Windows Server 2012에서 RDP를 수정하는 방법?

12

다음은 RDP 상태의 스냅 샷입니다. 좋아 보인다 : 여기에 이미지 설명을 입력하십시오

원격 컴퓨터에서 연결하면 오류가 발생합니다.

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

포트 3389를 원격으로 테스트했는데 열려 있습니다. netstat로 테스트했습니다.

TCP    0.0.0.0:3389           hostname:0                LISTENING
  • Windows 방화벽 없음
  • 네트워크 방화벽 없음
  • 새로운 자체 서명 인증서
  • 컴퓨터가 최근에 재부팅되어 그 전에 작동했습니다.
  • 터미널 서비스가 실행 중입니다
  • SSL 인증서를 검사하면 모든 세부 정보가 표시되고 좋아 보이며 2014 년에 만료됩니다.
  • hklm : \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections가 0입니다.
  • C : \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys 관리자는 모든 권한을 가지고 있습니다

최신 정보:

이제 이벤트 로그에서 관리 이벤트 아래에 있습니다.

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

위의 오류를 해결하는 방법을 잘 모르겠습니다. 내 컴퓨터에서 RDP를 시도 할 때 발생한다는 것을 알고 있지만 내 수입 된 RD 인증서인지 확실하지 않습니다.

업데이트 II :

개인 키가있는 인증서를 생성하기 위해 powershell을 사용해 보았습니다. 불운. 사용되는 기술 여기여기에 행운과 함께. MMC 인증서 스냅인에서 시스템 사용자의 신뢰할 수있는 루트 및 개인에 인증서를 추가 할 때마다.

업데이트 III :

너무 성가신

이 포럼 은 재부팅하는 동안 창이 업데이트되어 원격 데스크톱 연결 브로커 역할을 설치할 때 복구 할 수없는 오류가 발생했음을 나타냅니다 (MMC로 가져올 개인 키 pfx 파일 생성이 필요함). 버그는 2013 년 6 월 핫픽스 KB2821895입니다. 이것은 이것으로 remidied 될 수 있습니까? http://support.microsoft.com/kb/2871777

그래서 최신 Windows 업데이트를 실행하고 pfx 파일을 생성 할 수 있도록 원격 데스크톱 연결 브로커를 설치하려고했습니다. 불운. Hyper-V 등이 있더라도 하나 이상의 부모 기능이 설치되어 있지 않습니다. 그리고 다른 역할을 추가 할 말이 없습니다 ...

업데이트 요약 질문!

따라서 이론적으로 는 RD 연결 브로커를 설치하여 (개인 키를 생성하기 위해) 암호화 오류를 해결할 수 있습니까?

ssl  windows-server-2012  remote-desktop  rdp 
풍미
소스
귀하의 스크린 샷은 rdp 게이트웨이이지만 vanilla rdp에 대해 이야기하고 있습니다. 그것들은 별개의 두 가지입니다. rdp 게이트웨이는 : 443에서 작동하여 네트워크 내에서 rdp 연결을 터널링합니다.
Mark Henderson
맞습니다. 잘못된 위치에 몰래 의심이 들었습니다. 인증서 문제를 어떻게 해결합니까? 나는 바닐라 RD 설정에서 이것을 바꾸는 곳을 보지 못했습니다.
FlavorScape
netstat를 통해 서비스가 실행되고 있는지 확인하는 것만으로는 충분하지 않습니다. 원격 시스템에서 "telnet IP_OF_RDP_HOST 3389"(따옴표없이)를 실행하면 cmd 창의 모든 텍스트가 제거됩니다. 또는 네트워크 캡처 (netmon / wireshark)를 실행하여 TCP 세션이 설정되어 있는지 확인하십시오.
user2320464
를 통과 시도 blogs.technet.microsoft.com/askperf/2014/10/22/... - 그것은 :-) Win2012의 SVR을 거부 RDP 연결을 나를 위해 일
나이젤 하비

답변:

7

SSL 인증서 (및 관련 개인 키)를 Windows Server 2012로 가져온 후 연결하면이 오류가 발생할 수 있습니다.

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator.

또한 Windows 이벤트 로그에 다음이 표시됩니다.

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

해결책:

Microsoft KB2001849에서 인용 :

"원격 데스크톱 호스트 서비스 서비스는 NETWORK SERVICE 계정으로 실행됩니다. 따라서 RDS에서 사용하는 키 파일의 ACL (SSLCertificateSHA1Hash 레지스트리 값에 명명 된 인증서로 참조)을"읽기 "와 함께 NETWORK SERVICE를 포함하도록 설정해야합니다. 권한을 수정하려면 다음 단계를 따르십시오.

로컬 컴퓨터의 인증서 스냅인을 엽니 다.

  1. 시작, 실행을 차례로 클릭하고 mmc를 입력 한 다음 확인을 클릭합니다.

  2. 파일 메뉴에서 스냅인 추가 / 제거를 클릭하십시오.

  3. 스냅인 추가 / 제거 대화 상자의 사용 가능한 스냅인 목록에서 인증서를 클릭하고 추가를 클릭합니다.

  4. 인증서 스냅인 대화 상자에서 컴퓨터 계정을 클릭하고 다음을 클릭하십시오.

