Windows XP не подключается по RDP к Windows 10 / Server 2012 R2/ 2016 RDS

Не смотря на то, что поддержка Windows XP прекращена уже 4 года назад (Windows XP End Of Support) – многие внешние и внутренние заказчики продолжают используют эту ОС, и похоже, кардинально эту проблему решить в ближайшее время не удастся 🙁 … На днях обнаружили проблему: клиенты с ОС Windows XP не могут подключиться через удаленный рабочий стол к новой терминальной Remote Desktop Services ферме на Windows Server 2012 R2. Аналогичная проблема появляется при попытке подключиться по RDP с Windows XP на Windows 10 1803.

Невозможно подключиться по RDP с Windows XP к Windows Server 2016/2012R2 и Windows 10

Пользователи XP жаловались на такие ошибки rdp клиента:

Чтобы решить данную проблему, проверьте что на компьютерах с Windows XP обновлена версия клиента RDP. На текущий момент максимальная версия RDP клиента, которую можно установить на Windows XP — rdp клиент версии 7.0 (KB969084 — https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol-rdp-7-0-or-7-1/). Установить данное обновление можно только на Windows XP SP3. Установка RDP клиента версии 8.0 и выше на Windows на XP не поддерживается. После установки данного обновления у половины клиентов проблема с RDP подключением решилась. Осталась вторая половина….

Отключаем NLA на сервере RDS Windows Server 2016/2012 R2

Начав более подробно изучать тему RDS сервера на базе Windows 2012 R2 мы обнаружили, что в ОС Windows Server 2012 (и выше) по умолчанию требует от своих клиентов обязательной поддержки технологии NLA (Network-Level Authentication — проверки подлинности на уровне сети, подробнее об этой технологии здесь), если же клиент не поддерживает NLA, подключиться к RDS серверу ему не удастся. Аналогично NLA включен по-умолчанию при включении RDP в Windows 10.

Из вышесказанного есть два вывода, чтобы оставшиеся XP-клиенты смогли подключаться по RDP к терминальному серверу на Windows Server 2016/2012 R2 или к Windows 10 нужно:

• отключить проверку NLA на серверах фермы Remote Desktop Services 2012 R2/2016 или в Windows 10;
• или включить поддержку NLA на XP-клиентах;

Чтобы на сервере RDS Windows Server 2012 R2 отключить требование обязательного использования протокола NLA клиентами, нужно в консоли Server Manager перейти в раздел Remote Desktop Services -> Collections -> QuickSessionCollection, выбрать Tasks -> Edit Properties, выбрать раздел Security и снять опцию: Allow connections only from computers running Remote Desktop with Network Level Authentication.

В Windows 10 можно отключить Network-Level Authentication в свойствах системы (Система – Настройка удаленного доступа). Снимите галку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)».

Естественно, нужно понимать, что отключение NLA на уровне сервера уменьшает защищенность системы и в общем случае использовать не рекомендуется. Предпочтительнее использовать вторую методику.

Включаем NLA на уровне клиента Windows XP

Для корректной работы Windows XP в качестве клиента необходимо наличие, как минимум, Service Pack 3. Если нет, то обязательно скачайте и установите это обновление. Именно Service Pack 3 является минимальным требованием для обновления клиента RDP с версии 6.1 до 7.0 и поддержки необходимых компонентов, в том числе Credential Security Service Provider (CredSSP -KB969084), о котором чуть ниже.

Без поддержки CredSSP и NLA при RDP подключении с Windows XP к новым версия Windows будет появлятся ошибка

Поддержка NLA появилась в Windows XP, начиная с SP3, но по-умолчанию она не включена. Включить поддержку аутентификации NLA и CredSSP-провайдера можно только реестр. Для этого:

1. В ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders нужно отредактировать значение ключа SecurityProviders, добавив в конце credssp.dll (через запятую от его текущего значения);
2. Далее в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa в значение параметра Security Packages добавьте строку tspkg;
3. После внесения указанных изменений, компьютер нужно перезагрузить.

После выполнения всех манипуляций, компьютер с Windows XP SP3 должен без проблем подключится по rdp к терминальной ферме на Windows Server 2016 / 2012 R2 или к Windows 10. Однако вы не сможете сохранить пароль для RDP подключения на клиенте Windows XP (пароль придется вводить при каждом подключении).

Ошибка CredSSP encryption oracle remediation

В 2018 года в протоколе CredSSP была обнаружена серьезная уязвимость (бюллетень CVE-2018-0886), которая была исправлена в обновлениях безопасности Microsoft. В мае 2018 года MSFT выпустила дополнительное обновление, которое запрещает клиентам подключаться к RDP компьютерам и сервера с уязвимой версией CredSSP (см статью: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka-credssp-encryption-oracle-remediation/). При подключении к удаленным компьютерам по RDP появляется ошибка Произошла ошибка проверки подлинности. Указанная функция не поддерживается.

