Agar siz serverga ulanishda Windows XP dan foydalanayotgan bo'lsangiz, siz quyidagi xatoni olishingiz mumkin: “Masofaviy kompyuter tarmoq darajasida autentifikatsiyani talab qiladi. bu kompyuter qo'llab-quvvatlamang".

Bu xato dastlab tarmoq darajasida autentifikatsiya Windows XP da amalga oshirilmaganligi sababli yuzaga keladi, bu imkoniyat Ishlab chiquvchilar uni keyingi operatsion tizimlarda amalga oshirdilar. Yangilash fayli ham keyinroq chiqarildi KB951608 bu xatoni tuzatdi va Windows XP-ga tarmoq darajasida autentifikatsiyani amalga oshirishga imkon berdi.

Windows XP bilan ishlaydigan kompyuteringizdan masofaviy ish stoli serveriga ulanishingiz uchun siz Service Pack 3 (SP3) ni o'rnatishingiz va keyin quyidagilarni bajarishingiz kerak:

Rus sahifasida Microsoft rasmiy veb-saytida https://support.microsoft.com/ru-ru/kb/951608 avtomatik tuzatish faylini yuklab oling. Sahifani pastga aylantiring va "Muammoni hal qilishda yordam" bo'limidagi "Yuklab olish" tugmasini bosing.

Ingliz tilidagi sahifa ham siz uchun mavjud. https://support.microsoft.com/en-us/kb/951608"CredSSP-ni qanday yoqish kerak" bo'limidagi "Yuklab olish" tugmasini bosish orqali ushbu faylni yuklab olishingiz mumkin.

Faylni yuklab olish tugallangach, uni bajarish uchun ishga tushiring. Ishga tushgandan keyin bu fayl Siz dastur oynasini ko'rasiz. Birinchi bosqichda "Qabul qilaman" katagiga belgi qo'ying. Ikkinchi bosqichda "Keyingi" tugmasini bosing

O'rnatish tugallangandan so'ng, "Ushbu Microsoft tuzatishi qayta ishlandi" bildirishnomasi bilan quyidagi oynani ko'rasiz. Buning uchun "Yopish" tugmasini bosish kifoya.

"Yopish" tugmasini bosganingizdan so'ng, dastur o'zgarishlar kuchga kirishi uchun kompyuteringizni qayta ishga tushirishingiz kerakligini aytadi, qayta ishga tushirish uchun "Ha" tugmasini bosing.

Faylni yuklab olmasdan muammoni o'zingiz hal qiling

Agar siz ma'muriy ko'nikmalarga ega bo'lsangiz, yamoq faylini yuklab olmasdan, kompyuteringiz registriga o'zgartirishlarni qo'lda qilishingiz mumkin.

1. Tugmasini bosing Boshlash, elementni tanlang Yugurish, buyruqni kiriting regedit va tugmani bosing Kirish

Serverlarning xavfsizligi va tezligi har doim muammo bo'lib kelgan va har yili ularning ahamiyati ortib bormoqda. Shu sababli, Microsoft server tomonidagi autentifikatsiyaning asl modelidan tarmoq darajasidagi autentifikatsiyaga o'tdi.

Ushbu modellar o'rtasidagi farq nima?
Ilgari, Terminal xizmatlariga ulanishda foydalanuvchi server bilan sessiya yaratgan, u orqali ikkinchisi foydalanuvchi uchun hisob ma'lumotlarini kiritish uchun ekranni yuklaydi. Bu usul server resurslarini foydalanuvchi qonuniyligini tekshirishdan oldin ham iste'mol qiladi, bu noqonuniy foydalanuvchiga bir nechta kirish so'rovlari bilan server resurslarini to'liq bosib olish imkonini beradi. Ushbu so'rovlarni qayta ishlay olmaydigan server qonuniy foydalanuvchilarga so'rovlarni rad etadi (DoS hujumi).

