web-dev-qa-db-ja.com

Windows Server 2012でRDPを修正する方法

これは、RDPステータスのスナップショットです。いいね: enter image description here

リモートマシンから接続しようとすると、エラーが発生します。

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

ポート3389をリモートでテストしましたが、開いています。私はそれをnetstatでテストしました。

TCP    0.0.0.0:3389           hostname:0                LISTENING
  • Windowsファイアウォールなし
  • ネットワークファイアウォールなし
  • 真新しい自己署名証明書
  • マシンは最近再起動され、その前に動作しました
  • ターミナルサービスが実行されている
  • SSL証明書を検査すると、すべての詳細が表示され、見栄えがよく、2014年に期限が切れます
  • hklm:\ System\CurrentControlSet\Control\Terminal Server\fDenyTSConnectionsは0です
  • C:\ ProgramData\Microsoft\Crypto\RSA\MachineKeys管理者はすべての特権を持っています

更新:

今、私はこれを管理イベントのイベントログで見つけています:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

上記のエラーを解決する方法がわかりません。インポートしたRD証明書かどうかもわかりませんが、私は自分のマシンからRDPを試みます。

アップデートII:

私はpowershellを使用して秘密鍵で証明書を生成しようとしました。運が悪い。使用された手法 here および here 運が悪い。 MMC証明書スナップインで、システムユーザーの信頼されたルートと個人に証明書を追加するたびに。

アップデートIII:

とても迷惑

このフォーラム は、再起動中にウィンドウが更新され、リモートデスクトップ接続ブローカーの役割のインストールで回復不能なエラーが発生する可能性があることを示しています(MMCにインポートする秘密キーのpfxファイルを生成する必要があるようです)。バグは2013年6月のホットフィックスKB2821895にあります。これでこれが解消されるのでは? http://support.Microsoft.com/kb/2871777

そこで、最新のWindows更新プログラムを実行し、リモートデスクトップ接続ブローカーをインストールして、pfxファイルを生成できるようにしました。運が悪い。 Hyper-Vなどはインストールされていますが、1つ以上の親機能がインストールされていません。そして、それは他にどんな役割を追加するべきかについては言いません...

更新の概要の質問!

つまり、理論上は、RD接続ブローカーをインストールして(秘密キーを生成するため)暗号化エラーを解決できる可能性があります

12
FlavorScape

SSL証明書(および関連する秘密鍵)をWindows Server 2012にインポートした後に接続すると、このエラーが発生する場合があります。

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

さらに、Windowsイベントログには次のように表示されます。

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

ソリューション:

Microsoft KB2001849からの引用:

「リモートデスクトップホストサービスサービスはNETWORK SERVICEアカウントで実行されます。したがって、RDSが使用するキーファイルのACL(SSLCertificateSHA1Hashレジストリ値で指定された証明書によって参照される)を設定して、「読み取り」でNETWORK SERVICEを含める必要があります。権限。権限を変更するには、以下の手順に従います。

ローカルコンピューターの証明書スナップインを開きます。

  1. [スタート]、[ファイル名を指定して実行]の順にクリックし、「mmc」と入力して、[OK]をクリックします。

  2. [ファイル]メニューの[スナップインの追加と削除]をクリックします。

  3. [スナップインの追加と削除]ダイアログボックスの[利用可能なスナップイン]リストで、[証明書]をクリックし、[追加]をクリックします。

  4. [証明書スナップイン]ダイアログボックスで、[コンピューターアカウント]をクリックし、[次へ]をクリックします。

  5. [コンピューターの選択]ダイアログボックスで、[ローカルコンピューター:(このコンソールが実行されているコンピューター)]をクリックし、[完了]をクリックします。

  6. [スナップインの追加と削除]ダイアログボックスで、[OK]をクリックします。

  7. 証明書スナップインのコンソールツリーで、[証明書(ローカルコンピューター)]を展開し、[個人]を展開して、使用するSSL証明書に移動します。

  8. 証明書を右クリックし、[すべてのタスク]を選択して、[秘密キーの管理]を選択します。

  9. [アクセス許可]ダイアログボックスで、[追加]をクリックし、NETWORK SERVICEと入力して[OK]をクリックし、[許可]チェックボックスで[読み取り]を選択して、[OK]をクリックします。

ソース: https://support.Microsoft.com/en-us/kb/2001849

7
hwdsl2

ゲートウェイサービスを無効にしました。最終的にMMC=を実行し、RD証明書を完全に削除しました。次に、リモート接続を無効にして再度有効にしました。これにより、新しい適切な証明書が生成され、マシンドメインにログインできました!

3
FlavorScape

自己署名証明書をインポートしたと思いますか?これが当てはまる場合は、証明書をエクスポートできないようにマークしている可能性が高いため、エラーを説明します...ご覧ください http://blogs.msdn.com/b/kaushal/archive/2012/10詳細については、/ 07/error-hresult-0x80070520-when-adding-ssl-binding-in-iis.aspx をご覧ください。私が正しい場合は、「エクスポートを許可」フラグが設定された証明書を削除して再インポートする必要があります。

2
CHfish

これが最後に私にとってこの同じ問題を修正したものです(どの秘密鍵が攻撃者であるかを追跡する方法について このTechNetの投稿)の重要な小道具

  1. Procmonをダウンロードして実行(Sysinternals Suiteから)
  2. そのパスのアクティビティをリッスンして、MachineKeysフォルダーのアクティビティ(ほとんどの場合、C:\ ProgramData\Microsoft\Crypto\RSA\MachineKeys)を監視します。
  3. 問題のあるマシンに対してRDPを試行すると、Procmonにアクセス拒否エラーと、アクセスを拒否していたファイルが記録されます。
  4. 問題のファイルを削除します(最初に自分をその所有者にする必要があり、次に自分自身に完全な制御権を与える必要があります)。
  5. コンピューターを再起動すると、適切なアクセス許可が適用されて、不足しているキーが再生成されます
1
si1ic0n_gh0st

あなたのための解決策があります:

Makecert.exeをダウンロードし、RDP用の新しい証明書を生成します

makecert -r -pe -n "CN = server FQDN" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "

サーバーのFQDNを実際の値に変更します。

コンピュータ証明書に移動し、リモートデスクトップで現在の証明書を削除します。次に、個人ストアから、新しく作成した証明書をリモートデスクトップに移動します。証明書を開き、Thumbprintをコピーします。

Regeditを開き、次の場所に移動します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations

SelfSignedCertificateキーを新しい証明書の拇印で更新します。

リモートデスクトップサービスサービスを再起動する

1
opti2k4

同じ問題があり、[接続]をクリックするとすぐにエラーが表示されました。

解決するために私は変更しました リモートデスクトップサービス サービスのように実行されていました ローカルシステムアカウント の代わりに ネットワークサービス。サービスを再起動し、すべてが正常に動作しました。

編集:
 これが原因であることがわかりました アクセスが拒否されました メッセージであり、NETWORK SERVICEとして設定する必要があります。しかし、これをローカルシステムアカウントに変更してネットワークサービスに戻すと、問題が完全に解決しました。

1
0x0000001E

私はパーティーに遅れましたが、これは私を助けたものです。

  • 新しいPFX証明書を生成します。自己署名は機能します:

    Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx" -CertificatePassword $ password

  • 出力ウィンドウでthumbprintをキャプチャします。
  • 生成されたPFX証明書を[マイコンピューター]> [個人ストア]にインストールします
  • 上記の手順でキャプチャした拇印を使用して、次のコマンドを実行します。

    wmic/namespace:\ root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "THUMB_PRINT"

0
Zerg00s