Не удалось выполнить проверку подлинности для сеанса компьютера
Сейчас полезу гуглить, что это было.
Лечение пока симптоматическое - вход под локальным админом, вываливание из домена, вваливание в домен.
кросс в ru_sysadmins
UPD - (как следовало ожидать) все и сразу. как минимум лежит DNS, плюс рассинхронизация плюс разное.
Бэкап сделан в понедельник , так что сразу никто не умрет.
Субботний АПД:
Перезапуск служб и целиком сервака ничего не дал .
Восстановил netlogon.dns из бэкапа.
перезагрузил.
netdiag /q
.
Computer Name: PDC
DNS Host Name: PDC.donain.local
System info : Windows Server (R) 2008 Standard (Build 6001)
Processor : Intel64 Family 6 Model 23 Stepping 6, GenuineIntel
Hotfixes : none detected
[WARNING] The net card 'RAS асинхронный адаптер' may not be working because
it has not received any packets.
[WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it
as not received any packets.
[WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it
has not received any packets.
GetStats failed for 'Минипорт WAN (IPv6)'. [ERROR_GEN_FAILURE]
GetStats failed for 'Минипорт WAN (IP)'. [ERROR_GEN_FAILURE]
GetStats failed for 'Минипорт WAN (Сетевой монитор)'. [ERROR_GEN_FAILURE]
GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_GEN_FAILURE]
GetStats failed for 'isatap.GEN_FAILURE]
Per interface results:
Adapter :
Host Name. . . . . . . . . : PDC
IP Address . . . . . . . . :
Subnet Mask. . . . . . . . :
Default Gateway. . . . . . :
Dns Servers. . . . . . . . :
WINS service test. . . . . : Skipped
Global results:
[WARNING] You don't have a single interface with the 'WorkStation Serv
ce', 'Messenger Service', 'WINS' names defined.
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '' a
d other DCs also have some of the names registered.
Redir and Browser test . . . . . . : Failed
[FATAL] Cannot send mailslot message to 'donain*' via browser. [ERROR_INVALID
FUNCTION]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Cannot lookup package Kerberos.
The error occurred was: (null)
IP Security test . . . . . . . . . : Skipped
The command completed successfully
nltest.exe /dsregdns
Flags: 0
Connection Status = 0 0x0 NERR_Success
The command completed successfully
dcdiag /test:dns /fix
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\PDC
Starting test: Connectivity
. PDC passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\PDC
DNS Tests are running and not hung. Please wait a few minutes.
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : domain
Running enterprise tests on : domain.local
Starting test: DNS
Test results for domain controllers:
DC: PDC.domain.local
Domain: domain.local
TEST: Forwarders/Root hints (Forw)
Error: Forwarders list has invalid forwarder: (DNS провайдера) (
ame unavailable>)
Summary of test results for DNS servers used by the above domain contro
llers:
DNS server: (днс провайдера) ( )
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the ***
.in-addr.arpa. failed on the DNS server ****
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
________________________________________ ________________________
Domain: domain.local
PDC PASS PASS FAIL PASS PASS PASS n/a
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : AD
Основной DNS-суффикс . . . . . . : hold.raesk
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : hold.raesk
ad
Ethernet adapter Подключение по локальной сети 2:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер для настольных компьютеров Intel(
R) Gigabit CT Desktop
Физический адрес. . . . . . . . . : 00-1B-21-39-72-66
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : ad
Описание. . . . . . . . . . . . . : Atheros AR8151 PCI-E Gigabit Ethernet Con
troller (NDIS 6.20)
Физический адрес. . . . . . . . . : 1C-6F-65-6B-64-52
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.10.10(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.10.49
DNS-серверы. . . . . . . . . . . : 192.168.10.10
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.ad:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : ad
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
В этой статье описаны некоторые причины проблем с аутентификацией пользователей.
Не удалось выполнить регистрацию для сертификата входа DirectAccess OTP
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Одноразовый пароль, предоставленный пользователем, был правильным, но выдающий центр сертификации (CA) отклонил сертификат входа OTP. Возможно, запрос сертификата неправильно подписан с использованием правильного EKU (политика приложения центра регистрации OTP), или у пользователя нет разрешения "регистрация" в шаблоне OTP для DA.
