Hier ist eine Momentaufnahme des RDP-Status. Sieht gut aus:
Wenn ich von einem Remotecomputer aus eine Verbindung herstelle, wird folgende Fehlermeldung angezeigt:
"This computer can't connect to the remote computer.
Try connecting again. If the problem continues..."
Ich habe den Port 3389 aus der Ferne getestet, er ist offen. Ich habe es mit netstat getestet.
TCP 0.0.0.0:3389 hostname:0 LISTENING
- Keine Windows-Firewall
- Keine Netzwerk-Firewall
- Brandneues selbstsigniertes Zertifikat
- Maschine wurde vor kurzem neu gestartet, arbeitete vorher
- Terminaldienste werden ausgeführt
- Wenn ich das SSL-Zertifikat inspiziere, zeigt es alle Details, sieht gut aus und läuft 2014 ab
- hklm: \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections ist 0
- Der Administrator von C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys verfügt über alle Berechtigungen
Aktualisieren:
Jetzt finde ich dies im Ereignisprotokoll unter Administrative Ereignisse:
"A fatal error occurred when attempting to access the SSL server credential
private key. The error code returned from the cryptographic module is 0x8009030D.
The internal error state is 10001."
Ich bin nicht sicher, wie ich den obigen Fehler beheben soll. Ich bin mir auch nicht sicher, ob es sich um mein importiertes RD-Zertifikat handelt, obwohl ich weiß, dass es passiert, wenn ich versuche, RDP von meinem Computer aus auszuführen.
Update II:
Ich habe versucht, mithilfe von Powershell Zertifikate mit privaten Schlüsseln zu generieren. Kein Glück. Verwendete Techniken hier und hier ohne Glück. Jedes Mal, wenn ich das Zertifikat zu vertrauenswürdigen Roots und Personal für den Systembenutzer im MMC-Zertifikat-Snap-In hinzugefügt habe.
Update III:
So nervig
Dieses Forum weist darauf hin, dass Windows möglicherweise während des Neustarts aktualisiert wurde und einen nicht behebbaren Fehler bei der Installation der Rolle "Remotedesktopverbindungsbroker" verursacht (anscheinend erforderlich, um eine Pfx-Datei mit privatem Schlüssel zum Importieren in MMC zu generieren). Der Fehler ist mit Hotfix Juni 2013 KB2821895. Dies könnte damit behoben werden? http://support.microsoft.com/kb/2871777
Also habe ich das neueste Windows-Update ausgeführt und versucht, den Remotedesktop-Verbindungsbroker zu installieren, damit ich die pfx-Datei generieren kann. Kein Glück. Es heißt, dass eine oder mehrere übergeordnete Funktionen nicht installiert sind - obwohl Hyper-V usw. vorhanden sind. Und es sagt nicht, welche anderen Rollen hinzugefügt werden sollen ...
Aktualisierungsfrage aktualisieren!
Wenn also theoretisch alles gesagt und getan wäre , würde die Installation des RD-Verbindungsbrokers (um einen privaten Schlüssel zu generieren) wahrscheinlich meinen Verschlüsselungsfehler lösen?
quelle
Antworten:
Dieser Fehler kann auftreten, wenn nach dem Importieren eines SSL-Zertifikats (und des zugehörigen privaten Schlüssels) in Windows Server 2012 eine Verbindung hergestellt wird:
Darüber hinaus sehen Sie in den Windows-Ereignisprotokollen Folgendes:
Lösung:
Zitat aus Microsoft KB2001849:
"Der Remotedesktop-Hostdienst wird unter dem Konto NETWORK SERVICE ausgeführt. Daher muss die ACL der von RDS verwendeten Schlüsseldatei (referenziert durch das im Registrierungswert SSLCertificateSHA1Hash angegebene Zertifikat) so festgelegt werden, dass NETWORK SERVICE mit" Read "eingeschlossen wird. Berechtigungen Um die Berechtigungen zu ändern, führen Sie die folgenden Schritte aus:
Öffnen Sie das Zertifikat-Snap-In für den lokalen Computer:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein und klicken Sie auf OK.
