Подключение запрещено удаленным компьютером
В этой статье описаны некоторые причины проблем с аутентификацией пользователей.
Отказано в доступе (удаленный вызов к базе данных SAM отклонен)
Такое поведение обычно возникает, если контроллеры домена работают под управлением Windows Server 2016 или более поздней версии, а пользователи пытаются подключиться с помощью настраиваемого приложения для подключения. В частности, отказ в доступе получат приложения, которым требуется доступ к сведениям профиля пользователя в Active Directory.
Такое поведение обусловлено изменением в Windows. В Windows Server 2012 R2 и более ранних версиях, когда пользователь выполняет вход на удаленный рабочий стол, диспетчер удаленных подключений (RCM) обращается к контроллеру домена (DC), чтобы запросить конфигурацию, относящуюся к удаленному рабочему столу, в объекте пользователя в доменных службах Active Directory (AD DS). Эта информация отображается на вкладке "Профиль служб удаленных рабочих столов" в окне свойств объекта пользователя в оснастке MMC "Пользователи и компьютеры Active Directory".
Начиная с Windows Server 2016 RCM больше не запрашивает объект пользователя в AD DS. Если требуется, чтобы RCM обращался к AD DS из-за того, что вы используете атрибуты служб удаленных рабочих столов, вам нужно вручную разрешить отправку запросов.
Внимательно выполните действия, описанные в этом разделе. Неправильное изменение реестра может привести к серьезным проблемам. Перед внесением изменений создайте резервную копию реестра для его восстановления в случае возникновения проблем.
Чтобы разрешить прежнее поведение RCM на сервере узла сеансов удаленных рабочих столов, настройте следующие записи реестра и перезапустите службу Службы удаленных рабочих столов:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ Winstation name>\
- Имя: fQueryUserConfigFromDC.
- Тип: Reg_DWORD
- Значение: 1 (десятичное число).
Чтобы разрешить устаревшее поведение RCM на сервере, отличающемся от сервера RDSH, настройте эти записи реестра и следующую дополнительную запись (затем перезапустите службу).
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
Дополнительные сведения об этом поведении см. в статье базы знаний № 3200967 Changes to Remote Connection Manager in Windows Server (Внесение изменений в диспетчер удаленных подключений в Windows Server).
Первые действия
В первую очередь перезагружаем компьютер, роутер или модем (если они у вас есть). Пока делаем перезагрузку можно проверить состояние баланса лицевого счета. Многие провайдеры таким образом отключают интернет за неуплату. Можно попробовать сбросить IP параметры, которые вбиты в систему – открываем «Командную строку» с правами администратора.
СОВЕТ! Проще всего найти консоль, через поиск.
После этого вводим поочередно две команды:
ipconfig /release
ipconfig /renewЕсли ошибка 619 остается, а вам все равно не удается подключиться к удаленному компьютеру провайдера, то идем дальше.
Первые действия
В первую очередь полностью перезагрузите компьютер. Возможно проблема лежит из-за зависания какого-то компонента система. Аналогично перезагрузите и роутер, к которому вы подключены (если он есть) – для этого нажимаем два раза на кнопку «Включения/Отключения» (On/Off). Если её нет, то можете просто выдернуть его из розетки и вставить обратно.
СОВЕТ! Лучше всего его выключить и немного подождать, а уже потом включить.
Если эта манипуляция не поможет, то переподключите кабель, который идет к компьютеру (вытащите и вставьте его обратно). Тоже самое сделайте и для интернет-провода, который идет из подъезда. Если вы не используете роутер, то сделайте это на компьютере.
В редких случаях помогает «Диагностика неполадок» – чтобы запустить её, щелкните правой кнопкой мыши по вашему подключению и выберите этот пункт.
Посмотрите на индикаторы роутера. Должен обязательно гореть:
- Индикатор питания.
- Интернет – имеет значок планетки или маленького Сатурна.
- Номер того LAN порта, к которому вы подключены.
- Wi-Fi – если вы используете его.
Также на компьютере, и на некоторых ноутбуках при подключении к LAN порту мигает или загорается лампочка.