Решение
Убедитесь, что у пользователей OTP DirectAccess есть разрешение на регистрацию сертификата входа DirectAccess и соответствующая политика приложения включена в шаблон подписи центра регистрации OTP для DA. Также убедитесь, что сертификат центра регистрации DirectAccess на сервере удаленного доступа является допустимым. См. статью 3,2. Планирование шаблона сертификата OTP и 3,3 Планирование сертификата центра регистрации.
Обходной путь
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.
Чтобы контролировать расширенное поведение защиты, создайте следующий подкай реестра:
- Имя ключа: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
- Имя значения: SuppressExtendedProtection
- Тип: DWORD
Для Windows, которые поддерживают привязку канала, которые не могут быть аутентификацией не Windows серверов Kerberos, которые неправильно обрабатывают CBT:
- Установите значение входа реестра в 0x01. Это позволит Kerberos не выделять маркеры CBT для неоплаченных приложений.
- Если это не решает проблему, установите значение записи реестра 0x03. Это позволит kerberos никогда не излучать маркеры CBT.
Существует известная проблема с Sun Java, которая была адресована для размещения параметра, что приемчик может игнорировать любые привязки каналов, предоставленные инициатором, возвращая успех, даже если инициатор прошел в привязках канала в RFC 4121. Дополнительные сведения см. в статью Игнорировать привязку входящих каналов, если приемчик не заданная.
Рекомендуется установить следующее обновление с сайта Sun Java и повторно включить расширенную защиту: Изменения в 1.6.0_19 (6u19).
Для Windows, которые поддерживают привязку канала, которая не может быть аутентификацией не Windows серверов NTLM, которые не правильно обрабатывают CBT, установите значение входа в реестр 0x01. Это позволит настроить NTLM, чтобы не выделять маркеры CBT для неоплаченных приложений.
Для сценария, в котором разница во времени слишком велика:
Отсутствует сертификат для подписи OTP
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Не удается найти сертификат подписи OTP DirectAccess на сервере удаленного доступа; Поэтому сервер удаленного доступа не может подписать запрос на сертификат пользователя. Сертификат для подписи отсутствует, или истек срок действия сертификата для подписи, и он не был продлен.
Решение
Выполните эти действия на сервере удаленного доступа.
Проверьте настроенное имя шаблона сертификата для подписи OTP, выполнив командлет Get-DAOtpAuthentication PowerShell и изменив значение SigningCertificateTemplateName .
Если такого сертификата не существует, удалите сертификат с истекшим сроком действия (если он существует) и зарегистрируйте новый сертификат на основе этого шаблона.
Чтобы создать шаблон сертификата для подписи OTP, см. 3,3. Планирование сертификата центра регистрации.
Заявление об отказе от ответственности
Статьи быстрого публикации предоставляют сведения непосредственно из организации поддержки Майкрософт. Сведения, содержащиеся в этом ниже, создаются в ответ на возникающие или уникальные темы или предназначены для дополнения других сведений базы знаний.
Корпорация Майкрософт и(или) ее поставщики не делают никаких представлений или гарантий относительно пригодности, надежности или точности сведений, содержащихся в документах и связанных с ними графиках, опубликованных на этом сайте ("материалы") для любых целей. Эти материалы могут включать технические неточности или опечатки и могут быть пересмотрены в любое время без уведомления.
В максимальной степени, разрешенной применимым законодательством, Корпорация Майкрософт и/или ее поставщики дисклеймировали и исключали все представления, гарантии и условия, будь то экспресс- или подразумеваемые или нормативные, включая представления, гарантии или условия названия, отсутствие нарушения, удовлетворительное состояние или качество, торговая доступность и пригодность для определенной цели, в отношении материалов.
Сертификат учетной записи компьютера отсутствует или недопустим
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Для проверки подлинности DirectAccess методом OTP требуется сертификат клиентского компьютера, чтобы установить SSL-соединение с сервером DirectAccess. Однако сертификат клиентского компьютера не найден или является недопустимым, например, если срок действия сертификата истек.
Решение
Убедитесь, что сертификат компьютера существует и является допустимым:
На клиентском компьютере в консоли сертификатов MMC для учетной записи локального компьютера откройте Личные/сертификаты.
Убедитесь, что выдан сертификат, соответствующий имени компьютера, и дважды щелкните сертификат.
В диалоговом окне сертификат на вкладке путь к сертификату в разделе состояние сертификатаубедитесь, что указано "Этот сертификат хорошо".
