Назад | Перейти на главную страницу

RDP от 2008 R2 через туннель не работает

Я пытаюсь RDP с Win7 на машину 2008 R2 через туннель (думаю, SSH, но не совсем).

Он не работает, и в журнале событий 2008 R2 (место назначения) отображается следующее:

Журнал системных событий, источник LsaSrv, идентификатор события 6037

"Программа lsass.exe с назначенным идентификатором процесса 632 не смогла аутентифицироваться локально с использованием целевого имени TERMSRV / {WIN7_name}. Используемое целевое имя недействительно. Целевое имя должно ссылаться на одно из имен локального компьютера, например, имя хоста DNS.

Попробуйте другое имя цели. "

Сторона WIN7 показывает:

Журнал системных событий, источник событий TermDD, идентификатор события 56

Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил клиента. IP-адрес клиента: {WIN7_name}.

(с кодом ошибки C000018D = STATUS_TRUSTED_RELATIONSHIP_FAILURE)

Таким образом, очевидно, что клиент RDP передает имя локального сервера удаленной стороне (я сказал это RDP на машину Win7, но на туннелированный порт).

Мне не удалось найти способ указать клиенту или серверу RDP игнорировать эту проблему. Похоже, можно было бы использовать setspn.exe для установки имени принципа службы {Win7_name} в поле 2008 R2, но это кажется беспорядочным, и в моем случае мои клиенты не будут знать, как это сделать. Кроме того, вам придется сделать это для всех клиентов, которые могут подключаться к этому серверу.

Может ли кто-нибудь еще использовать RDP между 2008 R2 и Win 7 с помощью туннелирования?

Похоже, у вас настроен серверный компьютер, чтобы разрешать только RDP-соединения, которые проходят "аутентификацию на уровне сети" (аутентификация на основе сертификатов для предотвращения атак типа "злоумышленник в середине"). Вы можете отключить это на стороне сервера, перейдя в «Конфигурация узла сеанса удаленного рабочего стола», открыв свойства для подключения «RDP-Tcp» в диалоговом окне «Подключения» и сняв флажок «Разрешить подключения только от компьютеров, на которых запущен удаленный компьютер. Настольный компьютер с аутентификацией на сетевом уровне ».

Когда вы это сделаете, имейте в виду, что злоумышленник может настроить поддельный сервер RDP, который выглядит как ваш сервер, для сбора паролей.

Редактировать:

С помощью Rinetd для туннелирования локального порта на компьютере с Windows 7 Professional к порту RDP на компьютере с Windows Server 2008 R2 я могу получить доступ к удаленному компьютеру с помощью клиента Microsoft RDP.

Такое ощущение, что ваш RDP-клиент не возвращается к NTLM после сбоя Kerberos. Однако я не сразу вижу, какой параметр конфигурации может привести к этому. Есть ли у вас какие-либо параметры политики на сервере, запрещающие аутентификацию NTLM?

Мне было бы любопытно узнать, поможет ли отключение CredSSP. Сохраните свойства подключения RDP в файл, отредактируйте файл с помощью вашего любимого текстового редактора и добавьте строку enablecredsspsupport:i:0 (или, если строка уже существует, измените «1» на «0» и конец строки).