• Главная
    • /
  • Блог
    • /
  • Как предотвратить проблемы с аутентификацией удаленного рабочего стола после недавних обновлений серверов Windows

Как предотвратить проблемы с аутентификацией удаленного рабочего стола после недавних обновлений серверов Windows

  1. Триангуляция проблемы
  2. Определение того, что изменилось
  3. Изоляция исправления шаг за шагом
  4. Применение долгосрочного исправления
  5. Еженедельный бюллетень Microsoft
  6. Также см:

Эта проблема, по-видимому, вызвана обновлением от мая 2018 года и влияет на связь с виртуальными системами Windows.

Работая на клиентском сайте, я обнаружил, что подключение к удаленному рабочему столу от набора серверов Windows 2008 R2 к нескольким виртуальным системам Windows 7 внезапно перестало работать. Ошибка при попытке войти была простой: «Неверное имя пользователя или пароль».

За исключением того, что я был уверен, что это не так. Погуглив вопрос, мы обнаружили множество красных селедок и тупиков, которые не давали понимания проблемы. Поэтому мне пришлось засучить рукава и достать, так сказать, детективный инструментарий моего системного администратора.

Триангуляция проблемы

Первым и наиболее очевидным предположением было то, что пароль каким-то образом был кем-то изменен, но это казалось крайне маловероятным, поскольку данный пароль существовал в течение нескольких лет и использовался многими людьми. Однако произошли странные вещи.

Я исключил эту возможность сразу, войдя в эти виртуальные машины напрямую через консоль VMWare. Идентификатор и пароль работали просто отлично, поэтому я знал, что что-то должно быть не так с самой связью удаленного рабочего стола.

Следующим моим шагом было попытаться подключиться к этим машинам из другой системы; другая машина Windows 7 в сети, к которой я мог бы подключиться через удаленный рабочий стол с этого сервера. Это работало нормально, поэтому я знал, что проблема связана с самими исходными серверами, с которых я пытался получить доступ к проблемным системам Windows 7.

К счастью, было задействовано четыре сервера, поэтому я систематически проверял подключение к удаленным рабочим столам на всех них и обнаружил, что этот доступ работает на одном из четырех.

Ага! Затем я попытался определить, что отличает эту рабочую систему и что изменилось на трех нерабочих серверах.

УВИДЕТЬ: Работа в IT: почему мы любим это, почему мы ненавидим это (бесплатный PDF) (TechRepublic)

Определение того, что изменилось

Первым делом я проверил последние обновления Windows на проблемных серверах. Я увидел, что несколько обновлений были установлены всего за несколько дней до этого:

Я увидел, что несколько обновлений были установлены всего за несколько дней до этого:

Работающий сервер НЕ получил майские обновления, перечисленные выше, так что я очень убедительно предположил, что одно из этих обновлений нарушило подключение к удаленному рабочему столу.

Затем я составил список недавно установленных обновлений и исследовал их назначение:

Название обновления Описание Обновление для Microsoft .NET Framework 4.7.1 (KB4096418). Обновление .NET Обновление безопасности для Microsoft .NET Framework 4.7.1 (KB4096237). Обновление .NET Обновление безопасности для Microsoft Windows (KB4103718) Ежемесячный накопительный пакет исправлений Обновление безопасности для Microsoft Windows (KB4103768) Накопительное обновление безопасности для IE Обновление для Microsoft Windows (KB4103712) Устраняет проблему, которая может вызвать ошибку при подключении к серверу удаленного рабочего стола Обновление для Microsoft Windows (KB4095874) Накопительный пакет безопасности и качества для .NET Framework 3.5.1 Обновление безопасности для Microsoft Windows (KB4095514) Обновление безопасности только для .NET Framework 3.5.1 для Windows 7 с пакетом обновления 1 (SP1) и Server 2008 R2 с пакетом обновления 1 (SP1) для Microsoft Windows (KB4099950) Исправляет сетевые параметры и проблемы с IP-адресами Обновление для Microsoft Windows (KB4093753) Изменения часового пояса и летнего времени в Windows для Бразилии, Марокко, Сан-Томе и Принсипи