Если действительный сертификат не найден, Удалите недопустимый сертификат (если он существует) и повторно выполните регистрацию для сертификата компьютера, либо запустив gpupdate /Force из командной строки с повышенными привилегиями, либо перезапустив клиентский компьютер.
Отсутствует ЦС, который выдает сертификаты OTP
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Либо нет ЦС, которые выдают сертификаты OTP, либо все настроенные ЦС, которые выдают сертификаты OTP, не отвечают.
Решение
Используйте следующую команду, чтобы получить список центров сертификации, выдающий сертификаты OTP (имя ЦС отображается в Касервер): Get-DAOtpAuthentication .
Если ЦС не настроен:
Используйте команду Set-DAOtpAuthentication или консоль управления удаленным доступом для настройки центров сертификации, которые выдают сертификат входа DirectAccess.
Примените новую конфигурацию и принудительно обновите параметры объекта групповой политики DirectAccess, запустив gpupdate /Force из командной строки с повышенными привилегиями или перезапустив клиентский компьютер.
Если настроены центры сертификации, убедитесь, что они находятся в сети и отвечают на запросы на регистрацию.
Не удается войти в систему с помощью смарт-карты в филиале с контроллером домена только для чтения (RODC)
Эта проблема связана с тем, как корневой контроллер домена и RDOC управляют шифрованием учетных данных пользователей. Корневой контроллер домена использует ключ шифрования, чтобы зашифровать учетные данные, а RODC предоставляет ключ расшифровки клиенту. Если пользователь получает ошибку "Недопустимо", значит два ключа не совпадают.
Чтобы решить эту проблему, выполните одно из указанных ниже действий:
- измените топологию контроллера домена, отключив кэширование паролей на RODC, или разверните на сайте филиала контроллер домена с доступом на запись;
- переместите сервер RDSH в тот же дочерний домен, где находятся пользователи;
- разрешите пользователям выполнять вход без смарт-карты.
Учтите, что эти решения предполагают наличие компромисса между производительностью и уровнем безопасности.
Нет подключения к контроллеру домена
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Две возможные причины этой ошибки приведены ниже.
Компьютер пользователя не подключен к сети.
Контроллер домена недоступен через туннель инфраструктуры.
Решение
Убедитесь, что контроллер домена настроен в качестве сервера управления, выполнив следующую команду в командной строке PowerShell: Get-DAMgmtServer -Type All .
Убедитесь, что клиентский компьютер может подключиться к контроллеру домена через туннель инфраструктуры.
Проблемы с подключением к серверу DirectAccess
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Получена ошибка (журнал событий клиента)
Одна из следующих ошибок:
Не удается установить подключение к серверу < удаленного доступа DirectAccess_server_hostname >с использованием OTP_authentication_path > и OTP_authentication_port > порта < Base < . Код ошибки: < internal_error_code >.
Ответ не был получен с сервера < удаленного доступа DirectAccess_server_hostname >с использованием OTP_authentication_path > и OTP_authentication_port > порта < Base < . Код ошибки: < internal_error_code >.
Причина
Клиентский компьютер не может получить доступ к серверу DirectAccess через Интернет из-за проблем с сетью или неправильно настроенного сервера IIS на сервере DirectAccess.
Решение
Убедитесь, что подключение к Интернету на клиентском компьютере работает, и убедитесь, что служба DirectAccess запущена и доступна через Интернет.
Если удаленный компьютер заблокирован, пользователю нужно дважды ввести пароль
Эта проблема может возникать, когда пользователь пытается подключиться к удаленному рабочему столу под управлением Windows 10 версии 1709 в развертывании, где для подключений по протоколу RDP не требуется использовать NLA. Если в таком случае удаленный рабочий стол оказался заблокированным, пользователю нужно ввести свои учетные данные дважды при подключении.
Чтобы устранить эту проблему, обновите Windows 10 версии 1709 на соответствующем компьютере с использованием обновления за 30 августа 2018 г. — KB4343893 (ОС сборки 16299.637).
Ошибка "Исправление шифрования CredSSP" ссылается на набор обновлений системы безопасности, выпущенный в марте, апреле и мае 2018 г. CredSSP — это поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений. Обновление за 13 марта 2018 г., 3B и все последующие обновления подверглись эксплойту, когда злоумышленник мог передать учетные данные пользователя для выполнения кода в целевой системе.
