Windows terminal server access denied

Добрый день! Уважаемые читатели и гости блога pyatilistnik.org, в прошлый раз мы с вами разобрали синий экран с ошибкой 0x00000050, который мы благополучно вылечили. Сегодня я расскажу, про одну, небольшую ошибку, которую начинающий системный администратор, может встретить в своей практике при подключении к удаленным рабочим столам, на терминальную ферму или выделенный хост и звучит она вот так: Доступ к требуемому сеансу отклонен в Windows Server 2008 R2 по Windows Server 2016.

Описание ситуации

Есть сервер терминалов Windows Server 2012 R2, при попытке зайти на участника фермы, хотя это может быть и независимый хост, учетная запись, которая точно имеет права на удаленный доступ по RDp, получает ошибку входа:

Решение

Как оказалось, все очень просто и банально. В моей организации, как и во многих есть инфраструктура активного каталога Active Directory, и по best practice (рекомендации вендора) системный администратор, за своим локальным компьютером, должен сидеть под обычной пользовательской учетной записью, без административных прав, а вот уже подключаться к серверам, от имени другой. В итоге, я запускал клиента удаленных рабочих столов с ключом /admin, в итоге прав не было у локальной учетной записи, так как она не являлась администратором.

Тут два варианта решения проблемы:

• Запускать клиента mstsc /admin от имени учетной записи имеющей административные права на локальный компьютер
• Либо запускать удаленный рабочий стол, без ключа /admin

В итоге при следующем подключении я не увидел ошибку: Доступ к требуемому сеансу отклонен в Windows Server 2008 R2 ни в Windows Server 2012 R2.

Из-за ошибки безопасности клиенту не удалось подключиться к серверу терминалов

В этой статье приводится решение проблемы, из-за которой клиентам служб терминалов многократно отказано в доступе к серверу терминалов после обновления Windows.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 329896

Симптомы

После обновления домена Microsoft Windows NT до Windows 2000 или Windows Server 2003 клиентам служб терминалов Windows 2000 может быть повторно отказано в доступе к серверу терминалов. Если вы используете клиент служб терминалов для входа на сервер терминалов, вы можете получить одно из следующих сообщений об ошибке:

Из-за ошибки безопасности клиенту не удалось подключиться к серверу терминалов. Убедившись, что вы вошли в сеть, попробуйте снова подключиться к серверу.

Удаленный рабочий стол отключен. Из-за ошибки безопасности клиенту не удалось подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте снова подключиться.

Кроме того, следующие сообщения с ид событиями могут регистрироваться в средствах просмотра событий на сервере терминалов:

ИД события: 50
Источник события: TermDD
Описание события: компонент протокола RDP X.224 обнаружил ошибку в потоке протокола и отключил клиент.

Идентификатор события: 1008
Источник события: TermService
Описание события: срок действия льготного периода лицензирования служб терминалов истек, и служба не зарегистрирована на сервере лицензирования. Для непрерывной работы требуется сервер лицензии служб терминалов. Сервер терминалов может работать без сервера лицензий в течение 90 дней после начального запуска.

ИД события: 1004
Источник события: TermService
Описание события: сервер терминалов не может выдавать клиентскую лицензию.

Идентификатор события: 1010
Источник события: TermService
Описание события: службам терминалов не удалось найти сервер лицензирования. Подтвердим, что все серверы лицензий в сети зарегистрированы в WINS\DNS, принимая сетевые запросы, и запущена служба лицензирования служб терминалов.

ИД события: 28
Источник события: TermServLicensing
Описание события: лицензирование служб терминалов может быть запускаться только на контроллерах домена или сервере в группе. Дополнительные сведения см. в разделе справки по лицензированию сервера терминалов.

Причина

Эта проблема может возникнуть, если сертификат на сервере терминалов поврежден.

Решение

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: 322756 Как создать и восстановить реестр в Windows

Чтобы устранить эту проблему, с помощью этой процедуры с помощью системы можно создать ее и удалить ключи реестра сертификатов X509, перезагрузить компьютер и повторно активировать сервер лицензирования служб терминалов. Для этого выполните указанные ниже действия.

Выполните следующую процедуру на каждом из серверов терминалов.

Убедитесь, что для реестра сервера терминалов успешно сделайте его.

Откройте редактор реестра.

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters

В меню реестра выберите «Экспорт файла реестра».

Введите экспортные параметры в поле «Имя файла» и нажмите кнопку «Сохранить».

Если в будущем вам придется восстановить этот подкомай реестра, дважды щелкните файл Exported-parameters.reg, сохраненный на этом шаге.

В подкомитете реестра «Параметры» щелкните правой кнопкой мыши каждое из следующих значений, выберите «Удалить» и нажмите кнопку «Да», чтобы подтвердить удаление:

• Сертификат
• Сертификат X509
• ИД сертификата X509

Запустите редактор реестра и перезапустите сервер.

Повторно активировать сервер лицензирования служб терминалов с помощью метода телефонного подключения в мастере лицензирования.

При активации сервера лицензирования служб терминалов с помощью параметра «Телефон» сервер лицензирования использует другой формат сертификата.

«Access is denied» error when remote desktop users try to log on to a terminal server that is running Windows Server 2008

Symptoms

Assume that a terminal server is running Windows Server 2008. When many remote desktop users try to log on to the terminal server at the same time, the users receive «Access is denied» error messages.

