Из за ошибки безопасности клиент не смог подключиться к серверу терминалов windows xp

Обновлено: 07.07.2024

Установили клиенту сервер 2008 Энтерпрайз R2. До этого стоял 2003 стандарт.

После чего всех сотрудников и удаленных работников перестало пускать в терминал по RDP с ошибкой безопасности.

Поковыряв гугл выяснили, что если на ПК установлена ОС ХР с СП 2 или СП 3 и терминал-клиентом 5 версии, то в 2008 его тупо не пускает! Надо якобы устанавливать некий апдейт, где терминл-клиент обновляется до 6 и выше версии после чего все работает.

Вопрос: куда пнуть 2008 сервак, чтобы он понимал 5 версию терминал-клиента?? И вообще возможно ли это? Т.к. в противном случае это обход всех ПК и установка апдейта. А это время! А его нет!

Заранее всем спасибо. Просьба писать строго по теме. Оффтопы на предмет лицензий и т.д. не разводить.

Комментарии (46)

В настройках службы терминального сервера какая настройка безопасности подключения стоит? Есть два варианта: разрешать подключения с любого клиента и разрешать подключения только используя безопасного клиента.

Сразу скажу, что прошерстили все что можно. Все что написано в интернете перепробовали - результат нулевой.

Эту настройку тоже проверяли. Там все ок.

У нас в офисе у самих стоит 2008 энтерплайз R2 (лицензия). При этом с нашим сервером все работает. Сверяли настройки между серверами - все один в один. Но у клиента не работает!

Также игрались с настройками шифрования выставляя разный урвень вплоть до низкого. В общем все что в операционке касается терминала было перерыто и препробовано. Админы мои ушли уже все. Завтра отвечу. Хотя они говорили, что в реестре тоже рылись, что-то там меняли/прописывали. Хотя бы текст ошибки привели. Любой вариант - пальцем в небо без подробностей. Смысл? Из текста понятно, что нихрена непонятно. Если кто-то с этим сталкивался и решал - он и так понимает о чем речь. Много ли вам микрософтовские ошибки дают инфы своими текстами?? Но раз просите - завтра выложу. А в чем сложность поставить новый клиент? Он с сайта MS качается. Я его обязательно ставлю на XP, т.к. там много новых фишек. Ну по идее это первое что пришло нам на ум. Вопрос во времени. И плюс там к серверу конектится куча удаленных юзеров, которых обслуживаем не мы. Как им ставить? А они первые верещать начинают, что не могут зайти в терминал. Парадокс в том, что на нашем личном сервере все работает! С одного и того же ПК заходим к нам - пускает. Заходим к клиенту - не пускает! Настойки идентичны! Сверяли вплоть до веток реестра. Просто сталкиваясь с терминальным сервером я видел как минимум ошибки 3, которые подходят под ваше описание (но, возможно, вы находили их решение в интернете). Вот отсюда и смысл писать текст ошибки

Не могу сказать точно, но вроде она:

"Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов. Убедитесь в том, что вы вошли в сеть, и повторите попытку подключения к серверу."

По крайней мере очень похожа. Чтобы получить именно скриншот нужно ждать до завтра.

Из описания на сайте микрософт - это ошибка сертификата. Но мои всяко натыкались на эту ссылку и проверяли.

Это похоже действительно ошибка сертификата. Точнее - невозможность проверить цепочку сертификатов до доверенного центра. Посмотрите в сертификате которым защищено подключение кем он выдан и где расположены CRL. ПРоверьте находится ли рутовый сертификат удостоверяющего CA в папке доверенных корневых CA клиентского ПК. Так же проверьте доступны ли с клиента пути по которм опубликованы CRL.

Насколько я знаю, проверку цепочки сертификатов в 6+ клиентах RDP нельзя отключить полностью.

Посмотрите вот это, возможно что решит беду.

Совместимость с клиентами

Чтобы успешно подключаться к терминальному серверу, на котором активированы обе технологии, необходим терминальный клиент, поддерживающий протокол RDP 6.1. Этот протокол поддерживается клиентами, идущими в комлекте с ОС начиная с Windows Vista. Для Windows XP необходим установленный SP3 (либо обновлениеKB952155 для SP2) и кое-какая дополнительная настройка, описанная в статьеKB951608.