Tarmoq darajasidagi autentifikatsiya (NLA) foydalanuvchini mijoz tomonidagi dialog oynasiga hisob ma'lumotlarini kiritishga majbur qiladi. Odatiy bo'lib, agar mijoz tomonida tarmoq darajasidagi autentifikatsiya sertifikati bo'lmasa, server ulanishga ruxsat bermaydi va bu sodir bo'lmaydi. NLA server bilan seans yaratishdan oldin mijoz kompyuteridan o'z autentifikatsiya ma'lumotlarini taqdim etishni so'raydi. Ushbu jarayon front-end autentifikatsiya deb ham ataladi.

NLA RDP 6.0 da qaytadan kiritilgan va dastlab qo'llab-quvvatlangan Windows Vista. RDP 6.1 versiyasidan - operatsion tizimda ishlaydigan serverlar tomonidan qo'llab-quvvatlanadi Windows Server 2008 va undan yuqori versiyalar va Windows XP SP3 (ro'yxatga olish kitobida yangi xavfsizlik provayderini yoqishingiz kerak) va undan yuqori operatsion tizimlar uchun mijozlarni qo'llab-quvvatlash taqdim etiladi. Usul CredSSP (Kredit ma'lumotlari xavfsizligini qo'llab-quvvatlash provayderi) xavfsizlik provayderidan foydalanadi. Boshqa operatsion tizim uchun masofaviy ish stoli mijozidan foydalanayotganda, uning NLA qo'llab-quvvatlashi haqida bilib olishingiz kerak.

NLA ning afzalliklari:

• Muhim server resurslarini talab qilmaydi.
• DoS hujumlaridan himoya qilish uchun qo'shimcha daraja.
• Mijoz va server o'rtasidagi vositachilik jarayonini tezlashtiradi.
• Terminal serveri bilan ishlash uchun NT "yagona login" texnologiyasini kengaytirish imkonini beradi.

NLA ning kamchiliklari:

• Boshqa xavfsizlik provayderlari qo'llab-quvvatlanmaydi.
• Windows XP SP3 dan past mijoz versiyalari va Windows Server 2008 dan pastroq server versiyalari tomonidan qo'llab-quvvatlanmaydi.
• Majburiy qo'lda sozlash har bir Windows XP SP3 mijozida ro'yxatga olish kitobi.
• Har qanday "yagona kirish" sxemasi singari, u "butun qal'aning kalitlari" ning o'g'irlanishiga qarshi himoyasiz.
• "Keyingi kirishda parolni o'zgartirishni talab qilish" funksiyasidan foydalanish imkoniyati yo'q.

Windows 7 kompyuterimga KB4103718 yangilanishini o'rnatganimdan so'ng RDP orqali Windows Server 2012 R2 bilan ishlaydigan serverga masofadan ulana olmayman. Mtsc.exe mijoz oynasida RDP server manzilini ko'rsatganimdan va "Ulanish" tugmasini bosganimdan so'ng, xato paydo bo'ladi:

Masofaviy ish stoliga ulanish

Haqiqiylikni tekshirishda xatolik yuz berdi.

Belgilangan funksiya qo'llab-quvvatlanmaydi.
Masofaviy kompyuter: kompyuter nomi

KB4103718 yangilanishini o'chirib tashlaganimdan va kompyuterni qayta ishga tushirganimdan so'ng, RDP ulanishi yaxshi ishlay boshladi. Agar men to'g'ri tushungan bo'lsam, bu faqat vaqtinchalik vaqtinchalik yechim Keyingi oy yangi kümülatif yangilash paketi keladimi va xato qaytadi? Biror narsani tavsiya qila olasizmi?

Javob

Siz mutlaqo haqsiz, muammoni hal qilish befoyda, chunki bu bilan siz kompyuteringizni ushbu yangilanishda yamoqlar bilan qoplangan turli zaifliklardan foydalanish xavfiga duchor qilasiz.

Muammoingizda yolg'iz emassiz. Ushbu xato har qanday operatsiya xonasida paydo bo'lishi mumkin. Windows tizimi yoki Windows Server (nafaqat Windows 7). Ingliz foydalanuvchilar uchun Windows versiyalari 10, RDP/RDS serveriga ulanishga urinayotganda shunga o'xshash xatolik quyidagicha ko'rinadi:

Haqiqiylikni tekshirishda xatolik yuz berdi.

So‘ralgan funksiya qo‘llab-quvvatlanmaydi.