Cause

This issue occurs because a Group Policy client service leaks an AFD endpoint handle. Therefore, TCP port exhaustion occurs, and the terminal server cannot establish out-going TCP connections with a domain controller.

Resolution

Hotfix information

A supported hotfix is available from Microsoft. However, this hotfix is intended to correct only the problem that is described in this article. Apply this hotfix only to systems that are experiencing the problem described in this article. This hotfix might receive additional testing. Therefore, if you are not severely affected by this problem, we recommend that you wait for the next software update that contains this hotfix.

If the hotfix is available for download, there is a «Hotfix download available» section at the top of this Knowledge Base article. If this section does not appear, contact Microsoft Customer Service and Support to obtain the hotfix.

Note If additional issues occur or if any troubleshooting is required, you might have to create a separate service request. The usual support costs will apply to additional support questions and issues that do not qualify for this specific hotfix. For a complete list of Microsoft Customer Service and Support telephone numbers or to create a separate service request, visit the following Microsoft website:

http://support.microsoft.com/contactus/?ws=supportNote The «Hotfix download available» form displays the languages for which the hotfix is available. If you do not see your language, it is because a hotfix is not available for that language.

Prerequisites

To apply this hotfix, you must be running Windows Server 2008 Service Pack 2 (SP2).

For more information about how to obtain a Windows Server 2008 service pack, click the following article number to view the article in the Microsoft Knowledge Base:

968849 How to obtain the latest service pack for Windows Server 2008

Registry information

To apply this hotfix, you do not have to make any changes to the registry.

Restart requirement

You must restart the computer after you apply this hotfix.

Hotfix replacement information

This hotfix does not replace a previously released hotfix.

File information

The global version of this hotfix installs files that have the attributes that are listed in the following tables. The dates and the times for these files are listed in Coordinated Universal Time (UTC). The dates and the times for these files on your local computer are displayed in your local time together with your current daylight saving time (DST) bias. Additionally, the dates and the times may change when you perform certain operations on the files.

Windows Server 2008 file information notes

Important Windows Vista hotfixes and Windows Server 2008 hotfixes are included in the same packages. However, only «Windows Vista» is listed on the Hotfix Request page. To request the hotfix package that applies to one or both operating systems, select the hotfix that is listed under «Windows Vista» on the page. Always refer to the «Applies To» section in articles to determine the actual operating system that each hotfix applies to.

The files that apply to a specific product, SR_Level (RTM, SP n), and service branch (LDR, GDR) can be identified by examining the file version numbers as shown in the following table.

Windows Server 2008

The MANIFEST files (.manifest) and the MUM files (.mum) that are installed for each environment are listed separately in the «Additional file information for Windows Server 2008» section. MUM files and MANIFEST files, and the associated security catalog (.cat) files, are extremely important to maintaining the state of the updated component. The security catalog files, for which the attributes are not listed, are signed with a Microsoft digital signature.

Windows terminal server access denied

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

We seem to have some unique kind of issue with terminal services where administrators will get «Access is denied» error on logging on to the server. Often,people in remote desktop group also have same error «Access is denied» ..Although as a workaround have enabled a reg key:

IgnoreRegUserConfigErrors under HKLM\system\CurrentControlSet\control\terminal server

which seems to have ignored any access denied errors..But really not sure why we would have access denied errors even for administrators or is its any inherent problem with windwos 2008 R2..There is no GPO policy being pushed.

Answers

Administrators can login but only if they use the switch /admin i.e mstsc /admin..

There is no GPO being pushed and it happens on most of the terminal servers configured on windows 2008 r2.As a workaround have updated a registry setting on the server so that errors can be ignored and IgnoreRegUserConfigErrors under HKLM\system\CurrentControlSet\control\terminal server

and users alongwith administratos can login without specifying /admin switch..The only issue is i am not sure why this is happening and how come above reg key is able to fix the login..

All replies

We seem to have some unique kind of issue with terminal services where administrators will get «Access is denied» error on logging on to the server.

Are administrators unable to remotely log on to the terminal server?

Just to be sure, please run GPresult.exe to confirm applied policy settings:

Gpresult

Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

Administrators can login but only if they use the switch /admin i.e mstsc /admin..

There is no GPO being pushed and it happens on most of the terminal servers configured on windows 2008 r2.As a workaround have updated a registry setting on the server so that errors can be ignored and IgnoreRegUserConfigErrors under HKLM\system\CurrentControlSet\control\terminal server

and users alongwith administratos can login without specifying /admin switch..The only issue is i am not sure why this is happening and how come above reg key is able to fix the login..

it could be a local GPO (not domain GPO) or registry setting, run the gpresult or rsop.msc

are you using a session broker with your terminal servers?

if you disable all resource redirections before connecting, does that work?

Without any users logged on, please log on to the console and open RD Session Host Configuration (tsconfig.msc). Delete the RDP-Tcp listener, then immediately create it again. If you made any changes to the Properties of the previous RDP-Tcp listener you will need to make them again to the new listener. for example, if you configured a certificate on the General tab, or disabled redirections on the Client Settings tab, etc.

After re-creating the listener please test to see if the problem still exists.

have already recreated listener on affected server but in vain.

there is no session broker for the TS.They are just running as a standalone TS boxes.

By disabling the redirection i believe you mean disabling all drives,printer,audio etc in RDP-TCP properties.. It was done except Windows printer setting.Not sure if it will affect anything on the access error.I donot have any printer mapped on my local machine so the server would not try to map the printer in RDP session.

Confirming there is no local GPO or registry set unless it is set by default in the installation.