Для включения поддержки CredSSP (через которую работает NLA) в RDP клиенте Windows XP необходимо внести следующие изменения в реестр:

• в параметре
  HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Lsa\ Security Packages
  добавить строку со значением
  tspkg
• в параметре
  HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SecurityProviders\ SecurityProviders
  в строку значений дописать
  credssp.dll

Для вступления изменений в силу нужно перезагрузить компьютер.

В недавно вышедшем Windows Server 2008 R2 протокол RDP обновлен до версии 7.0. Полная его поддержка встроена в Windows 7, для Windows Vista и Windows XP необходима установка обновления KB969084.

Ниже я ответил Бычкову Кириллу по этому вопросу.

Что нам хочется решить проблему без вмешательства в клиенты. Т.к. обновление терминал-клиентов это самое простое решение.

Нам нужно найти затыку на стороне самого сервера. Внимательно прочитайте мои посты: имеются два абсолютно одинаковых сервера. На один старые клиенты конектятся без проблем (без всяких обновлений и телодвижений), а на второй нет. Мы хотим найти разницу между серверами при том что оба ставились нами:)))

По поводу куда копать на стороне сервера я ответил выше. Проверяйте разницу в цепочках сертификатов рабочего и нерабочего серверов. Проверьте основное имя проблемного сертификата. Оно должно совпадать с именем куда клиент цепляется.

Сертификация отключена. Куда копать? Ваш комментарий по поводу невозможности полного отключения сертификации я малость недопонял. Она или работает или нет.

Если вы имеете сертификацию на стороне клиента, то это опять же копание в клиенте.

Накануне столкнулся с одной проблемой. При подключении к удаленному рабочему столу на Windows Server 2008 R2 со старых клиентов RDP (версии 5) выдается ошибка:

1. Реактивация сервера лицензирования.

2. Правка реестра.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM

и удаляем значения

1. Certificate
2. X509 Certificate
3. X509 Certificate ID
4. X509 Certificate2

После чего, закрываем редактор реестра и перезагружаем компьютер.

Все, пробуем подключаться и видим, что ошибка исчезла!

Смотрите также:

В данном вебинаре будут рассмотрены основные аспекты клиент-серверного взаимодействия форм 1С:Предприятие 8. Из видео вы узнаете, как правильно писать код при серверных вызовах, почему необходимо использовать директиву &НаСервереБезКонтекста и как…

В данной статье будет рассмотрена причина возникновения ошибки «Порядок сортировки, установленный для базы данных, отличается от системного!» в 1С:Предприятие 7.7, а также способ ее устранения. 0. Об ошибке Итак, если Вы…

Сегодня я расскажу о том как поднять сервер терминалов (англ. terminal server) на базе Windows Server 2008 R2. В целом это довольно просто, но есть несколько тонких моментов, итак: …

В этой статье данная статья позволяет решить проблему, из-за которой клиентам служб терминалов после обновления неоднократно отказывали в доступе к серверу терминала Windows.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 329896

Симптомы

Из-за ошибки безопасности клиент не смог подключиться к серверу терминала. После входа в сеть попробуйте снова подключиться к серверу.

Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не мог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.

ID события: 50
Источник событий: TermDD
Описание события. Компонент протокола RDP X.224 обнаружил ошибку в потоке протокола и отключил клиента.

ID события: 1004
Источник событий: TermService
Описание событий. Сервер терминала не может выдавать клиентскую лицензию.

ID события: 28
Источник событий: TermServLicensing
Описание события. Лицензирование терминальных служб можно запускать только на контроллерах домена или сервере в workgroup. Дополнительные сведения см. в разделе Справка по лицензированию терминалов серверов.

Причина

Эта проблема может возникнуть, если сертификат на сервере терминала поврежден.