В исходные обновления была добавлена поддержка нового объекта групповой политики "Защита от атак с использованием криптографического оракула", который может иметь следующие настройки:
- Уязвимо. Клиентские приложения, использующие CredSSP, могли переключиться на небезопасные версии, но из-за этого удаленные рабочие столы могли подвергаться атакам. Службы, использующие CredSSP, принимали клиенты, которые не были обновлены.
- Устранено. Клиентские приложения, использующие CredSSP, не могут переключиться на небезопасные версии, но службы, использующие CredSSP, принимают клиенты, которые не были обновлены.
- Принудительно обновленные клиенты. Клиентские приложения, использующие CredSSP, не могут переключиться на небезопасные версии, и службы, использующие CredSSP, не принимают клиенты без установленных обновлений.
Этот параметр не следует развертывать, пока все узлы поддержки в удаленном расположении не будут поддерживать последнюю версию.
В обновлении за 8 мая 2018 г. значение для параметра по умолчанию "Защита от атак с использованием криптографического оракула" изменилось с "Уязвимо" на "Устранено". После реализации этого изменения клиенты Удаленного рабочего стола, на которых были установлены обновления, не могут подключаться к серверам без этого обновления (или к обновленным серверам, которые еще не были перезапущены). Подробные сведения об обновлениях CredSSP см. в статье базы знаний KB4093492.
Чтобы устранить эту проблему до завершения обновления, просмотрите список допустимых типов подключений в обновлении KB4093492. Если нет других осуществимых альтернатив, можете попробовать один из следующих методов:
- На затронутых клиентских компьютерах верните для политики "Защита от атак с использованием криптографического оракула" значение Уязвимо.
- Измените следующие политики в папке групповой политики, выбрав Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность:
- для политики Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP задайте значение Включено и выберите RDP.
- для политики Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети задайте значение Отключено.
Изменение этих групповых политик делает развертывание менее защищенным. Мы рекомендуем использовать их только временно (или вообще не использовать).
Дополнительные сведения о работе с групповой политикой см. в разделе Изменение блокирующего объекта групповой политики.
Для поставщика OTP требуется запрос/ответ
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
используемый поставщик OTP требует, чтобы пользователь предоставил дополнительные учетные данные в виде обмена запросом/ответом RADIUS, который не поддерживается Windows Server 2012 OTP directaccess.
Решение
Настройте поставщик OTP, чтобы не требовать вызова или ответа в любом сценарии.
Сертификат OTP не является доверенным для входа
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Решение
Убедитесь, что сертификат корня иерархии ЦС, который выдает сертификаты OTP, установлен в хранилище сертификатов Enterprise NTAuth домена, в который пользователь пытается пройти проверку подлинности.
Не удалось создать запрос на сертификат входа OTP
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Две возможные причины этой ошибки приведены ниже.
У пользователя нет разрешения на чтение шаблона входа OTP.
Компьютер пользователя не может получить доступ к контроллеру домена из-за проблем с сетью.
Решение
Проверьте параметр разрешения в шаблоне входа OTP и убедитесь, что все пользователи, подготовленные для OTP DirectAccess, имеют разрешение "чтение".
Убедитесь, что контроллер домена настроен в качестве сервера управления и что клиентский компьютер может подключиться к контроллеру домена через туннель инфраструктуры. См. раздел 3,2. Планирование шаблона сертификата OTP.
После обновления клиентских компьютеров некоторым пользователям приходится выполнять вход дважды
Если пользователи входят на Удаленный рабочий стол с помощью компьютера под управлением Windows 7 или Windows 10 версии 1709, им сразу же отображается запрос на повторный вход. Эта проблема возникает, если на клиентском компьютере установлены следующие обновления:
Чтобы устранить эту проблему, убедитесь, что на компьютерах, к которым подключаются пользователи, (а также серверы RDSH или RDVI) установлены все обновления в том числе за июнь 2018 г. К ним относятся следующие обновления:
- Windows Server 2016: 12 июня 2018 г. — KB4284880 (сборка ОС 14393.2312);
- Windows Server 2012 R2: 12 июня 2018 г. — KB4284815 (ежемесячный накопительный пакет);
- Windows Server 2012: 12 июня 2018 г. — KB4284855 (ежемесячный накопительный пакет);
- Приложение. 12 июня 2018 г. — KB4284826 (ежемесячный накопительный пакет);
- Windows Server 2008 с пакетом обновления 2 (SP2): обновление KB4056564, Description of the security update for the CredSSP remote code execution vulnerability in Windows Server 2008, Windows Embedded POSReady 2009, and Windows Embedded Standard 2009: March 13, 2018 (Описание обновления системы безопасности для устранения уязвимости CredSSP, допускающей удаленное выполнение кода, в Windows Server 2008, Windows Embedded POSReady 2009 и Windows Embedded Standard 2009: 13 марта 2018 г.).