Это простая диагностика может вам показать, где именно идет проблема. Если не горит «Интернет» индикатора на роутере или на сетевой карте при прямом подключении к компьютеру, то проблема кроется у провайдера. Звоним ему.
Если же интернет кабель горит нормально, но при подключении по проводу на компьютере ничего не горит, то проблема может быть с проводом. Поплотнее подключите его в компьютер. Как вариант, мог выйти из строя какой-то порт на маршрутизаторе – просто переподключите компьютеру в другой порт.
Подключите к роутеру телефон и проверьте, есть ли интернет там. Если его нет, то точно – проблема и поломка у провайдера, звоним ему. Если же на планшете или смартфоне интернет есть, то идем дальше.
После обновления клиентских компьютеров некоторым пользователям приходится выполнять вход дважды
Если пользователи входят на Удаленный рабочий стол с помощью компьютера под управлением Windows 7 или Windows 10 версии 1709, им сразу же отображается запрос на повторный вход. Эта проблема возникает, если на клиентском компьютере установлены следующие обновления:
Чтобы устранить эту проблему, убедитесь, что на компьютерах, к которым подключаются пользователи, (а также серверы RDSH или RDVI) установлены все обновления в том числе за июнь 2018 г. К ним относятся следующие обновления:
- Windows Server 2016: 12 июня 2018 г. — KB4284880 (сборка ОС 14393.2312);
- Windows Server 2012 R2: 12 июня 2018 г. — KB4284815 (ежемесячный накопительный пакет);
- Windows Server 2012: 12 июня 2018 г. — KB4284855 (ежемесячный накопительный пакет);
- Приложение. 12 июня 2018 г. — KB4284826 (ежемесячный накопительный пакет);
- Windows Server 2008 с пакетом обновления 2 (SP2): обновление KB4056564, Description of the security update for the CredSSP remote code execution vulnerability in Windows Server 2008, Windows Embedded POSReady 2009, and Windows Embedded Standard 2009: March 13, 2018 (Описание обновления системы безопасности для устранения уязвимости CredSSP, допускающей удаленное выполнение кода, в Windows Server 2008, Windows Embedded POSReady 2009 и Windows Embedded Standard 2009: 13 марта 2018 г.).
Способ 4: Очистка системы
Скачайте программу CCleaner . Нам достаточно будет бесплатной FREE‑версии. После установки закрываем все программы и запускаем нашу утилиту.
- Переходим в «Стандартную очистку» и производим «Анализ», а потом, когда процедура закончится, нажимаем «Очистка».
- Нажмите правой кнопкой мышки по кнопке «Пуск» и запустите «Диспетчер задач».
- На Виндовс 7 «Автозагрузка» находится в другом месте. Нажимаем на наши клавиши «Win» и «R» и прописываем команду:
- Переходим на вкладку «Автозагрузка» – это все программы, которые запускаются вместе с системой. В 99% случаев они не нужны, поэтому кликаем ПКМ и отключаем все утилиты кроме вашего антивируса (если он у вас есть) и драйвера звуковой карты «Realtek Audio».
Пользователю не удается выполнить вход с помощью смарт-карты
В этом разделе рассматриваются три типичных сценария, когда пользователь не может войти на удаленный рабочий стол с помощью смарт-карты.
Проверка состояния прослушивателя RDP
Для выполнения этой процедуры используйте экземпляр PowerShell с разрешениями администратора. На локальном компьютере также можно использовать командную строку с разрешениями администратора. Но для этой процедуры используется PowerShell, так как одни и те же командлеты выполняются локально и удаленно.
Чтобы подключиться к удаленному компьютеру, выполните следующий командлет:
Введите qwinsta.
Если в списке содержится rdp-tcp с состоянием Listen, прослушиватель протокола удаленного рабочего стола работает. Перейдите к разделу Проверка порта прослушивателя протокола RDP. В противном случае перейдите к шагу 4.
Экспортируйте конфигурацию прослушивателя RDP с рабочего компьютера.
- Войдите на компьютер с той же версией операционной системы, что и у затронутого компьютера, и получите доступ к реестру компьютера (например, с помощью редактора реестра).
- Перейдите к следующей записи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - Экспортируйте запись в REG-файл. Например, в редакторе реестра щелкните запись правой кнопкой мыши, выберите пункт Экспортировать, а затем введите имя файла для экспортируемых параметров.