Klicken Sie im Menü Datei auf Snap-In hinzufügen / entfernen.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen in der Liste Verfügbare Snap-Ins auf Zertifikate und dann auf Hinzufügen.
Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und dann auf Weiter.
Klicken Sie im Dialogfeld Computer auswählen auf Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird), und klicken Sie auf Fertig stellen.
Klicken Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen auf OK.
Erweitern Sie im Snap-In "Zertifikate" in der Konsolenstruktur "Zertifikate (lokaler Computer)", erweitern Sie "Persönlich" und navigieren Sie zu dem SSL-Zertifikat, das Sie verwenden möchten.
Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und dann Private Schlüssel verwalten.
Klicken Sie im Dialogfeld Berechtigungen auf Hinzufügen, geben Sie NETWORK SERVICE ein, klicken Sie auf OK, wählen Sie Lesen unter dem Kontrollkästchen Zulassen aus und klicken Sie dann auf OK. "
Quelle: https://support.microsoft.com/en-us/kb/2001849
quelle
Ich habe die Gateway-Dienste deaktiviert. Am Ende habe ich MMC ausgeführt und das RD-Zertifikat vollständig gelöscht. Dann habe ich Remoteverbindungen deaktiviert und wieder aktiviert. Dies erzeugte ein neues, gutes Zertifikat und ich konnte mich in der Maschinendomäne anmelden!
quelle
Habe ich Recht, wenn Sie das selbstsignierte Zertifikat importiert haben? Wenn dies der Fall ist, haben Sie das Zertifikat höchstwahrscheinlich als nicht exportierbar markiert, was den Fehler erklären würde ... Schauen Sie unter http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error nach -hresult-0x80070520-beim-Hinzufügen von -ssl-Bindung-in-iis.aspx für weitere Details. Wenn ich recht habe, müssen Sie das Zertifikat löschen und erneut importieren, wobei das Flag "Export zulassen" gesetzt ist.
quelle
Haben Sie eine Lösung für Sie:
Laden Sie makecert.exe herunter und generieren Sie ein neues Zertifikat für RDP
makecert -r -pe -n "CN = Server FQDN" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "
Ändern Sie den vollqualifizierten Domänennamen des Servers mit dem tatsächlichen Wert.
Gehen Sie zu Computerzertifikaten und löschen Sie unter Remotedesktop das aktuelle Zertifikat. Verschieben Sie dann aus dem persönlichen Speicher das neu erstellte Zertifikat auf den Remotedesktop. Öffnen Sie das Zertifikat und kopieren Sie den Fingerabdruck.
Öffnen Sie regedit und gehen Sie zu:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations
Aktualisieren Sie den SelfSignedCertificate-Schlüssel mit einem neuen Zertifikat-Tumbprint.
Starten Sie den Remotedesktopdienstdienst neu
quelle
Ich hatte das gleiche Problem, und es trat ein Fehler auf, sobald ich auf Verbinden klickte.
Um dies zu beheben, habe ich den Remotedesktopdienstdienst so geändert, dass er als lokales Systemkonto anstelle von NETWORK SERVICE ausgeführt wird. Der Dienst wurde neu gestartet und alles funktionierte wie gewohnt.
BEARBEITEN: Ich habe gerade herausgefunden, dass dies dazu führt, dass der Zugriff verweigert wird und als NETZWERKSERVICE festgelegt werden muss. Durch die Änderung in "Lokales Systemkonto" und zurück in "NETZWERKSERVICE" wurde mein Problem jedoch vollständig behoben.
quelle
Dies ist endlich das, was das gleiche Problem für mich behoben hat (große Requisiten in diesem TechNet-Beitrag darüber, wie man herausfindet, welcher private Schlüssel der Täter ist)
quelle
Ich bin zu spät zur Party, aber das hat mir geholfen.
Generieren Sie ein neues PFX-Zertifikat. Selbstsigniert funktioniert:
Installationsmodul SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx" -CertificatePword
Führen Sie den folgenden Befehl mit dem Fingerabdruck aus, den Sie in den obigen Schritten erfasst haben:
wmic / Namespace: \ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = " THUMB_PRINT "
quelle