  5. 컴퓨터 선택 대화 상자에서 로컬 컴퓨터 :(이 콘솔이 실행되는 컴퓨터)를 클릭하고 완료를 클릭하십시오.

  6. 스냅인 추가 / 제거 대화 상자에서 확인을 클릭하십시오.

  7. 인증서 스냅인의 콘솔 트리에서 인증서 (로컬 컴퓨터), 개인을 차례로 확장하고 사용하려는 SSL 인증서로 이동합니다.

  8. 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 후 개인 키 관리를 선택하십시오.

  9. 사용 권한 대화 상자에서 추가를 클릭하고 네트워크 서비스를 입력 한 다음 확인을 클릭하고 허용 확인란 아래에서 읽기를 선택한 다음 확인을 클릭합니다. "

출처 : https://support.microsoft.com/en-us/kb/2001849

hwdsl2
소스
3

게이트웨이 서비스를 비활성화했습니다. 결국 MMC를 실행하고 RD 인증서를 모두 삭제했습니다. 그런 다음 원격 연결을 허용하고 다시 활성화했습니다. 이것은 새롭고 좋은 인증서를 생성했으며 컴퓨터 도메인에 로그인 할 수있었습니다!

풍미
소스
2

자체 서명 인증서를 가져온 것으로 가정합니까? 이 경우 인증서를 내보낼 수없는 것으로 표시하면 오류를 설명 할 수 있습니다. http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error 자세한 내용은 -hresult-0x80070520-add-sing-ssl-binding-in-iis.aspx 를 참조하십시오. 맞다면 "내보내기 허용"플래그가 설정된 인증서를 삭제하고 다시 가져와야합니다.

CHfish
소스
내 인증서는 개인 키를 생성하지 않았으므로 내 사용자 인증서 저장소 대신 시스템으로 가져 오기 위해 내보낼 수 없습니다. RD 대화 상자의 키가 전혀하지 않기 때문에 PowerShell을 사용하여 개인 키로 키를 생성하려고합니다.
FlavorScape
IIS에 바인딩을 추가하지 않고 원격 데스크톱을위한 것입니다.
FlavorScape
1

당신을위한 해결책을 찾으십시오 :

makecert.exe를 다운로드하고 RDP에 대한 새 인증서를 생성하십시오.

makecert -r -pe -n "CN = 서버 FQDN"-eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel 암호화 공급자"-sy 12 "

서버 FQDN을 실제 값으로 변경하십시오.

컴퓨터 인증서로 이동하여 원격 데스크톱에서 현재 인증서를 삭제하십시오. 그런 다음 개인 상점에서 새로 작성된 인증서를 원격 데스크탑으로 이동하십시오. 인증서를 열고 지문을 복사하십시오.

regedit를 열고 다음으로 이동하십시오.

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal 서버 \ WinStations

새 인증서 지문으로 SelfSignedCertificate 키를 업데이트하십시오.

원격 데스크톱 서비스 서비스를 다시 시작하십시오.

opti2k4
소스
1

연결을 클릭하자마자 오류가 발생하면서 같은 문제가 발생했습니다.

나를 해결하기 위해 NETWORK SERVICE 대신 로컬 시스템 계정 으로 실행되도록 원격 데스크톱 서비스를 변경했습니다 . 서비스를 다시 시작했고 모든 것이 정상적으로 작동했습니다. 편집 : 방금 액세스 거부 메시지 가 발생 하고 네트워크 서비스로 설정해야 한다는 것을 알았습니다 . 그러나 이것을 로컬 시스템 계정으로 변경하고 네트워크 서비스로 다시 변경하면 문제가 완전히 해결되었습니다.

0x0000001E
소스
0x0000001E
1

이것이 마침내 나에게 똑같은 문제를 해결 한 것입니다 ( 이 TechNet 게시물 의 위반자가 어떤 개인 키가 문제인지 추적하는 방법에 대한 큰 소품 )

  1. Sysinternals Suite에서 Procmon 다운로드 및 실행
  2. 해당 경로의 활동을 수신하여 MachineKeys 폴더의 활동 (대부분 C : \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys)을 모니터하십시오.
  3. 문제가있는 시스템에 RDP를 시도하면 액세스가 거부 된 파일과 함께 액세스 거부 오류를 기록한 Procmon을 참조하십시오.
  4. 문제가되는 파일을 삭제하십시오 (먼저 자신을 소유자로 설정 한 다음 모든 권한을 부여해야합니다)
  5. 컴퓨터를 다시 시작하면 올바른 권한이 적용되어 누락 된 키가 다시 생성됩니다.
si1ic0n_gh0st
소스
0

나는 파티에 늦었지만 이것이 나를 도왔다.

  • 새 PFX 인증서를 생성하십시오. 자체 서명이 작동합니다.

    설치 모듈 SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword"-Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx"-CertificatePassword $ password

  • 출력 창에서 지문 캡처
  • 생성 된 PFX 인증서를 내 컴퓨터> 개인 저장소에 설치

  • 위 단계에서 캡처 한 지문을 사용하여 다음 명령을 실행하십시오.

    wmic / namespace : \ root \ cimv2 \ TerminalServices 경로 Win32_TSGeneralSetting 설정 SSLCertificateSHA1Hash = " THUMB_PRINT "

저그
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.