- Скопируйте экспортированный REG-файл на затронутый компьютер.
Чтобы импортировать конфигурацию прослушивателя протокола RDP, откройте окно PowerShell с разрешениями администратора на затронутом компьютере (или откройте окно PowerShell и подключитесь к этому компьютеру из удаленного расположения).
Чтобы создать резервную копию для существующей записи реестра, воспользуйтесь таким командлетом:
Чтобы удалить резервную копию для существующей записи реестра, воспользуйтесь таким командлетом:
Чтобы импортировать новую запись реестра и перезапустить службу, воспользуйтесь такими командлетами:
Здесь — имя экспортированного REG-файла.
Проверьте конфигурацию, попытавшись еще раз подключиться к удаленному рабочему столу. Если подключиться все равно не удается, перезагрузите затронутый компьютер.
Изменение членства пользователя в группах или назначенных ему прав
Если эта проблема затрагивает одного пользователя, наиболее простым решением будет добавить этого пользователя в группу Пользователи удаленного рабочего стола.
Если пользователь уже является членом этой группы (или если проблема возникает у нескольких членов группы), проверьте конфигурацию прав пользователей на удаленном компьютере Windows 10 или Windows Server 2016.
- Откройте редактор объектов групповой политики (GPE) и подключитесь к локальной политике удаленного компьютера.
- Выберите Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя, щелкните правой кнопкой мыши элемент Доступ к компьютеру из сети и выберите Свойства.
- Просмотрите список пользователей и групп для группы Пользователи удаленного рабочего стола (или родительской группы).
- Если список не включает группу Пользователи удаленного рабочего стола или родительскую группу, например Все, добавьте их. Если развертывание включает больше одного компьютера, используйте объект групповой политики.
Например, членством по умолчанию для политики Доступ к компьютеру из сети будет Все. Если в развертывании используется объект групповой политики для удаления Все, может потребоваться восстановить доступ, обновив объект групповой политики, чтобы добавить группу Пользователи удаленного рабочего стола.
Проверка того, что другое приложение не пытается использовать тот же порт
Для выполнения этой процедуры используйте экземпляр PowerShell с разрешениями администратора. На локальном компьютере также можно использовать командную строку с разрешениями администратора. Но для этой процедуры используется PowerShell, так как одни и те же командлеты выполняются локально и удаленно.
Откройте окно PowerShell. Чтобы подключиться к удаленному компьютеру, введите Enter-PSSession -ComputerName .
Введите следующую команду:
Найдите запись для TCP-порта 3389 (или назначенного RDP-порта) с состоянием Ожидает вызова.
Идентификатор процесса службы или процесса, использующих этот порт, отобразится в столбце "Идентификатор процесса".
Чтобы определить, какое приложение использует порт 3389 (или назначенный порт протокола RDP), введите следующую команду:
Найдите запись для номера процесса, связанного с портом (в выходных данных netstat). Службы или процессы, связанные с этим идентификатором процесса, отобразятся в столбце справа.
Если порт используется приложением или службой, отличающейся от служб удаленных рабочих столов (TermServ.exe), устранить конфликт можно с помощью одного из следующих методов:
- В настройках такого приложения или службы укажите другой порт (рекомендуется).
- Удалите другое приложение или службу.
- В настройках протокола RDP укажите другой порт, а затем перезапустите службы удаленных рабочих столов (не рекомендуется).
У меня 3G/4G/5G модем
Такая ошибка возникает в трех случаях. Первый – вы забыли пополнить баланс и истек ваш подключенный пакет. Второй – вы неправильно ввели данные для авторизации, проверьте логин и пароль.
Третий – ваш модем не определился в системе, то есть не установились драйвера.
В первую очередь попробуйте перезагрузить компьютер. Также я советую перезапустить модем и/или роутер – для этого достаточно выдернуть его из розетки, а потом включить снова. Если вы используете какие-то VPN программы, то отключите их. Если это не помогает, то читаем мои варианты решения ниже. Инструкции подходят для ОС Windows 7, 8 и 10.
