「NSA」パッチがインストールされた後に接続を試みているリモートデスクトップの「内部エラー」

最新のWindowsアップデート（NSA脆弱性パッチ火曜日）をインストールしたばかりで、リモートデスクトップに接続できません。

• サーバーはリモートでホストされています。物理的にアクセスできません。サーバー2012 R1。
• 幸い、すべてのWebサイトは再起動後に正常に動作しています。
• 少し怖いので、2回目の再起動はまだ試していません。
• 接続しようとすると、次のメッセージがすぐに表示されます。
• 「リモートデスクトップ接続：内部エラーが発生しました」

• 複数のクライアントから試してみました。それらはすべて失敗します-さらに、0x00000904エラーが発生するiOSアプリを含みます。
• 実行telnet servername 3389すると接続が開始されるため、ポートが開いていることがわかります。
• Win 10（パッチされていない）マシンから他のサーバーに問題なく接続できます。
• 2つ目のラップトップ（Win 10 Creators Edition）からも接続できません。
• イベントビューアで有用なものが見つかりません。
• 私は何も役に立たないことを示さないwiresharkを試してみました。
• 私が診断しなければならない最高のものは、ASPXページをアップロードして実行する機能です。

最近の「NSAエディション」パッチのまとめにはRDPの修正がいくつかあったことは理解していますが、週に突然問題が発生した人は他にいません。

ホスティング会社に連絡する前に、何が問題なのかを知りたいので、ここに投稿します。

更新：

私はまだ物理サーバーにアクセスできませんが、サーバー自体でホストされているWindows 7 VMがあることを思い出しました。10.0.0.1ローカルIPに接続することで、これにアクセスしてサーバー証明書スナップインを開くことができました。

これは、RDP証明書が実際に期限切れであることを示しています-そのように提案を接続してもエラーは発生しません。私は確かに毎日接続しており、2か月前に有効期限が切れたため、リモートデスクトップストアにある他の証明書はなんらかのセキュリティ更新プログラムによって削除され、更新されなかったと思います。

そこで、ここで別の証明書をインストールする方法を見つけようとしています。

アップデート2

最後にこれを（管理イベント）の下のイベントログで見つけました（VM経由でリモート接続することにより）：

「ターミナルサーバーは、SSL接続でのターミナルサーバー認証に使用する新しい自己署名証明書の作成に失敗しました。関連するステータスコードはオブジェクトが既に存在しました。」

少し異なるエラーですが、これは役に立ちそうです。今夜は再起動できないので、明日もう一度確認する必要があります。

https://blogs.technet.microsoft.com/the_9z_by_chris_davis/2014/02/20/event-id-1057-the-terminal-server-has-failed-to-create-a-new-self-signed-certificate/

解決策は基本的にここにあります

https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/

これも役に立ちました：

https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to-自己署名証明書の作成に失敗しましたか？forum = winserverTS

[証明書]> [リモートデスクトップ]> [証明書]にリストされている証明書が無効であることをすでに確認していると仮定すると...

注：すべてを修正した後、このスクリーンショットを撮りました。この有効期限は、新しく作成された証明書であり、それ自体ですべてを行いました。

基本的には、このファイルの名前を変更するか削除する必要があります-そして、それはそれを再作成します：

「C：\ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys \ f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757」

これは、で始まる有名なファイル名f686aaceです。次に、Remote Desktop Configurationサービスを再起動すると、サービスが再作成されます。（注：実際にはサービスを再起動する必要はないかもしれません-同じファイル名で1分間再作成されるかどうかを確認してください）。

アクセス許可をいじくりまわす可能性があり、ファイルの所有権を取得し、さらにアクセス許可を適用する必要がある場合があります。注：所有権は権限を意味するものではありません。所有権を取得した後、権限を追加する必要があります。

先ほど述べたように、サーバーに物理的にアクセスすることはできません。アクセスできる場合は、上記で十分です。

幸運にも、同じローカルネットワーク上の別のマシンを介してリモートで接続し、レジストリを変更することができました。

リモートで接続してアクセスできるように、認証を無効にしたかったのです。これを行うレジストリエントリはHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

既存のキーを設定するSecurityLayerとUserAuthenticationします0

RDPファイルを作成し（mstscを開き、サーバー名を入力した後、[保存]をクリックします）、メモ帳で行をenablecredsspsupport:i:0どこかに追加します。これは、セキュリティの期待を無効にします。

次にRDPファイルを実行すると、サーバーに安全に接続してアクセスすることができます。

接続したらすぐに、これらの2つのレジストリエントリを元に戻し、次にf686...ファイルを削除します。

これらの設定で問題が解決しました：

1.コントロールパネルの[管理ツール]をクリックし、[ローカルセキュリティポリシー]をダブルクリックします。

2. [ローカルセキュリティ設定]で、[ローカルポリシー]を展開し、[セキュリティオプション]をクリックします。

3.右側のウィンドウの[ポリシー]で、[システム暗号化：暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用する]をダブルクリックし、[有効]をクリックします。私の場合、それは無効にされました。だから私はそれを有効にして、以下のコマンドを発行しました。

4. gpupdate / forceを実行します。

この問題を解決する別のオプション：

サーバーでプロトコルが有効になっていませんでした。IIScryptoを使用してTLS1.2を有効にすると、すべてが機能し始めました

こんにちは私の環境では、これは新しい自己署名証明書が生成されたときに発生しました。TLS1.0がレジストリで無効になっているか、レジストリに存在せず、新しい自己署名証明書が信頼されたルート証明機関ストアにありませんでした。

レジストリを編集する前に、この2つの方法を証明できます。IIS Cryptoをダウンロードし、プロトコル、暗号、ハッシュ、およびキー交換で有効および無効になっているものを確認します。

IIS Cryptoは、TLSがレジストリで有効にされていない場合でも、有効にされていると表示することがあります。

次のオプションは、ローカルグループポリシーでFIPSを有効にすることです。これにより、TLS 1.0、1.1、および1.2が有効になり、使用されます。FIPSをオンにしてから、マシンにRDPを試みます。レジストリでTLSが無効になっている場合でも、今度は機能します。FIPSを永続的に使用する必要はありませんが、これはトラブルシューティングのためだけなので、サーバーでFIPSを無効にしてレジストリに移動します。

頭HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELプロトコルと下の3つの新しいキーのタイトルにそれらを追加しTLS 1.0、TLS 1.1し、TLS 1.2その後、各TLSエントリタイトルそれらの下に二つのサブキーを作成ClientしてServer。

内部ClientとServerキーの2つの32ビットDWORDエントリと題した1作成DisabledByDefaultしてValue0に設定し、Enabled1に値を設定しています。

これを行うと、自己署名証明書の有効期限が切れず、正しいストアでサーバーに再度RDPできるようになります。