Изоляция исправления шаг за шагом

Хотя я мог бы просто удалить все обновления, чтобы увидеть, была ли проблема решена, я хотел потратить дополнительное время, чтобы попытаться выяснить, какой именно вызвал проблему, в противном случае проблема, скорее всего, вернется при следующем раунде исправлений. Я решил удалить обновления по одному, затем перезагрузить компьютер и каждый раз проверять подключение к удаленному рабочему столу.

Но как поступить? Изучив вышеприведенный список, стало ясно, что некоторые из этих обновлений не имеют ничего общего с проблемой - патчи .NET и часовых поясов не заслуживают моего интереса. Я чувствовал, что вероятным источником проблемы был KB4103712, так как в нем конкретно упоминалась проблема подключения к удаленному рабочему столу. По иронии судьбы, это было предназначено, чтобы исправить проблемы, а не вызвать их, но перевернутый мир исправлений часто может привести к обратным результатам.

Я удалил KB4103712, перезагрузил сервер, затем попытался подключиться к удаленному рабочему столу, и это сработало!

УВИДЕТЬ: Как управлять ИТ во время слияний и поглощений (бесплатный PDF) (TechRepublic)

Применение долгосрочного исправления

Работа еще не была закончена; как раз наоборот. Теперь, когда я знал, какое обновление вызвало проблему, мне пришлось выяснить, как его применить и сохранить подключение к удаленному рабочему столу для этих систем Windows 7.

Я поговорил со своим другом Майком Каталано, старшим инженером-технологом в Worldpay, который предоставил больше информации о том, что здесь произошло. Он указал мне на Статья поддержки Microsoft в котором объясняется, что эта проблема связана с мартовским обновлением протокола поставщика поддержки безопасности учетных данных (CredSSP), который обрабатывает запросы на проверку подлинности. Другим признаком этой проблемы является ошибка: «Произошла ошибка аутентификации. Запрошенная функция не поддерживается».

В частности, проблемы с подключением возникают, когда пропатченный клиент пытается подключиться к непропатченной системе, что было именно здесь. Соединение работало от непатентованного клиента, подключающегося к непатчированным системам, поэтому ясно, что исправление удаленного рабочего стола KB4103712 должно присутствовать в обеих системах. Краткосрочное исправление для каждого сервера заключается в применении этого параметра реестра:

Путь к реестру: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters

Значение: AllowEncryptionOracle (DWORD): 2

В статье поддержки Microsoft, на которую есть ссылка выше, объясняются все доступные параметры и указывается, что параметр «2» представляет «уязвимый» параметр политики, при котором разрешается небезопасное подключение:

Эта статья объясняет, как добиться того же результата в групповой политике.

Важно помнить, что этот параметр считается плохой идеей, поскольку он обходит контроль безопасности. Примените этот параметр в качестве краткосрочного решения, но убедитесь, что все задействованные системы получают все доступные обновления (очевидно, следующее, что я сделал, - определил, почему целевые системы не были исправлены в последнее время, и исправил это), и отмените этот параметр - или измените значение на «0» на «Принудительно обновленные клиенты» после следующего цикла исправлений, затем проверьте работоспособность удаленного рабочего стола. Надеюсь, что все должно работать так, как ожидалось.

Еженедельный бюллетень Microsoft

Станьте инсайдером Microsoft вашей компании с помощью этих руководств по Windows и Office и анализа наших корпоративных продуктов Microsoft. Доставлено по понедельникам и средам

Зарегистрироваться СегодняЗарегистрироваться Сегодня

Также см:

Городенкофф Продакшнз О.Е., Getty Images / iStockphoto

Но как поступить?