Проверка блокировки порта протокола RDP брандмауэром
С помощью средства psping проверьте, доступен ли затронутый компьютер через порт 3389.
Откройте окно командной строки с правами администратора, перейдите в каталог, где установлено средство psping, и введите следующую команду:
Проверьте выходные данные команды psping на наличие таких результатов:
- Connecting to (Подключение к ): удаленный компьютер доступен.
- (0% loss) (0 % потерь): все попытки подключения выполнены успешно.
- The remote computer refused the network connection (Удаленный компьютер отклонил сетевое подключение): удаленный компьютер недоступен.
- (100% loss) (100 % потерь): не удалось выполнить подключение.
Запустите psping на нескольких компьютерах, чтобы проверить возможность подключения к затронутому компьютеру.
Проверьте, блокирует ли этот компьютер подключения от всех остальных компьютеров, некоторых других компьютеров или только одного компьютера.
Проверка состояния служб RDP
На локальном компьютере (клиентском) и удаленном компьютере (целевом) должны быть запущены следующие службы:
- службы удаленных рабочих столов (TermService);
- перенаправитель портов пользовательского режима служб удаленного рабочего стола (UmRdpService).
Для локального или удаленного управления службами можно использовать оснастку MMC. Вы также можете использовать PowerShell для управления службами в локальном или удаленном расположении (если удаленный компьютер настроен для приема удаленных командлетов PowerShell).
На любом компьютере запустите одну или обе службы, если они запущены.
Если вы запускаете службу удаленных рабочих столов, нажмите кнопку Да, чтобы служба перенаправителя портов пользовательского режима служб удаленного рабочего стола перезапустилась автоматически.
VPN (PPTP, L2TP)
Кликните правой кнопкой по подключению и зайдите в «Свойства». Далее на вкладке «Безопасность» в строке «Шифрование данных» устанавливаем значение «Необязательное (Подключаться даже без шифрования)».
В более старых версиях «окон» нужно убрать галочку «Требуется шифрование данных».
Проверка состояния прослушивателя протокола RDP
В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.
PPPoE
Чаще всего ошибка возникает после 691, когда несколько раз неправильно ввели пароль. После этого сервер начинает вас блокировать, и вы видите сбой подключения. Сначала вам нужно проверить введенный пароль.
Нажимаем ЛКМ по значку интернета в трее, выбираем наше подключение и кликаем по кнопке.
Проверьте логин и пароль, который вы ввели – эти данные находятся в договоре.
- Кликаем ЛКМ по коннекту, и далее выбираем нужное подключение.
- Проверяем имя пользователя и ключ и сохраняем параметры.
Проверка подключения
Нам нужно определить, какой тип подключения вы используете.
- Для этого переходим в «Панель управления» – данный пункт находится сразу в «Пуск» в Windows 7 и XP. В Виндовс 10 панель можно найти через поиск.
- Перейдите в «Центр управления сетями и общим доступом».
- Теперь слева нажимаем «Изменение параметров адаптера».
- Посмотрите какой тип подключения стоит у вас после «WAN Miniport».
Проверка состояния протокола RDP на удаленном компьютере
В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.
Чтобы проверить и изменить состояние протокола удаленного рабочего стола на удаленном компьютере, используйте подключение сетевого реестра:
- Сначала откройте меню Пуск и выберите Выполнить. В появившемся текстовом поле введите regedt32.
- В редакторе реестра нажмите Файл и выберите пункт Подключить сетевой реестр.
- В диалоговом окне Выбор: "Компьютер" введите имя удаленного компьютера, выберите Проверить имена и нажмите кнопку ОК.
- Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server и HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
- Если раздел fDenyTSConnections имеет значение 0, значит протокол RDP включен.
- Если раздел fDenyTSConnections имеет значение 1, значит протокол RDP отключен.
- Чтобы включить протокол RDP, для fDenyTSConnections замените значение 1 на 0.
Проверка состояния протокола RDP
Проверка состояния протокола RDP на локальном компьютере
Сведения о том, как проверить и изменить состояние протокола RDP на локальном компьютере, см. в разделе How to enable Remote Desktop (Как включить удаленный рабочий стол).