Решение

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: 322756 Как создать и восстановить реестр в Windows

Чтобы устранить эту проблему, повторите работу и удалите ключи реестра сертификатов X509, перезапустите компьютер, а затем активируете сервер лицензирования терминальных служб. Для этого выполните указанные ниже действия.

Выполните следующую процедуру на каждом из серверов терминала.

Убедитесь, что реестр серверов терминала был успешно отлажнен.

Откройте редактор реестра.

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters

В меню реестра щелкните Файл реестра экспорта.

Введите экспортные параметры в поле Имя файла и нажмите кнопку Сохранить.

Если в будущем необходимо восстановить этот файл реестра, дважды щелкните файл Exported-parameters.reg, сохраненный на этом шаге.

В подки "Параметры реестра" щелкните правой кнопкой мыши каждое из следующих значений, щелкните Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление:

• Сертификат
• Сертификат X509
• Удостоверение сертификата X509

Выйти из редактора реестра и перезапустить сервер.

Активировать сервер лицензирования терминальных служб с помощью метода телефонного подключения в мастере лицензирования.

Если активировать сервер лицензирования терминальных служб с помощью параметра Phone, сервер лицензирования использует другую форму сертификата.

Исправление ошибки «Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов…»

Накануне столкнулся с одной проблемой. При подключении к удаленному рабочему столу на Windows Server 2008 R2 со старых клиентов RDP (версии 5) выдается ошибка «Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов. Убедитесь в том, что вы вошли в сеть и повторите попытку подключения к серверу.»

Одно из решений данной задачи — обновить на всех хостах клиент RDP до версии 6. Но в данном случае использовались тонкие клиенты, для которых производитель уже перестал выпускать новые версии прошивок. Так что пришлось копать на самом сервере терминалов. Перепробовав множество различных способов решения этой проблемы, я все таки нашел тот, который реально помог. Нашелся он, как ни странно, на форуме техподдержки Microsoft. Проблема оказалось в сертификатах, выдаваемых сервером лицензирования удаленных рабочих столов. Ниже я привожу вольный перевод этой инструкции со своими скриншотами. Итак:

1. Реактивация сервера лицензирования.

Открываем «Диспетчер лицензирования удаленных рабочих столов» («Пуск» — «Администрирование» — «Службы удаленных рабочих столов» — «Диспетчер лицензирования удаленных рабочих столов» ). Кликаем правой кнопкой мыши на проблемном сервере лицензирования и в списке выбираем «Свойства» .

Меняем «Метод установки:» на «В браузер веб-страниц» , после чего жмем «ОК» .

Снова кликаем правой кнопкой мыши по серверу, затем «Подробно» и «Повторно активировать сервер» .

Запустится «Мастер активации сервера» , жмем «Далее» и попадаем на окно «Реактивация сервера лицензирования» , в котором нужно ввести новый код сервера лицензирования. Чтобы получить его проходим по ссылке в верхнейчасти окна.

На открывшемся веб-сайте выбираем русский язык, затем устанавливаем переключатель на «Повторная активация сервера лицензий» и жмем «Далее» .

2. Правка реестра.

Теперь открываем редактор реестра (Для этого заходим «Пуск» — «Выполнить» — вводим команду «regedit» и нажимаем «ОК» ). Сделаем, на всякий случай, экспорт реестра. Далее, в редакторе реестра проходим по ветке:

Как выглядит ошибка подключения

Клиентский компьютер работает на операционной системе Windows 10 1709, терминальная ферма собрана из Windows Server 2012 R2, выступающих в роли хостов для подключения, в качестве посредников подключения (Connection Broker) выступают два сетевых балансировщика Kemp LoadMaster. И все как обычно, вчера работало, сегодня нет.

