Windows Server 2012でRDPを修正する方法

以下は、RDPステータスのスナップショットです。いいね：

リモートマシンから接続しようとすると、エラーが発生します。

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

ポート3389をリモートでテストしましたが、開いています。私はそれをnetstatでテストしました。

TCP    0.0.0.0:3389           hostname:0                LISTENING

• Windowsファイアウォールなし
• ネットワークファイアウォールなし
• 真新しい自己署名証明書
• マシンは最近再起動され、その前に機能していました
• ターミナルサービスが実行されている
• SSL証明書を検査すると、すべての詳細が表示され、見栄えがよく、2014年に期限が切れます
• hklm：\ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnectionsは0です
• C：\ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys管理者はすべての特権を持っています

更新：

現在、これは管理イベントのイベントログにあります。

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

上記のエラーを解決する方法がわかりません。私がインポートしたRD証明書であるかどうかもわかりませんが、自分のマシンからRDPを実行しようとしたときに発生することはわかっています。

アップデートII：

私はpowershellを使用して秘密鍵で証明書を生成しようとしました。運が悪い。こことここでテクニックを使ったが運が悪かった。MMC証明書スナップインで、システムユーザーの信頼されたルートと個人に証明書を追加するたびに。

アップデートIII：

とても迷惑

このフォーラムは、再起動中にウィンドウが更新され、リモートデスクトップ接続ブローカーの役割のインストールで回復不能なエラーが発生する可能性があることを示しています（MMCにインポートする秘密キーのpfxファイルを生成する必要があるようです）。バグは2013年6月のホットフィックスKB2821895にあります。これでこれが解消されるのでは？http://support.microsoft.com/kb/2871777

そこで、最新のWindows更新プログラムを実行し、リモートデスクトップ接続ブローカーをインストールして、pfxファイルを生成できるようにしました。運が悪い。Hyper-Vなどはインストールされていますが、1つ以上の親機能がインストールされていません。そして、それは他にどんな役割を追加するべきかについては言いません...

サマリー質問を更新！

つまり、理論的には、RD接続ブローカーをインストールして（秘密キーを生成するため）実行すると、暗号化エラーが解決される可能性があります。

SSL証明書（および関連する秘密鍵）をWindows Server 2012にインポートした後に接続すると、このエラーが発生する場合があります。

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

さらに、Windowsイベントログには次のように表示されます。

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

解決：

Microsoft KB2001849からの引用：

「リモートデスクトップホストサービスサービスはNETWORK SERVICEアカウントで実行されます。したがって、RDSで使用されるキーファイルのACL（SSLCertificateSHA1Hashレジストリ値で指定された証明書によって参照される）を設定して、「読み取り」でNETWORK SERVICEを含める必要があります。権限。権限を変更するには、以下の手順に従います。

ローカルコンピューターの証明書スナップインを開きます。

1. 「スタート」、「ファイル名を指定して実行」の順にクリックし、mmcと入力して「OK」をクリックします。

2. [ファイル]メニューの[スナップインの追加と削除]をクリックします。

3. [スナップインの追加と削除]ダイアログボックスの[利用可能なスナップイン]リストで、[証明書]をクリックし、[追加]をクリックします。

4. [証明書スナップイン]ダイアログボックスで、[コンピューターアカウント]をクリックし、[次へ]をクリックします。

5. [コンピューターの選択]ダイアログボックスで、[ローカルコンピューター：（このコンソールが実行されているコンピューター）]をクリックし、[完了]をクリックします。

6. [スナップインの追加と削除]ダイアログボックスで、[OK]をクリックします。

7. 証明書スナップインのコンソールツリーで、[証明書（ローカルコンピューター）]、[個人]の順に展開し、使用するSSL証明書に移動します。

8. 証明書を右クリックし、[すべてのタスク]を選択して、[秘密キーの管理]を選択します。

9. [アクセス許可]ダイアログボックスで、[追加]をクリックし、NETWORK SERVICEと入力して[OK]をクリックし、[許可]チェックボックスで[読み取り]を選択して、[OK]をクリックします。

ソース：https : //support.microsoft.com/en-us/kb/2001849

ゲートウェイサービスを無効にしました。私はMMCを実行し、RD証明書を完全に削除してしまいました。次に、無効にしてから再度有効にして、リモート接続を許可します。これにより、新しい適切な証明書が生成され、マシンドメインにログインできました。

自己署名証明書をインポートしたと思いますか？これが当てはまる場合は、証明書をエクスポートできないようにマークしている可能性が高いため、エラーを説明します... http://blogs.msdn.com/b/kaushal/archive/2012/10/07/errorを参照してください。詳細については、-hresult-0x80070520-when-adding-ssl-binding-in-iis.aspxをご覧ください。私が正しい場合は、「エクスポートを許可」フラグが設定された証明書を削除して再インポートする必要があります。

あなたのための解決策があります：

makecert.exeをダウンロードし、RDP用の新しい証明書を生成します

makecert -r -pe -n "CN = server FQDN" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "

サーバーのFQDNを実際の値に変更します。

コンピューター証明書に移動し、リモートデスクトップで現在の証明書を削除します。次に、個人ストアから、新しく作成した証明書をリモートデスクトップに移動します。証明書を開き、Thumbprintをコピーします。

regeditを開き、次の場所に移動します。

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations

SelfSignedCertificateキーを新しい証明書の拇印で更新します。

リモートデスクトップサービスサービスを再起動する

同じ問題が発生しましたが、[接続]をクリックするとすぐにエラーが表示されます。

解決するには、リモートデスクトップサービスサービスを変更して、ネットワークサービスではなくローカルシステムアカウントとして実行されるようにしました。サービスを再起動し、すべてが正常に動作しました。

編集：これにより、アクセスが拒否されたというメッセージが表示され、ネットワークサービスとして設定する必要があることがわかりました。しかし、これをローカルシステムアカウントに変更し、ネットワークサービスに戻すことで、私の問題は完全に解決しました。

これが最終的に私にとってこの同じ問題を修正したものです（どの秘密キーが攻撃者であるかを追跡する方法に関するこのTechNet投稿の大きな小道具）

1. Procmonをダウンロードして実行（Sysinternals Suiteから）
2. そのパスのアクティビティをリッスンして、MachineKeysフォルダーのアクティビティ（ほとんどの場合、C：\ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys）を監視します。
3. 問題のあるマシンに対してRDPを試行すると、Procmonにアクセス拒否エラーと、アクセスを拒否していたファイルが記録されます。
4. 問題のあるファイルを削除します（まず自分自身をそのファイルの所有者にする必要があり、次に自分自身に完全な制御権を与える必要があります）。
5. コンピューターを再起動すると、適切なアクセス許可が適用されて、不足しているキーが再生成されます

私はパーティーに遅れましたが、これは私を助けたものです。

• 新しいPFX証明書を生成します。自己署名は機能します：

  Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx" -CertificatePassword $ password

• キャプチャ拇印を出力ウィンドウに
• 生成されたPFX証明書を[マイコンピューター]> [個人ストア]にインストールします

• 上記の手順で取得したサムプリントを使用して、次のコマンドを実行します。

  wmic / namespace：\ root \ cimv2 \ TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = " THUMB_PRINT "