Изменение блокирующего объекта групповой политики
Эти параметры можно изменить в редакторе объектов групповой политики (GPE) и консоли управления групповыми политиками (GPM). Дополнительные сведения об использовании групповой политики см. в статье Advanced Group Policy Management (Расширенное управление групповыми политиками).
Чтобы изменить блокирующую политику, используйте один из следующих методов.
- В GPE укажите определенный уровень для объекта групповой политики (локальный или доменный) и выберите Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Службы удаленных рабочих столов>Узел сеансов удаленных рабочих столов>Подключения>Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов.
- Задайте для политики значение Включена или Не задана.
- На затронутых компьютерах откройте окно командной строки с правами администратора и выполните команду gpupdate /force.
- В GPM перейдите к подразделению, в котором блокирующая политика применяется к соответствующим компьютерам, и удалите эту политику.
Способ 1: Сброс настроек стандартного браузера
- Запускаем «Панель управления» – проще всего её найти через поиск Виндовс. В семерке просто нажимаем на «Пуск».
- Установите «Просмотр» в режим «Крупные» или «Мелкие значки» и откройте раздел «Свойства браузера».
- Открываем вкладку «Дополнительно» и кликаем по самой нижней кнопке сброса. Далее устанавливаем галочку и опять нажимаем по «Сбросу».
Отказано в доступе (ограничение по типу входа в систему)
Подключение к удаленному рабочему столу
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.Эта проблема возникает, если для подключения к удаленному рабочему столу требуется пройти проверку подлинности на уровне сети (NLA), но пользователь не является членом группы Пользователи удаленного рабочего стола. Она также может возникать, если группе Пользователи удаленного рабочего стола не назначено право пользователя Доступ к компьютеру из сети.
Чтобы решить эту проблему, выполните одно из указанных ниже действий.
-
.
- Отключите NLA (не рекомендуется).
- Используйте клиенты удаленного рабочего стола, отличающиеся от Windows 10. Например, в клиентах Windows 7 нет такой проблемы.
Последние действия
Возможно каким-то образом система поломалась так, что самостоятельно её можно восстановить, только с помощью отката.
- Откройте «Панель управления». В семерке достаточно открыть меню «Пуск». В Десятке можно запустить её с помощью поиска или клавиш + R и команды «control».
- Выбираем пункт «Запуск восстановления системы».
- Если вам будет предложена точка восстановления, то выберите второй пункт, чтобы выбрать её вручную.
- Выберите самую раннюю точку по дате и времени.
После запуска система один раз перезагрузится, а настройки системы должны восстановиться. Если это не помогло, а сбой подключения с ошибкой 629 все также появляется, то скорее всего есть проблемы со стороны провайдера, так что звоним ему. Если же на смартфоне интернет есть, при подключении к роутеру, то возьмите интернет-кабель, воткните провод напрямую в комп и создайте PPPoE подключение.
Проверка состояния самозаверяющего сертификата протокола RDP
- Если подключиться так и не удалось, откройте оснастку MMC "Сертификаты". Когда будет предложено выбрать хранилище сертификатов для управления, выберите Учетная запись компьютера и затронутый компьютер.
- В папке Сертификаты в разделе Удаленный рабочий стол удалите самозаверяющий сертификат протокола RDP.
- На затронутом компьютере выполните следующие действия, чтобы перезапустить службу удаленных рабочих столов.
- Обновите оснастку диспетчера сертификатов.
- Если самозаверяющий сертификат протокола RDP не был создан повторно, проверьте разрешения для папки MachineKeys.
Проверка разрешений для папки MachineKeys
- На затронутом компьютере откройте проводник и перейдите к папке C:\ProgramData\Microsoft\Crypto\RSA\.
- Щелкните правой кнопкой мыши папку MachineKeys, а затем выберите Свойства, Безопасность и Дополнительно.
- Убедитесь, что настроены следующие разрешения:
- Builtin\Administrators: полный контроль
- Все: чтение и запись.
Не удается оставаться в системе, вход в которую выполнен с помощью смарт-карты, и служба удаленных рабочих столов зависает
Чтобы устранить эту проблему, перезапустите удаленный компьютер.