Пользователю не удается выполнить вход с помощью смарт-карты
В этом разделе рассматриваются три типичных сценария, когда пользователь не может войти на удаленный рабочий стол с помощью смарт-карты.
Windows не удалось проверить учетные данные пользователя
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Протокол проверки подлинности Kerberos не работает, если сертификат входа DirectAccess OTP не включает список отзыва сертификатов. Сертификат входа DirectAccess OTP не включает список отзыва сертификатов, так как:
Шаблон входа DirectAccess с методом OTP настроен с параметром не включать сведения об отзыве в выданные сертификаты.
ЦС настроен не для публикации списков отзыва сертификатов.
Решение
Чтобы проверить причину этой ошибки, в консоли управления удаленным доступом на шаге 2 сервера удаленного доступанажмите кнопку изменить, а затем в мастере установки сервера удаленного доступа щелкните шаблоны сертификатов OTP. Запишите шаблон сертификата, используемый для регистрации сертификатов, выданных для проверки подлинности OTP. Откройте консоль центра сертификации, в левой области щелкните шаблоны сертификатов, дважды щелкните сертификат входа OTP, чтобы просмотреть свойства шаблона сертификата.
Чтобы устранить эту проблему, настройте сертификат для сертификата входа OTP и не выбирайте флажок не включать сведения об отзыве в выданные сертификаты на вкладке сервер диалогового окна Свойства шаблона.
На сервере ЦС откройте MMC центра сертификации, щелкните правой кнопкой мыши выдающий ЦС и выберите пункт Свойства. На вкладке расширения убедитесь, что публикация списков отзыва сертификатов настроена правильно.
В этой статье предоставляется решение нескольких проблем с ошибками проверки подлинности, в которых серверы NTLM и Kerberos не могут проверить подлинность Windows 7 и Windows R2 на основе серверов Server 2008. Это вызвано различиями в способе обработки маркеров привязки канала.
Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 976918Неправильно настроенный адрес сервера DirectAccess
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Неверно настроен адрес сервера DirectAccess.
Решение
Проверьте настроенный адрес сервера DirectAccess с помощью Get-DirectAccess и исправьте адрес, если он неправильно настроен.
Убедитесь, что на клиентском компьютере развернуты последние параметры, выполнив gpupdate /force команду из командной строки с повышенными привилегиями или перезапустите клиентский компьютер.
Отказано в доступе (удаленный вызов к базе данных SAM отклонен)
Такое поведение обычно возникает, если контроллеры домена работают под управлением Windows Server 2016 или более поздней версии, а пользователи пытаются подключиться с помощью настраиваемого приложения для подключения. В частности, отказ в доступе получат приложения, которым требуется доступ к сведениям профиля пользователя в Active Directory.
Такое поведение обусловлено изменением в Windows. В Windows Server 2012 R2 и более ранних версиях, когда пользователь выполняет вход на удаленный рабочий стол, диспетчер удаленных подключений (RCM) обращается к контроллеру домена (DC), чтобы запросить конфигурацию, относящуюся к удаленному рабочему столу, в объекте пользователя в доменных службах Active Directory (AD DS). Эта информация отображается на вкладке "Профиль служб удаленных рабочих столов" в окне свойств объекта пользователя в оснастке MMC "Пользователи и компьютеры Active Directory".
Начиная с Windows Server 2016 RCM больше не запрашивает объект пользователя в AD DS. Если требуется, чтобы RCM обращался к AD DS из-за того, что вы используете атрибуты служб удаленных рабочих столов, вам нужно вручную разрешить отправку запросов.
Внимательно выполните действия, описанные в этом разделе. Неправильное изменение реестра может привести к серьезным проблемам. Перед внесением изменений создайте резервную копию реестра для его восстановления в случае возникновения проблем.
Чтобы разрешить прежнее поведение RCM на сервере узла сеансов удаленных рабочих столов, настройте следующие записи реестра и перезапустите службу Службы удаленных рабочих столов:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ Winstation name>\
- Имя: fQueryUserConfigFromDC.