Masofaviy kompyuter: kompyuter nomi

"Autentifikatsiya xatosi yuz berdi" RDP xatosi RemoteApp ilovalarini ishga tushirishga urinayotganda ham paydo bo'lishi mumkin.

Nima uchun bu sodir bo'lmoqda? Gap shundaki, sizning kompyuteringizda RDP serverlarida autentifikatsiya qilish uchun foydalaniladigan CredSSP (CredSSP (Credential Security Support Provider)) protokolidagi jiddiy zaiflikni tuzatuvchi so‘nggi xavfsizlik yangilanishlari (2018-yil may oyidan keyin chiqarilgan) mavjud (CVE-2018-0886) (o‘qishni tavsiya etaman) maqola). Biroq, siz kompyuteringizdan ulangan RDP / RDS server tomonida ushbu yangilanishlar o'rnatilmagan va RDP kirish uchun NLA (Tarmoq darajasidagi autentifikatsiya) protokoli yoqilgan. NLA protokoli foydalanuvchilarni TLS/SSL yoki Kerberos orqali oldindan autentifikatsiya qilish uchun CredSSP mexanizmlaridan foydalanadi. Siz o'rnatgan yangilanish tomonidan kiritilgan yangi xavfsizlik sozlamalari tufayli kompyuteringiz ulanishni bloklaydi masofaviy kompyuter, CredSSP ning zaif versiyasidan foydalanadi.

Ushbu xatoni tuzatish va RDP serveringizga ulanish uchun nima qilishingiz mumkin?

1. Ko'pchilik to'g'ri muammoni hal qilish yo'li - o'rnatish so'nggi yangilanishlar Windows xavfsizligi RDP orqali ulanayotgan kompyuter/serverda;
2. Vaqtinchalik usul 1 . RDP server tomonida Tarmoq darajasidagi autentifikatsiyani (NLA) o'chirib qo'yishingiz mumkin (quyida tasvirlangan);
3. Vaqtinchalik usul 2 . Siz mijoz tomonida yuqorida havola qilingan maqolada ta'riflanganidek, CredSSP ning xavfli versiyasi bilan RDP serverlariga ulanishga ruxsat berishingiz mumkin. Buning uchun siz ro'yxatga olish kitobi kalitini o'zgartirishingiz kerak AllowEncryptionOracle(REG ADD buyrug'i
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) yoki sozlamalarni o'zgartiring mahalliy siyosat Oracle Remediation shifrlash/ Oracle shifrlash zaifligini tuzatish), uning qiymatini belgilash = Zaiflik / zaiflikni qoldirish).

   Bu yagona yo'l RDP orqali uzoq serverga kirish, agar siz serverga mahalliy ravishda kirish imkoniga ega bo'lmasangiz (XMT konsoli orqali, virtual mashina, bulutli interfeys va boshqalar). Ushbu rejimda siz masofaviy serverga ulanishingiz va xavfsizlik yangilanishlarini o'rnatishingiz mumkin, shu bilan tavsiya etilgan usul 1 ga o'tasiz. Serverni yangilagandan so'ng, siyosatni o'chirishni yoki kalit qiymatini qaytarishni unutmang AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d0

Windows-da RDP uchun NLA-ni o'chirib qo'yish

Agar siz ulanayotgan RDP server tomonida NLA yoqilgan bo'lsa, bu CredSPP RDP foydalanuvchisini oldindan autentifikatsiya qilish uchun foydalanilganligini anglatadi. Yorliqdagi tizim xususiyatlarida Tarmoq darajasidagi autentifikatsiyani o'chirib qo'yishingiz mumkin Masofaviy kirish (Masofadan) , "Tarmoq darajasidagi autentifikatsiya (tavsiya etiladi) bilan masofaviy ish stoli bilan ishlaydigan kompyuterlardan ulanishga ruxsat berish" katagiga belgini olib tashlang (Windows 10 / Windows 8).

Windows 7 da bu variant boshqacha nomlanadi. Yorliqda Masofaviy kirish variantni tanlashingiz kerak " Masofaviy ish stolining istalgan versiyasida ishlaydigan kompyuterlardan ulanishga ruxsat berish (xavfli)/ Masofaviy ish stolining istalgan versiyasida ishlaydigan kompyuterlardan ulanishga ruxsat berish (kamroq xavfsiz)".