Чтобы устранить эту проблему, обновите систему на удаленном компьютере, установив соответствующее исправление:
Способ 3: перезапуск DHCP и DNS служб
- Чтобы попасть в службы, нужно нажать одновременно на клавиши (может иметь значок Windows) и английскую клавишу R . Далее вы увидите окошко «Выполнить», где нужно вписать и запустить команду:
- Нажмите правой кнопкой мыши по DHCP и DNS-клиенту и выберите «Перезапустить».
- Также я бы проверил, чтобы эти службы запускались автоматически, для этого кликаем двойным щелчком ЛКМ и проверяем, чтобы стоял «Тип запуска» – «Автоматически».
Манипуляции с системой
Вспомните, не устанавливали ли вы ранее какие-то программы, которые в теории могут мешать подключению. Возможно вы используете какие-то VPN приложения, или утилиты, которые устанавливают виртуальные сети. Если это так, то полностью выключите их в трее.
Если вы используете прямое подключение по PPPoE (как у Ростелеком), то попробуйте его снова пересоздать.
Держите при себе договор или лист с настройками от провайдера.
- Нажмите правой кнопкой по вашему подключению и зайдите в «Центр управления сетями и общим доступом».
- Чтобы туда попасть на Windows 10 нужно сделать тоже самое, только в первую очередь «Открыть параметры сети и Интернета»
- Далее в параметрах в разделе «Ethernet» перейти открыть нужный нам пункт.
- Сначала нам нужно зайти в раздел «Изменения параметров адаптера» и удалить наше PPPoE подключение.
- Правой кнопкой кликаем на PPPoE подключение и выбираем кнопку «Удалить».
- Возвращаемся обратно и нажимаем по кнопке «Создание и настройка нового подключения или сети».
- Вводим данные с договора от провайдера. Внимательно вписываем логин и пароль. Лучше установите галочку «Отображать вводимые знаки», чтобы вы видели, какой пароль вы вводите. «Имя подключения» можно вписать любое. Обязательно установите галочку в самом низу и нажмите «Подключить».
Откройте «Автозагрузку», для этого на Windows 10 – кликните ПКМ по кнопке «Пуск» и далее откройте «Диспетчер задач».
На Windows 7 кликаем по кнопке «Win» и «R».
В открывшемся окне «Выполнить» вписываем команду:
На вкладке «Автозагрузка» отключите все кроме драйвера звуковой карты «Realtek» и вашего антивируса. После этого перезагружаем комп.
У десятки кликаем «Пуск» – «Параметры» – «Обновление и безопасность».
«Устранение неполадок» – кликаем по ссылке «Дополнительные средства устранения неполадок».
Выбираем пункт «Подключения к Интернету». Далее просто читаем, что вам предлагает система и отвечаем на вопросы.
Если удаленный компьютер заблокирован, пользователю нужно дважды ввести пароль
Эта проблема может возникать, когда пользователь пытается подключиться к удаленному рабочему столу под управлением Windows 10 версии 1709 в развертывании, где для подключений по протоколу RDP не требуется использовать NLA. Если в таком случае удаленный рабочий стол оказался заблокированным, пользователю нужно ввести свои учетные данные дважды при подключении.
Чтобы устранить эту проблему, обновите Windows 10 версии 1709 на соответствующем компьютере с использованием обновления за 30 августа 2018 г. — KB4343893 (ОС сборки 16299.637).
Ошибка "Исправление шифрования CredSSP" ссылается на набор обновлений системы безопасности, выпущенный в марте, апреле и мае 2018 г. CredSSP — это поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений. Обновление за 13 марта 2018 г., 3B и все последующие обновления подверглись эксплойту, когда злоумышленник мог передать учетные данные пользователя для выполнения кода в целевой системе.
В исходные обновления была добавлена поддержка нового объекта групповой политики "Защита от атак с использованием криптографического оракула", который может иметь следующие настройки:
- Уязвимо. Клиентские приложения, использующие CredSSP, могли переключиться на небезопасные версии, но из-за этого удаленные рабочие столы могли подвергаться атакам. Службы, использующие CredSSP, принимали клиенты, которые не были обновлены.
- Устранено. Клиентские приложения, использующие CredSSP, не могут переключиться на небезопасные версии, но службы, использующие CredSSP, принимают клиенты, которые не были обновлены.