Варианты устранения проблемы с подключением по RDP

Не удается установить подключение, так как проверка подлинности не включена, а удаленный компьютер требует, чтобы проверка подлинности для подключения была включена

можно сделать вывод, что порт 3389 отвечает и его не нужно проверять с помощью Telnet. Далее алгоритм такой:

• Первое, что нужно сделать, это проверить DNS записи, которые отвечают за резолвинг имени фермы, сделать это можно с помощью команды nslookup. Открываем командную строку или power shell и вводим там команду:

• Если с записями все хорошо, то нужно посмотреть логи системы на посредниках к подключению, это как раз те сервера, которые отвечают по команде nslookup, хочу отметить, что Connection Broker может и не быть, и DNS может перекидывать на членов фермы, по технологии Round robin, простым перебором, где могут быть проблемы либо с отдельной нодой, либо со всеми, об этом мы поговорим ниже. Очень часто, достаточно перезагрузить посредника, удобно если их два в HA.

Как я и писал выше в моем случае в роли посредником по подключению выступают две сетевые железки Kemp LoadMaster. Заходим в веб интерфейс, переходим в пункт "View/Modify Services". В данном пункте будут описаны правила, которые обрабатывает Kemp LoadMaster. Вижу, что у меня есть правило TS4. В столбце Real Servers я вижу на какие сервера оно применяется. Тут логика какая, создается виртуальный интерфейс отвечающий по нужному порту, в данном случае 3389, и идет форвардин на список Real Servers по разным критериям, коих у Kemp много.

Проверяем список Real Servers на соответствие актуальности. В моем случае выяснилось, что один из ip адресов был передан другому серверу, так как его предшественника вывели из эксплуатации, а так как на нем не было развернуто служб удаленных рабочих столов, то у меня и валилась ошибка "Не удается установить подключение, так как проверка подлинности не включена, а удаленный компьютер требует, чтобы проверка подлинности для подключения была включена".

Редактируем правило, через кнопку Modify. Находим в списке IP Address нужный вам сервер и выключаем/Удаляем его соответствующей кнопкой.

Посмотреть список шаблонов на Kemp LoadMaster можно на вкладке Manage Template, они подгружаются сюда отдельно с официального сайта

После этих манипуляций ошибка ушла.

• Если у вас нет Kemp LoadMaster или нет вообще Connection Broker, то попробуйте подключиться не по DNS имени фермы, а отдельно по RDP на конечный хост (Session Host). Проверьте, что у него стоят правильные настройки проверки подлинности.

Для этого зайдите в свойства системы, на вкладке "Удаленный доступ" проверьте наличие галки:

NLA: Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети

Такая галка, запрещает старым клиентам служб удаленных рабочих столов производить подключение, актуально для Windows XP или не обновленных Windows 7, если у вас есть такие клиенты, то либо их обновите, либо снимите галку.

Так же в такой ситуации, когда был конфликт в версиях RDP клиента и вам отвечает не Session Host являющийся членом фермы, а как в моем случае левый сервер, то выскакивала ошибка: Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера. Повторите попытку подключения. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или сетевому администратору

PS. Советую сделать на каждом сервере, что входит в состав терминальной фермы команду RSOP в командной строке, чтобы понять какие групповые политики прилетают и посмотрите, что у вас там

Как отключить NLA (Network Level Authentication)

Если у вас еще много не обновленных клиентов со старыми версиями RDP, то можете отключить пока NLA: Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Либо вручную, как я показывал, выше, но правильнее это сделать централизованно.

• На Connection Brokers
• Через групповую политику (Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Политика "Требовать проверку подлинности на уровне сети для удаленных подключений")
• Через реестр Windows и политику .

На посреднике к подключению, зайдите в свойства коллекции и на вкладке безопасности снимите соответствующую галку.

Если захотите воспользоваться реестром Windows, а потом раскидать ключик, через тужу политику. то вам нужна ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. В ней найдите ключ SecurityLayer и поставьте ему значение 0. Это отключит NLA (Network Level Authentication).

Уверен, что вы смогли устранить ошибки: Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера. Повторите попытку подключения. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или сетевому администратору и "Не удается установить подключение".

Если вам известны еще какие-либо методы решения, то просьба написать о них в комментариях.

Читайте также:

  
• Centos 7 не загружается после yum update
  
• Аналог mp3gain для windows 10
  
• Удалить графическую оболочку ubuntu
  
• Vaio care windows 7 что это
  
• Не работает микрофон airpods windows 10