В связи с тем, что Microsoft не выпускает обновления безопасности обновлений безопасности для Windows XP и Windows Server 2003, вы не сможете подключится к поддерживаемым версиям Windows из этих ОС.

Чтобы обеспечить возможность RDP подключения из Windows XP к обновлённым Windows 10/8.1/7 и Windows Server 2016/2012R2/2012/2008 R2, необходимо на стороне RDP сервера включить политику Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула (Computer Configuration -> Administrative Templates -> System -> Credentials Delegation / Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных) со значением Mitigated, что, как вы понимаете, небезопасно.

Windows server 2012 не работает удаленный рабочий стол

Сообщения: 44
Благодарности: 0

можно поставить вместо «отключено» «вручную» или «автоматически»? »

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 44
Благодарности: 0

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 44
Благодарности: 0

Иногда подключение к удаленному рабочему столу зависло на экране «Защита удаленного подключения»

В этой статье приводится решение проблемы, из-за которой подключение к удаленному рабочему столу остается в состоянии подключения.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2915774

Симптомы

Предположим сценарий, в котором вы используете подключение к удаленному рабочему столу для операционной системы Windows 7 или более поздних версий. В этом сценарии подключение к удаленному рабочему столу зависло в течение нескольких секунд при отобралении следующих текстов:

Подключение к удаленному рабочему столу
Подключение к:
Защита удаленного подключения.

Причина

Подключение к удаленному рабочему столу использует самый высокий из возможных методов шифрования уровня безопасности между источником и местом назначения.

В Windows 7 или более поздних версиях подключение к удаленному рабочему столу использует протокол SSL (TLS 1.0), а шифрование основано на сертификате.

Это означает, что проверка подлинности выполняется с использованием самозаверяния сертификатов (по умолчанию) или сертификата, выданного органом сертификации, установленным на сервере удаленного сеанса (сервер терминалов).

Если вы используете самозаверяет сертификат, система пытается извлечь список доверенных сертификационных органов из Интернета, чтобы проверить состояние публикации и отзыва сертификата. Поэтому экран защиты удаленного подключения может отображаться некоторое время.

Обходной путь

Чтобы обойти это поведение, используйте один из следующих методов:

Способ 1

Если вы используете самозаверя сертификат, импортировать его в источник. Для этого выполните следующие действия на месте назначения:

1. Войдите в качестве администратора в месте назначения, выберите «Начните», введите mmc в поле «Программы поиска и файлы» и запустите консоль управления (MMC).
2. В меню «Файл» выберите параметр «Добавить или удалить оснастку».
3. В списке доступных оснастки выберите «Сертификаты», а затем кнопку «Добавить».
4. На экране оснастки сертификата выберите «Учетная запись компьютера» и выберите «Далее».
5. На экране «Выбор компьютера» выберите «Локальный компьютер», а затем кнопку «Готово».
6. Вернуться в диалоговое окно добавления и удаления оснастки и нажать кнопку «ОК».
7. В левой области окна консоли разо расширении сертификатов маршрутов консоли >(локальный компьютер) сертификаты удаленного > >рабочего стола.
8. Дважды щелкните сертификат в средней области, чтобы открыть его.
9. На вкладке «Подробности» выберите кнопку «Копировать в файл».
10. Откроется мастер экспорта сертификатов. Оставьте параметры по умолчанию и сохраните файл в любой папке.
11. Скопируйте экспортный файл на исходный компьютер.

Затем выполните следующие действия в источнике:

Войдите в качестве администратора в источнике, выберите «Начните», введите mmc в поле «Программы поиска и файлы» и запустите mmc.exe.

Выберите меню «Файл» и выберите параметр «Добавить или удалить оснастку».

В списке доступных оснастки выберите «Сертификаты», а затем кнопку «Добавить».

На экране оснастки сертификата выберите «Учетная запись компьютера» и выберите «Далее».

На экране «Выбор компьютера» выберите «Локальный компьютер», а затем кнопку «Готово».

Вернуться в диалоговое окно добавления и удаления оснастки и нажать кнопку «ОК».

В левой области окна консоли разо расширении сертификатов доверенных корневых сертификационных сертификатов (локального > > компьютера). Щелкните правой кнопкой мыши, чтобы выбрать пункт «Все задачи» и выберите пункт «Импорт. « в меню.

Откроется мастер импорта сертификатов. Следуйте инструкциям мастера, чтобы начать импорт.

В окне импорта файла сертификата укажите файл, который был скопирован с компьютера назначения.

В окне хранения сертификатов убедитесь, что:

• Выбрано место для всех сертификатов в следующем хранилище
• В хранилище сертификатовперечислены доверенные корневые органы сертификации.

По умолчанию срок действия самозаверяемого сертификата истекает через шесть месяцев. Если срок действия сертификата истек, он будет создан заново. Воссозданный сертификат необходимо снова импортировать в источник.

Способ 2

Разверните объект групповой политики на клиенте, чтобы отключить автоматическое обновление корневых сертификатов. Для этого выполните следующие действия на компьютере с Windows Server 2012 R2: