安装“ NSA”补丁后，远程桌面“内部错误”提示连接

我刚刚安装了最新的Windows更新（NSA漏洞补丁程序星期二），现在我无法连接到远程桌面。

服务器是远程托管的。我没有身体接触。Server 2012 R1。
幸运的是，重新启动后，所有网站都可以正常运行。
我还没有尝试过第二次重启，因为我有点害怕。
当我尝试连接时，我立即收到以下消息：
“ 远程桌面连接：发生内部错误”

从多个客户端尝试过。它们全部失败-包括一个iOS应用程序，该应用程序另外给了我0x00000904错误。
如果运行，telnet servername 3389它将启动连接，因此我知道端口已打开。
我可以从Win 10（未打补丁）的计算机上很好地连接到其他服务器。
我也无法通过第二台笔记本电脑（Win 10 Creators版）进行连接。
在事件查看器中找不到有用的东西。
我什至尝试了Wireshark，但没有显示任何有用的信息。
我要诊断的最好的就是能够上传ASPX页面并运行它。

我了解到，最近的“ NSA版”补丁汇总对RDP进行了一些修复-但我找不到其他人突然在一周内遇到问题。

在与托管公司联系之前，我想知道问题出在哪里，这就是为什么我在这里发布。

更新：

虽然我仍然没有物理服务器访问权限，但我记得我在服务器本身上托管了Windows 7 VM。通过连接到10.0.0.1本地IP，我能够进入并打开服务器证书管理单元。

这表明RDP证书确实已过期-尽管在连接该建议时我没有收到任何错误。我当然每天都在连接，并且因为它在2个月前过期，所以我猜测某种安全更新会删除远程桌面存储中的所有其他证书，并且它不会自动更新。

因此，现在尝试在此处找到一种安装其他证书的方法。

更新2

最后，在“管理事件”下的事件日志中找到了这个（通过VM进行远程连接）：

“终端服务器未能创建新的自签名证书，无法用于SSL连接上的终端服务器身份验证。相关的状态代码为对象已存在。”

这似乎有帮助，尽管错误有所不同。今晚无法重新启动，因此明天必须再次检查。

https://blogs.technet.microsoft.com/the_9z_by_chris_davis/2014/02/20/event-id-1057-the-terminal-server-has-failed-to-create-a-new-self-signed-certificate/

rdp windows-terminal-services

— 西蒙
source

如果您确切地告诉我们您安装了哪个更新，而不是将其称为，那将是很好的NSA vulnerability patch tuesday。并非每个人都在玩“神秘更新剧院3000”。

— joeqwerty

我想告诉你-但我只运行过Windows Update，然后重新启动-现在我不能进去了。不幸的是，我所能揭示的所有赢得2k想要更新的“最新更新”。我整天都在玩Theatre 3000，想想一个策略。如果让托管公司重启可能会很好，但是那感觉就像我将自己锁在家中，我正在派一个锁匠，而我什至都不在那里。谢谢上帝，我可以远程访问SQL Server / FTP，并且所有网站都运行正常。如果有命令运行以查看更新，我可以尝试

— Simon

您可以尝试查看Windows更新历史记录，然后一次卸载一个更新（如果它们支持卸载），直到问题解决。记下要卸载的更新，以便能够确定哪个更新是可疑更新。

— joeqwerty

但我无权访问台式机。那就是问题所在。我只能通过通过ASPNET网页运行命令来访问命令行。我正在尝试运行systeminfo.exe以立即获取输出

— Simon

对。忘了那个。我的错。道歉。

— joeqwerty

Answers:

解决方案基本上在这里

https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/

这也有帮助：

https://social.technet.microsoft.com/Forums/ie/zh-CN/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to-无法创建自签名证书？forum = winserverTS

假设您已经验证了证书>远程桌面>证书下列出的证书无效...

注意：在修复所有问题后，我截取了此屏幕截图-因此，该失效日期是新创建的证书，它是自己完成的。

然后，您基本上需要重命名或删除此文件-然后它将重新创建它：

“ C：\ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys \ f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757”

这是一个以开头的知名文件名f686aace。然后重新启动Remote Desktop Configuration服务，它应该重新创建它。（注意：实际上实际上没有必要重新启动服务-请稍等片刻，看看是否使用相同的文件名重新创建了该服务）。

权限可能会有些混乱，您可能需要获取文件的所有权，然后再应用权限。注意：所有权并不意味着权限。拥有所有权后，您必须添加权限。

就像我说的那样，我没有物理访问服务器的权限-如果您这样做，则上述内容就足够了。

我很幸运能够通过同一本地网络上的另一台计算机进行远程连接并更改注册表。

我想禁用身份验证，以便可以连接并远程访问。为此的注册表项是HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

将现有密钥SecurityLayer和UserAuthentication对0

创建一个RDP文件（打开mstsc，输入服务器名称后单击“保存”），然后在记事本中的enablecredsspsupport:i:0某处添加该行。这会禁用对安全性的期望。

然后，当您运行RDP文件时，它应允许您不安全地连接并访问服务器。

连接后，请立即更改这两个注册表项，然后继续删除该f686...文件...

— 西蒙
source

我正在使用自签名证书，并且从未真正显式创建RDP证书。如果您发现相同的问题，那么您自己创建证书的解决方案可能会略有不同。

— 西蒙

似乎是最新补丁的巧合-无论如何，我还有几个月值得！

— 西蒙

PS。请原谅我混乱的答案-这只是浪费了整个周末。好的，我完成了

— Simon

奇怪的是突然对此感到不满。是否有新的更新再次引起这种情况？

— 西蒙

这些设置解决了我的问题：

1.在“控制面板”中，单击“管理工具”，然后双击“本地安全策略”。

2.在“本地安全设置”中，展开“本地策略”，然后单击“安全选项”。

3.在右窗格的“策略”下，双击“系统加密”：使用符合FIPS的算法进行加密，哈希和签名，然后单击“启用”。就我而言，它已被禁用。因此，我只启用了它并发出了下面列出的命令。

运行gpupdate / force

另一个可以解决此问题的选项：

服务器上未启用协议。我使用IIScrypto并启用了TLS1.2，一切都开始工作

— 阿扎尔·布塔尔
source

-1

在我的环境中，大家好，这是由于生成新的自签名证书TLS 1.0导致注册表中禁用或不存在，并且新的自签名证书不在受信任的根证书颁发机构存储中。

您可以在编辑注册表之前用两种方法证明这一点。下载IIS Crypto，查看在协议，密码，哈希和密钥交换中启用和禁用的内容。

有时，尽管IIS Crypto会显示TLS已启用，即使在注册表中未启用TLS也只是FYI。

您的下一个选择是在“本地”组策略中打开FIPS，这将强制打开并使用TLS 1.0、1.1和1.2。打开FIPS，然后尝试将RDP插入您的计算机，即使在注册表中禁用了TLS，这次也可以使用。您不希望永久使用FIPS，尽管这只是为了进行故障排除，因此请在服务器上将其禁用并转到注册表。

头HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL和下协议添加三个新的键标题他们TLS 1.0，TLS 1.1和TLS 1.2再创造下的每个TLS条目标题他们两个子键Client和Server。

内部的Client和Server密钥创建标题2个32位的DWORD条目一个DisabledByDefault与Value设置为0，并Enabled与该值设置为1。

一旦执行此操作，并且您的自签名证书没有过期，并且在正确的存储中，您将能够再次RDP进入服务器。

— 亚伦·约翰逊
source