- Тип: Reg_DWORD
- Значение: 1 (десятичное число).
Чтобы разрешить устаревшее поведение RCM на сервере, отличающемся от сервера RDSH, настройте эти записи реестра и следующую дополнительную запись (затем перезапустите службу).
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
Дополнительные сведения об этом поведении см. в статье базы знаний № 3200967 Changes to Remote Connection Manager in Windows Server (Внесение изменений в диспетчер удаленных подключений в Windows Server).
Решение
При сбоях, Windows серверов NTLM или Kerberos при получении CBT проверьте у поставщика версию, которая правильно обрабатывает CBT.
При сбоях, Windows NTLM-серверов или прокси-серверов требуется LMv2, обратитесь к поставщику за версией, которая поддерживает NTLMv2.
Что такое CBT (маркер привязки канала)?
Маркер привязки канала (CBT) является частью расширенной защиты для проверки подлинности. CBT — это механизм привязки внешнего защищенного канала TLS к внутренней проверке подлинности канала, например Kerberos или NTLM.
CBT — это свойство внешнего безопасного канала, используемого для привязки проверки подлинности к каналу.
Расширенная защита выполняется клиентом, который сообщает с помощью SPN и CBT на сервере с помощью защиты от взлома. Сервер проверяет расширенные сведения о защите в соответствии со своей политикой и отклоняет попытки проверки подлинности, для которых он не считает себя целевой целью. Таким образом, два канала становятся криптографически связаны друг с другом.
Расширенная защита теперь поддерживается в Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008.
Изменение членства пользователя в группах или назначенных ему прав
Если эта проблема затрагивает одного пользователя, наиболее простым решением будет добавить этого пользователя в группу Пользователи удаленного рабочего стола.
Если пользователь уже является членом этой группы (или если проблема возникает у нескольких членов группы), проверьте конфигурацию прав пользователей на удаленном компьютере Windows 10 или Windows Server 2016.
- Откройте редактор объектов групповой политики (GPE) и подключитесь к локальной политике удаленного компьютера.
- Выберите Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя, щелкните правой кнопкой мыши элемент Доступ к компьютеру из сети и выберите Свойства.
- Просмотрите список пользователей и групп для группы Пользователи удаленного рабочего стола (или родительской группы).
- Если список не включает группу Пользователи удаленного рабочего стола или родительскую группу, например Все, добавьте их. Если развертывание включает больше одного компьютера, используйте объект групповой политики.
Например, членством по умолчанию для политики Доступ к компьютеру из сети будет Все. Если в развертывании используется объект групповой политики для удаления Все, может потребоваться восстановить доступ, обновив объект групповой политики, чтобы добавить группу Пользователи удаленного рабочего стола.
Отказано в доступе (ограничение по типу входа в систему)
Подключение к удаленному рабочему столу
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.Эта проблема возникает, если для подключения к удаленному рабочему столу требуется пройти проверку подлинности на уровне сети (NLA), но пользователь не является членом группы Пользователи удаленного рабочего стола. Она также может возникать, если группе Пользователи удаленного рабочего стола не назначено право пользователя Доступ к компьютеру из сети.
Чтобы решить эту проблему, выполните одно из указанных ниже действий.
-
.
- Отключите NLA (не рекомендуется).
- Используйте клиенты удаленного рабочего стола, отличающиеся от Windows 10. Например, в клиентах Windows 7 нет такой проблемы.
Пользователям запрещается доступ к развертыванию, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу
Эта проблема возникает в развертываниях с высоким уровнем доступности, в которых используются не менее двух брокеров подключений к удаленному рабочему столу и Remote Credential Guard в Защитнике Windows. Пользователям не удается войти на удаленные рабочие столы.
Эта проблема связана с тем, что Remote Credential Guard использует Kerberos для проверки подлинности, а также запрещает использовать NTLM. Но в конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.
Если нужно использовать конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеров подключений к удаленному рабочему столу, эту проблему можно устранить, отключив Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. в статье Protect Remote Desktop credentials with Windows Defender Remote Credential Guard (Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows).
