam por "Autenticação em nível de rede" (autenticação baseada em certificado para impedir ataques man-in-the-middle). Você pode desativar isso no lado do servidor indo para "Configuração do Host de Sessão da Área de Trabalho Remota", exibindo as propriedades da conexão "RDP-Tcp" na caixa de diálogo "Conexões" e desmarcando a opção "Permitir conexões apenas de computadores executando o Remote Área de trabalho com autenticação em nível de rede ".

Quando você fizer isso, saiba que um invasor pode configurar um falso servidor RDP que parece ser seu servidor com o propósito de coletar senhas.

Editar:

Usando rinetd para tunelar uma porta local em uma máquina com Windows 7 Professional para a porta RDP em um computador com Windows Server 2008 R2 Eu sou capaz de acessar o computador remoto bem com o cliente Microsoft RDP.

Parece que o seu cliente RDP não está voltando ao NTLM depois que o Kerberos falha. Eu não estou vendo imediatamente qual configuração de configuração pode causar isso, no entanto. Você tem alguma configuração de política no computador do servidor para não permitir a autenticação NTLM?

Eu ficaria curioso em saber se desabilitar o CredSSP ajudaria. Salve as propriedades da conexão RDP em um arquivo, edite o arquivo com seu editor de texto favorito e adicione uma linha enablecredsspsupport:i:0 (ou, se a linha já existir, altere '1' para '0' e o final da linha).

    
por 19.08.2011 / 00:47