- Принудительно обновленные клиенты. Клиентские приложения, использующие CredSSP, не могут переключиться на небезопасные версии, и службы, использующие CredSSP, не принимают клиенты без установленных обновлений.
Этот параметр не следует развертывать, пока все узлы поддержки в удаленном расположении не будут поддерживать последнюю версию.
В обновлении за 8 мая 2018 г. значение для параметра по умолчанию "Защита от атак с использованием криптографического оракула" изменилось с "Уязвимо" на "Устранено". После реализации этого изменения клиенты Удаленного рабочего стола, на которых были установлены обновления, не могут подключаться к серверам без этого обновления (или к обновленным серверам, которые еще не были перезапущены). Подробные сведения об обновлениях CredSSP см. в статье базы знаний KB4093492.
Чтобы устранить эту проблему до завершения обновления, просмотрите список допустимых типов подключений в обновлении KB4093492. Если нет других осуществимых альтернатив, можете попробовать один из следующих методов:
- На затронутых клиентских компьютерах верните для политики "Защита от атак с использованием криптографического оракула" значение Уязвимо.
- Измените следующие политики в папке групповой политики, выбрав Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность:
- для политики Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP задайте значение Включено и выберите RDP.
- для политики Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети задайте значение Отключено.
Изменение этих групповых политик делает развертывание менее защищенным. Мы рекомендуем использовать их только временно (или вообще не использовать).
Дополнительные сведения о работе с групповой политикой см. в разделе Изменение блокирующего объекта групповой политики.
Проверка блокировки объектом групповой политики протокола RDP на удаленном компьютере
Чтобы проверить конфигурацию групповой политики на удаленном компьютере, нужно выполнить почти такую же команду, что и для локального компьютера.
В файле (gpresult-.html), который создается после выполнения этой команды, используется такой же формат данных, как в версии файла для локального компьютера (gpresult.html).
Пользователь не может войти на компьютер с Windows Server 2008 с пакетом обновления 2 (SP2) с помощью смарт-карты
Чтобы устранить эту проблему, обновите на компьютере ОС Windows Server до повторного выпуска 2018.06 B (обновление KB4093227). См. статью Description of the security update for the Windows Remote Desktop Protocol (RDP) denial of service vulnerability in Windows Server 2008: April 10, 2018 (Описание обновления системы безопасности для защиты протокола RDP в Windows от уязвимости службы в Windows Server 2008 (10 апреля 2018 г.).
Пользователям запрещается доступ к развертыванию, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу
Эта проблема возникает в развертываниях с высоким уровнем доступности, в которых используются не менее двух брокеров подключений к удаленному рабочему столу и Remote Credential Guard в Защитнике Windows. Пользователям не удается войти на удаленные рабочие столы.
Эта проблема связана с тем, что Remote Credential Guard использует Kerberos для проверки подлинности, а также запрещает использовать NTLM. Но в конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.
Если нужно использовать конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеров подключений к удаленному рабочему столу, эту проблему можно устранить, отключив Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. в статье Protect Remote Desktop credentials with Windows Defender Remote Credential Guard (Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows).
Всем привет! Сегодня я столкнулся с ошибкой 619 при подключении к интернету с текстом: «Не удается подключиться к удаленному компьютеру, поэтому порт подключения закрыт».
Ранее я думал, что 619 ошибка возникает только при подключении типа VPN (PPTP и L2TP). Но потом оказалось, что оно может возникнуть и при подключении PPPoE. Также не важно какой тип коннекта вы используете – 4G модемы или кабель. Очень часто она возникает у операторов МТС, Мегафон, Билайн и Yota, а также при использовании «Континент-АП». Давайте решим эту проблему.
ПОМОЩЬ СПЕЦИАЛИСТА! Если в процессе прочтения и решения проблемы у вас возникнут какие-то непредвиденные трудности или вопросы, то вы знаете, что ко мне всегда можно обратиться в комментариях.
Способ 5: Отключение прокси-сервера
Если вы ранее подключались к прокси, то данный способ должен помочь. Переходим в «Пуск» – «Параметры» – «Сеть и интернет».