В этом разделе содержатся сведения об устранении неполадок, связанных с проблемами, которые могут возникнуть у пользователей при попытке подключения к DirectAccess с помощью проверки подлинности OTP. события директакцерсс, связанные с OTP, регистрируются на клиентском компьютере в Просмотр событий в разделе журналы приложений и служб/Microsoft/Windows/отпкредентиалпровидер. Убедитесь, что этот журнал включен при устранении проблем с OTP DirectAccess.
Использован неправильный шаблон входа OTP
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Шаблон входа DirectAccess с методом OTP был заменен, и клиентский компьютер пытается пройти проверку подлинности с помощью старого шаблона.
Решение
Убедитесь, что клиентский компьютер использует последнюю конфигурацию OTP, выполнив одно из следующих действий.
Выполните принудительное обновление групповая политика, выполнив следующую команду в командной строке с повышенными привилегиями: gpupdate /Force .
Перезапустите клиентский компьютер.
Пользователь не может войти на компьютер с Windows Server 2008 с пакетом обновления 2 (SP2) с помощью смарт-карты
Чтобы устранить эту проблему, обновите на компьютере ОС Windows Server до повторного выпуска 2018.06 B (обновление KB4093227). См. статью Description of the security update for the Windows Remote Desktop Protocol (RDP) denial of service vulnerability in Windows Server 2008: April 10, 2018 (Описание обновления системы безопасности для защиты протокола RDP в Windows от уязвимости службы в Windows Server 2008 (10 апреля 2018 г.).
Причина
Windows 7 и Windows 2008 R2 поддерживают расширенную защиту для комплексной проверки подлинности. Эта функция повышает защиту и обработку учетных данных при проверке подлинности сетевых подключений с помощью интегрированной Windows проверки подлинности (IWA).
Кроме того, Windows 7 и Windows 2008 R2 отключать LMv2.
Отсутствует или имеет неверный UPN/DN для пользователя
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Получена ошибка (журнал событий клиента)
Одна из следующих ошибок:
Получена ошибка (журнал событий сервера)
Имя <> пользователя, указанное для проверки подлинности OTP, не существует.
Причина
Пользователь не имеет правильно заданных атрибутов имени участника-пользователя (UPN) или различающегося имени (DN) в учетной записи пользователя. Эти свойства необходимы для правильной работы OTP DirectAccess.
Решение
Используйте консоль Active Directory пользователи и компьютеры на контроллере домена, чтобы убедиться, что оба этих атрибута правильно установлены для пользователя, выполняющего проверку подлинности.
Симптомы
Windows 7 и Windows 2008 R2 поддерживают расширенную защиту для комплексной проверки подлинности, которая по умолчанию включает поддержку маркера привязки канала (CBT).
Вы можете испытывать один или несколько следующих симптомов:
- Windows клиенты, поддерживают привязку канала, не могут быть аутентификацией с помощью сервера Kerberos Windows не Windows каналов.
- Сбои проверки подлинности NTLM с прокси-серверов.
- Сбои проверки подлинности NTLM с Windows серверов NTLM.
- Сбои проверки подлинности NTLM при разнице во времени между клиентом и сервером dc или workgroup.
Не удалось получить доступ к центру сертификации, который выдает сертификаты OTP
Сценарий. Пользователю не удается проверить подлинность с помощью OTP с ошибкой: "сбой проверки подлинности из-за внутренней ошибки"
Причина
Пользователь предоставил действительный одноразовый пароль и сервер DirectAccess подписан запрос на сертификат; Однако клиентский компьютер не может связаться с центром сертификации, который выдает сертификаты OTP, чтобы завершить процесс регистрации.
Решение
на сервере directaccess выполните следующие Windows PowerShell команды:
Получите список настроенных центров сертификации для выдачи OTP и проверьте значение "Касервер": Get-DAOtpAuthentication
Убедитесь, что центры сертификации настроены как серверы управления: Get-DAMgmtServer -Type All
убедитесь, что клиентский компьютер установил туннель инфраструктуры: в консоли Windows брандмауэр в режиме повышенной безопасности разверните узел мониторинг и безопасность, щелкните основной режими убедитесь, что сопоставления безопасности IPsec отображаются с правильными удаленными адресами для конфигурации directaccess.
Не удается оставаться в системе, вход в которую выполнен с помощью смарт-карты, и служба удаленных рабочих столов зависает
Чтобы устранить эту проблему, перезапустите удаленный компьютер.
Чтобы устранить эту проблему, обновите систему на удаленном компьютере, установив соответствующее исправление:
Читайте также: