安装“NSA”补丁后，远程桌面尝试连接时出现“内部错误”

Question 1

解决方案基本上就在这里

https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/

这也有帮助：

https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to-failed-to-create-self-signed-certificate?forum=winserverTS

假设您已经验证“证书”>“远程桌面”>“证书”下列出的证书无效...

注意：此截图是我截取的后我解决了所有问题 - 所以这个到期日期是它自己新创建的证书。

然后您基本上需要重命名或删除此文件 - 然后它会重新创建它：

“C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757”

这是一个以开头的众所周知的文件名f686aace。然后重新启动Remote Desktop Configuration服务，它应该会重新创建它。（注意：实际上可能不需要重新启动服务 - 只需等待一分钟，看看它是否以相同的文件名重新创建）。

可能需要处理一些权限问题，您可能需要取得文件的所有权，然后再应用权限。注意：所有权并不意味着权限。您必须在取得所有权后添加权限。

正如我所说的，我没有服务器的物理访问权限 - 如果您有，那么上述内容就足够了。

我很幸运能够通过同一本地网络上的另一台机器远程连接并更改注册表。

我想禁用身份验证，以便能够远程连接并获得访问权限。执行此操作的注册表项是HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

设置现有键SecurityLayer并UserAuthentication0

创建一个 RDP 文件（打开 mstsc，输入服务器名称后单击“保存”），然后在记事本中的enablecredsspsupport:i:0某处添加该行。这将禁用安全预期。

当您运行 RDP 文件时，它应该允许您以不安全的模式连接并访问您的服务器。

一旦连接，请立即将这两个注册表项改回来，然后继续删除该f686...文件......

Answer

解决方案基本上就在这里

https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/

这也有帮助：

https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to-failed-to-create-self-signed-certificate?forum=winserverTS

假设您已经验证“证书”>“远程桌面”>“证书”下列出的证书无效...

注意：此截图是我截取的后我解决了所有问题 - 所以这个到期日期是它自己新创建的证书。

然后您基本上需要重命名或删除此文件 - 然后它会重新创建它：

“C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757”

这是一个以开头的众所周知的文件名f686aace。然后重新启动Remote Desktop Configuration服务，它应该会重新创建它。（注意：实际上可能不需要重新启动服务 - 只需等待一分钟，看看它是否以相同的文件名重新创建）。

可能需要处理一些权限问题，您可能需要取得文件的所有权，然后再应用权限。注意：所有权并不意味着权限。您必须在取得所有权后添加权限。

正如我所说的，我没有服务器的物理访问权限 - 如果您有，那么上述内容就足够了。

我很幸运能够通过同一本地网络上的另一台机器远程连接并更改注册表。

我想禁用身份验证，以便能够远程连接并获得访问权限。执行此操作的注册表项是HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

设置现有键SecurityLayer并UserAuthentication0

创建一个 RDP 文件（打开 mstsc，输入服务器名称后单击“保存”），然后在记事本中的enablecredsspsupport:i:0某处添加该行。这将禁用安全预期。

当您运行 RDP 文件时，它应该允许您以不安全的模式连接并访问您的服务器。

一旦连接，请立即将这两个注册表项改回来，然后继续删除该f686...文件......

Question 2

这些都对我不起作用。我右键单击 Windows 符号 > 应用和功能 > 在搜索框中输入远程桌面 > 选择远程桌面 > 高级选项

向下滚动到重置，然后重置应用程序

此后工作正常。

Answer

这些都对我不起作用。我右键单击 Windows 符号 > 应用和功能 > 在搜索框中输入远程桌面 > 选择远程桌面 > 高级选项

向下滚动到重置，然后重置应用程序

此后工作正常。

Question 3

大家好，在我的环境中，这是由于生成新的自签名证书时导致的，TLS 1.0 在注册表中被禁用或在注册表中不存在，并且新的自签名证书不在受信任的根证书颁发机构存储中。

您可以在编辑注册表之前通过这两种方式证明这一点。下载 IIS Crypto 并查看在协议、密码、哈希和密钥交换中启用和禁用的内容。

有时尽管 IIS Crypto 未在注册表中启用，但它会显示 TLS 已启用，仅供参考。

您的下一个选项是在本地组策略中打开 FIPS，这将强制打开并使用 TLS 1.0、1.1 和 1.2。打开 FIPS，然后尝试通过 RDP 进入您的计算机，即使在注册表中禁用 TLS，这次它也会起作用。您不想永久使用 FIPS，但这只是为了进行故障排除，因此请在服务器上禁用它并转到注册表。

前往HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL协议下添加三个新键，标题为它们TLS 1.0、，TLS 1.1然后TLS 1.2在每个 TLS 条目下创建两个子键，标题为它们Client和Server。

在Client和Server键内创建两个 32 位 DWORD 条目，一个标题DisabledByDefault设置Value为 0，Enabled另一个值设置为 1。

一旦您完成此操作并且您的自签名证书未过期并且在正确的存储中，您将能够再次通过 RDP 进入您的服务器。

Answer

大家好，在我的环境中，这是由于生成新的自签名证书时导致的，TLS 1.0 在注册表中被禁用或在注册表中不存在，并且新的自签名证书不在受信任的根证书颁发机构存储中。

您可以在编辑注册表之前通过这两种方式证明这一点。下载 IIS Crypto 并查看在协议、密码、哈希和密钥交换中启用和禁用的内容。

有时尽管 IIS Crypto 未在注册表中启用，但它会显示 TLS 已启用，仅供参考。

您的下一个选项是在本地组策略中打开 FIPS，这将强制打开并使用 TLS 1.0、1.1 和 1.2。打开 FIPS，然后尝试通过 RDP 进入您的计算机，即使在注册表中禁用 TLS，这次它也会起作用。您不想永久使用 FIPS，但这只是为了进行故障排除，因此请在服务器上禁用它并转到注册表。

前往HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL协议下添加三个新键，标题为它们TLS 1.0、，TLS 1.1然后TLS 1.2在每个 TLS 条目下创建两个子键，标题为它们Client和Server。

在Client和Server键内创建两个 32 位 DWORD 条目，一个标题DisabledByDefault设置Value为 0，Enabled另一个值设置为 1。

一旦您完成此操作并且您的自签名证书未过期并且在正确的存储中，您将能够再次通过 RDP 进入您的服务器。

安装“NSA”补丁后，远程桌面尝试连接时出现“内部错误”

答案1

答案2

答案3

相关内容