В разделе «Прокси-сервер» выключаем все включенные бегунки.
Способ 2: Командная строка
Запускаем консоль с правами администратора (аналогично через поиск).
Прописываем поочередно команды (после каждой команды запускаем её с помощью клавиши Enter ):
ipconfig /flushdns
nbtstat –R
nbtstat –RR
netsh int ip reset
netsh winsock resetОбязательно перезагрузите компьютер и ноутбук. Если у вас есть роутер, то перезапускаем и его.
Проверка блокировки объектом групповой политики протокола RDP на локальном компьютере
Если не удается включить протокол RDP в пользовательском интерфейсе или для fDenyTSConnections возвращается значение 1 после его изменения, объект групповой политики может переопределять параметры на уровне компьютера.
Чтобы проверить конфигурацию групповой политики на локальном компьютере, откройте окно командной строки с правами администратора и введите следующую команду:
Когда команда будет выполнена, откройте файл gpresult.html. Выберите Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения и найдите политику Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов.
Если для параметра этой политики задано значение Включено, групповая политика не блокирует подключения по протоколу RDP.
Если же для параметра этой политики задано значение Отключено, проверьте результирующий объект групповой политики. Ниже показано, какой объект групповой политики блокирует подключения по протоколу RDP.
Способ 6: Откат системы
Это крайний случай, который должен помочь. Возможно, есть поломка в системных файлах и можно попробовать их восстановить восстановлением системы. Запускаем «Панель управления» через поиск, находим там раздел «Восстановления».
Выбираем «Запуск восстановления системы». Далее вам нужно просто действовать согласно представленным инструкциям. На определенном шаге нужно будет выбрать самую раннюю точку восстановления. Процесс может занять некоторое время, и компьютер будет один раз перезагружен.
Всем привет! Сегодня опять столкнулся с ошибкой 629 при подключении к интернету. Вы же можете еще наблюдать текст: «Подключение было закрыто удаленным компьютером». Проблема в том, что эта ошибка очень обширна и может иметь как программный, так и технический сбой (на стороне провайдера и у вас). Так как я постоянно сталкиваюсь с этой ошибкой на работе, то решил описать все возможные решения. К сожалению точной причины, я сказать не могу, так как манипуляции, которые в итоге помогают, всегда разные.
Проверка порта прослушивателя протокола RDP
На локальном компьютере (клиентском) и удаленном компьютере (целевом) прослушиватель протокола RDP должен ожидать передачи данных через порт 3389. Другие приложения не должны использовать этот порт.
В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.
Чтобы проверить или изменить порт протокола RDP, используйте редактор реестра:
- Откройте меню Пуск, выберите Выполнить и введите regedt32 в появившемся текстовом поле.
- Чтобы подключиться к удаленному компьютеру, в редакторе реестра щелкните Файл и выберите пункт Подключить сетевой реестр.
- В диалоговом окне Выбор: "Компьютер" введите имя удаленного компьютера, выберите Проверить имена и нажмите кнопку ОК.
- Откройте реестр и перейдите в подраздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ .
- Если PortNumber имеет значение, отличное от 3389, укажите значение 3389.
Для управления службами удаленного рабочего стола можно использовать другой порт. Но мы не рекомендуем делать это. В этой статье не описано, как устранять проблемы, связанные с этим типом конфигурации.
Не удается войти в систему с помощью смарт-карты в филиале с контроллером домена только для чтения (RODC)
Эта проблема связана с тем, как корневой контроллер домена и RDOC управляют шифрованием учетных данных пользователей. Корневой контроллер домена использует ключ шифрования, чтобы зашифровать учетные данные, а RODC предоставляет ключ расшифровки клиенту. Если пользователь получает ошибку "Недопустимо", значит два ключа не совпадают.
Чтобы решить эту проблему, выполните одно из указанных ниже действий:
- измените топологию контроллера домена, отключив кэширование паролей на RODC, или разверните на сайте филиала контроллер домена с доступом на запись;
- переместите сервер RDSH в тот же дочерний домен, где находятся пользователи;
- разрешите пользователям выполнять вход без смарт-карты.
Учтите, что эти решения предполагают наличие компромисса между производительностью и уровнем безопасности.
Читайте также: