Как исправить RDP на Windows Server 2012?

Вот снимок статуса RDP. Выглядит хорошо:

Когда я подключаюсь к удаленному компьютеру, я получаю сообщение об ошибке:

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

Порт 3389 тестировал удаленно, он открыт. Я тестировал это с помощью netstat.

TCP    0.0.0.0:3389           hostname:0                LISTENING

Нет брандмауэра Windows
Нет сетевого брандмауэра
Совершенно новый самоподписанный сертификат
Машина недавно была перезагружена, работал до этого
Службы терминалов запущены
Когда я проверяю сертификат SSL, он показывает все детали, выглядит хорошо, срок действия истекает в 2014 году.
hklm: \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections равно 0
C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys администратор имеет все права

Обновить:

Теперь я нахожу это в журнале событий в разделе «Административные события»:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

Я не знаю, как исправить указанную выше ошибку. Я также не уверен, что это мой импортированный сертификат RD, хотя я знаю, что это происходит, когда я пытаюсь выполнить RDP с моей машины.

Обновление II:

Я пробовал использовать PowerShell для создания сертификатов с закрытыми ключами. Не повезло. Используемые техники Вот и Вот без везения. Каждый раз я добавлял сертификат к доверенным корням и личный для пользователя системы в оснастке сертификата MMC.

Обновление III:

Так раздражает

Этот форум указывает, что окна могли обновиться во время перезагрузки, что привело к неустранимой ошибке при установке роли посредника подключений к удаленному рабочему столу (которая, по-видимому, необходима для создания файла pfx с закрытым ключом для импорта в MMC). Ошибка связана с исправлением KB2821895 от июня 2013 г. Это можно было бы напомнить с этим? http://support.microsoft.com/kb/2871777

Поэтому я запустил последнее обновление Windows и попытался установить посредник подключений к удаленному рабочему столу, чтобы создать файл pfx. Не повезло. В нем говорится, что одна или несколько родительских функций не установлены, даже если Hyper-V и т. Д. Установлены. И не сказано, какие еще роли добавить ...

Обновить сводный вопрос!

Итак, теоретически все сказано и сделано, может ли установка брокера подключений к удаленному рабочему столу (для генерации закрытого ключа) решить мою ошибку шифрования?

Вы можете столкнуться с этой ошибкой при подключении после импорта сертификата SSL (и связанного с ним закрытого ключа) в Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator.

Кроме того, в журналах событий Windows вы видите:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001."

Решение:

Цитата из Microsoft KB2001849:

«Служба хоста удаленных рабочих столов работает под учетной записью СЕТЕВОЙ СЛУЖБЫ. Следовательно, необходимо установить ACL ключевого файла, используемого RDS (на который ссылается сертификат, указанный в значении реестра SSLCertificateSHA1Hash), чтобы включить СЕТЕВОЙ СЕРВИС с« Чтение » разрешения. Чтобы изменить разрешения, выполните следующие действия:

Откройте оснастку «Сертификаты» для локального компьютера:

Щелкните Пуск, щелкните Выполнить, введите mmc и щелкните OK.
В меню «Файл» выберите «Добавить / удалить оснастку».
В диалоговом окне «Добавить или удалить оснастки» в списке «Доступные оснастки» щелкните «Сертификаты» и нажмите «Добавить».
В диалоговом окне оснастки «Сертификаты» щелкните Учетная запись компьютера и нажмите кнопку Далее.
В диалоговом окне «Выбор компьютера» щелкните «Локальный компьютер» (компьютер, на котором запущена эта консоль) и нажмите «Готово».
В диалоговом окне «Добавить или удалить оснастки» нажмите «ОК».
В оснастке «Сертификаты» в дереве консоли разверните «Сертификаты (локальный компьютер)», «Личные» и перейдите к сертификату SSL, который вы хотите использовать.
Щелкните сертификат правой кнопкой мыши, выберите «Все задачи» и выберите «Управление закрытыми ключами».
В диалоговом окне «Разрешения» нажмите «Добавить», введите NETWORK SERVICE, нажмите «ОК», выберите «Читать» под флажком «Разрешить», затем нажмите «ОК».

Источник: https://support.microsoft.com/en-us/kb/2001849

Я отключил службы шлюза. В итоге я запустил MMC и полностью удалил сертификат RD. Затем я отключил и снова включил разрешение удаленных подключений. Это сгенерировало новый хороший сертификат, и я смог войти в домен машины!

Правильно ли я предполагаю, что вы импортировали самозаверяющий сертификат? Если это так, вы, скорее всего, пометили сертификат как неэкспортируемый, что тогда объясняет ошибку ... Взгляните на http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error-hresult-0x80070520-when-adding-ssl-binding-in-iis.aspx для получения дополнительной информации. Если я прав, вам нужно удалить и повторно импортировать сертификат с установленным флагом «Разрешить экспорт».

Есть решение для вас:

Загрузите makecert.exe и создайте новый сертификат для RDP

makecert -r -pe -n "CN = полное доменное имя сервера" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "

Измените полное доменное имя сервера на реальное значение.

Перейдите к сертификатам компьютера и удалите текущий сертификат под удаленным рабочим столом. Затем из личного магазина переместите только что созданный сертификат на удаленный рабочий стол. Откройте сертификат и скопируйте отпечаток.

Откройте regedit и перейдите по ссылке:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations

Обновите ключ SelfSignedCertificate новым отпечатком сертификата.

Перезапустить службу удаленных рабочих столов

У меня была такая же проблема, и ошибка появлялась, как только я нажимал «Подключиться».

Чтобы решить за меня, я изменил Службы удаленных рабочих столов сервис, поэтому он работал как Учетная запись локальной системы вместо того СЕТЕВОЙ СЕРВИС. Перезапустил сервис и все заработало как обычно.

РЕДАКТИРОВАТЬ: Я только что узнал, что это вызовет Доступ запрещен сообщение и должно быть установлено как СЕТЕВОЙ СЕРВИС. Но изменение этого параметра на учетную запись локальной системы и обратно на СЕТЕВОЙ ОБСЛУЖИВАНИЕ полностью решило мою проблему.

Это, наконец, то, что устранило эту же проблему для меня (большие возможности для этот пост в TechNet о том, как отследить, какой закрытый ключ является нарушителем)

Загрузите и запустите Procmon (из Sysinternals Suite)
Отслеживайте активность папки MachineKeys (скорее всего, C: \ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys), прослушивая любую активность в этом пути.
Попытайтесь подключиться по протоколу RDP к машине-нарушителю, и тогда вы должны увидеть, как Procmon отмечает ошибку отказа в доступе вместе с файлом, который запрещал доступ
Удалите файл с нарушением (возможно, сначала вам придется сделать себя его владельцем, а затем предоставить себе полный контроль)
Перезагрузите компьютер, и он должен восстановить недостающий ключ с соответствующими разрешениями.

Я опаздываю на вечеринку, но это мне помогло.

Создайте новый сертификат PFX. Самоподписанные будут работать:

Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "$ password_CertName .pfatePass -Cerword
Захватить отпечаток большого пальца в окне вывода
Установите сгенерированный сертификат PFX в Мой компьютер> Личное хранилище
Выполните следующую команду, используя отпечаток пальца, который вы записали на шагах выше:

wmic / namespace: \ root \ cimv2 \ TerminalServices ПУТЬ Win32_TSGeneralSetting Установить SSLCertificateSHA1Hash = "THUMB_PRINT"