Shuningdek, siz mahalliy guruh siyosati muharriri yordamida tarmoq darajasidagi autentifikatsiyani (NLA) o'chirib qo'yishingiz mumkin - gpedit.msc(Windows 10 Home-da gpedit.msc siyosat muharriri ishga tushirilishi mumkin) yoki domen siyosatini boshqarish konsoli - GPMC.msc yordamida. Buning uchun bo'limga o'ting Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> KomponentlarWindows–> Masofaviy ish stoli xizmatlari – Masofaviy ish stoli sessiyasi xosti –> Xavfsizlik(Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> Windows komponentlari -> Masofaviy ish stoli xizmatlari - Masofaviy ish stoli sessiyasi xosti -> Xavfsizlik), o'chirib qo'yish siyosat (Tarmoq darajasidagi autentifikatsiya yordamida masofaviy ulanishlar uchun foydalanuvchi autentifikatsiyasini talab qilish).

Siyosatda ham kerak" uchun maxsus xavfsizlik darajasidan foydalanishni talab qiling masofaviy ulanishlar RDP protokoli orqali» (Masofaviy (RDP) ulanishlar uchun maxsus xavfsizlik qatlamidan foydalanishni talab qilish) Xavfsizlik qatlamini tanlang - RDP.

Yangi RDP sozlamalarini qo'llash uchun siz siyosatlarni yangilashingiz (gpupdate /force) yoki kompyuterni qayta ishga tushirishingiz kerak. Shundan so'ng siz masofaviy ish stoli serveriga muvaffaqiyatli ulanishingiz kerak.

Ro'yxatga olish kitobi muharririni oching.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa filiali

Xavfsizlik paketlari parametrini oching va u erda tspkg so'zini qidiring. Agar u mavjud bo'lmasa, uni mavjud parametrlarga qo'shing.

Filial HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

SecurityProviders parametrini oching va agar u mavjud boʻlmasa, credssp.dll faylini mavjud provayderlarga qoʻshing.

Ro'yxatga olish kitobi muharririni yoping.

Endi siz qayta ishga tushirishingiz kerak. Agar bu bajarilmasa, kompyuter bizdan foydalanuvchi nomi va parolni so'raydi, lekin masofaviy ish stoli o'rniga u quyidagilar bilan javob beradi:

Ana xolos.

Server administratorlari Windows asosida 2008 yil quyidagi muammolarga duch kelishi mumkin:

Rdp protokoli orqali sevimli serveringizga Windows XP SP3 stantsiyasidan ulanish quyidagi xato bilan amalga oshmaydi:

Masofaviy ish stoli o'chirilgan.

Masofaviy kompyuter tarmoq darajasida autentifikatsiyani talab qiladi, uni kompyuter qo'llab-quvvatlamaydi. Yordam uchun murojaat qiling tizim administratori yoki texnik yordamga murojaat qiling.

Garchi istiqbolli Win7 oxir-oqibat buvisi WinXP-ni almashtirish bilan tahdid qilsa-da, muammo yana bir yoki ikki yil davomida dolzarb bo'lib qoladi.

Tarmoq qatlami autentifikatsiyasini yoqish uchun nima qilish kerak:

Ro'yxatga olish kitobi muharririni oching.

Filial HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Parametrni oching Xavfsizlik paketlari va u erda so'zni qidiring tspkg. Agar u mavjud bo'lmasa, uni mavjud parametrlarga qo'shing.

Filial HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Parametrni oching Xavfsizlik provayderlari va mavjud provayderlarga qo'shing credssp.dll, agar yo'q bo'lsa.

Ro'yxatga olish kitobi muharririni yoping.

Endi siz qayta ishga tushirishingiz kerak. Agar bu bajarilmasa, biz ulanishga harakat qilganimizda, kompyuter bizdan foydalanuvchi nomi va parolni so'raydi, lekin masofaviy ish stoli o'rniga u quyidagilar bilan javob beradi:

Masofaviy ish stoliga ulanish

Autentifikatsiya xatosi (kod 0x507)

Ana xolos.