![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
hroft_clone3rdp-клиенты Windows XP не подключаются к RDS Windows 2012R2
Пользователи XP жаловались на такие ошибки rdp клиента:
Покопавшись в документации Microsoft, решили в
первую очередь обновить версию RDP клиента на машинах с XP. После установки rdp клиента 7.0 (ссылка не на Майкрософт, там уже убрали этот апдейт и статью kb969084. Если нет доверия этому сайту, ищем kb969084-x86-rus.exe в другом месте. Для Висты закачка еще жива) (версия rdp 8.0 на XP не устанавливается.), у половины клиентов проблема решилась. Осталась вторая половина….
Начав более подробно копать тему RDS сервера на базе Windows 2012 R2 мы обнаружили, что 2012 сервер по умолчанию требует от своих клиентов обязательной поддержки технологии NLA (Network-Level Authentication – проверки подлинности на уровне сети, подробнее об этой технологии здесь), если же клиент не поддерживает NLA, подключиться к RDS серверу ему не удастся.
Из вышесказанного есть два вывода, чтобы оставшиеся XP-клиенты смогли подключаться по RDP к терминальному серверу 2012 нужно:
отключить проверку NLA на серверах фермы Remote Desktop Services 2012
или включить поддержку NLA на XP-клиентах
Отключаем NLA на сервере RDS 2012
Чтобы на сервере RDS Windows Server 2012 отключить требование обязательного использования NLA клиентами, нужно в консоли Server Manager перейти в раздел Remote Desktop Services -> Collections -> QuickSessionCollection, выбрать Tasks -> Edit Properties, выбрать раздел Security и снять опцию: Allow connections only from computers running Remote Desktop with Network Level Authentication.
Естественно, нужно понимать, что отключение NLA на уровне сервера уменьшает защищенность системы и в общем случае использовать не рекомендуется. Предпочтительнее использовать вторую методику.
Включаем NLA на уровне клиента Windows XP
Поддержка NLA появилась в Windows XP, начиная с SP3, но по умолчанию она не включена. Включить поддержку аутентификации NLA можно только реестр. Для этого:
В ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders нужно отредактировать значение ключа SecurityProviders, добавив в конце credssp.dll (через запятую от его текущего значения)
Далее в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa добавить строку tspkg в значение параметра Security Packages
После внесения указанных изменений, компьютер нужно перезагрузить
После выполнения всех манипуляций, компьютер с Windows XP SP3 должен без проблем подключится по rdp к терминальной ферме на Windows 2012.
Проверено, с Windows server 2016 те же проблемы, решение то же самое
Пользователи XP жаловались на такие ошибки rdp клиента:
Because of a security error, the client could not connect to the remote computer. Verify that you are logged on to the network, and then try reconnecting again
The remote session was disconnected because the remote computer received an invalid licensing message from this computer
The remote computer requires Network Level Authentication, which your computer does not support. For assistance, contact your system administrator or technical support.
Покопавшись в документации Microsoft, решили в
первую очередь обновить версию RDP клиента на машинах с XP. После установки rdp клиента 7.0 (ссылка не на Майкрософт, там уже убрали этот апдейт и статью kb969084. Если нет доверия этому сайту, ищем kb969084-x86-rus.exe в другом месте. Для Висты закачка еще жива) (версия rdp 8.0 на XP не устанавливается.), у половины клиентов проблема решилась. Осталась вторая половина….
Начав более подробно копать тему RDS сервера на базе Windows 2012 R2 мы обнаружили, что 2012 сервер по умолчанию требует от своих клиентов обязательной поддержки технологии NLA (Network-Level Authentication – проверки подлинности на уровне сети, подробнее об этой технологии здесь), если же клиент не поддерживает NLA, подключиться к RDS серверу ему не удастся.
Из вышесказанного есть два вывода, чтобы оставшиеся XP-клиенты смогли подключаться по RDP к терминальному серверу 2012 нужно:
отключить проверку NLA на серверах фермы Remote Desktop Services 2012
или включить поддержку NLA на XP-клиентах
Отключаем NLA на сервере RDS 2012
Чтобы на сервере RDS Windows Server 2012 отключить требование обязательного использования NLA клиентами, нужно в консоли Server Manager перейти в раздел Remote Desktop Services -> Collections -> QuickSessionCollection, выбрать Tasks -> Edit Properties, выбрать раздел Security и снять опцию: Allow connections only from computers running Remote Desktop with Network Level Authentication.
Естественно, нужно понимать, что отключение NLA на уровне сервера уменьшает защищенность системы и в общем случае использовать не рекомендуется. Предпочтительнее использовать вторую методику.
Включаем NLA на уровне клиента Windows XP
Поддержка NLA появилась в Windows XP, начиная с SP3, но по умолчанию она не включена. Включить поддержку аутентификации NLA можно только реестр. Для этого:
В ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders нужно отредактировать значение ключа SecurityProviders, добавив в конце credssp.dll (через запятую от его текущего значения)
Далее в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa добавить строку tspkg в значение параметра Security Packages
После внесения указанных изменений, компьютер нужно перезагрузить
После выполнения всех манипуляций, компьютер с Windows XP SP3 должен без проблем подключится по rdp к терминальной ферме на Windows 2012.
Проверено, с Windows server 2016 те же проблемы, решение то же самое
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2017-02-08 02:51 pm (UTC)Уже сделано
no subject
Date: 2017-02-08 03:33 pm (UTC)А себе на память оставить - не помешает :)
Не каждый же день этим занимаешься
no subject
Date: 2017-02-08 03:41 pm (UTC)Правда помогло просто обновление версии rdp
no subject
Date: 2017-02-08 03:54 pm (UTC)no subject
Date: 2017-02-08 03:57 pm (UTC)или уже такое не канаеть?
no subject
Date: 2017-02-08 04:15 pm (UTC)А контроль клиента сетью - это уже требования безопасности :)
no subject
Date: 2017-02-08 06:19 pm (UTC)значит надо на сервере понижать параноидальность для работы старых протоколов
no subject
Date: 2017-02-08 07:44 pm (UTC)no subject
Date: 2017-02-09 06:46 am (UTC)no subject
Date: 2017-02-09 12:50 pm (UTC)https://support.microsoft.com/ru-ru/help/13853/windows-lifecycle-fact-sheet
https://3dnews.ru/907948
https://4pda.ru/2016/03/22/285376/
no subject
Date: 2017-02-10 05:10 am (UTC)no subject
Date: 2017-02-10 05:29 am (UTC)Я знаю людей, которые, во что бы то ни стало, стремяться поставить хрюшу на новое железо до сих пор, ну не нравится им, даже, 7-ка, о 10-ке молчу
no subject
Date: 2017-02-10 05:43 am (UTC)уже даже скайп новый не работает на нём и куча всего по мелочи
no subject
Date: 2017-02-10 05:50 am (UTC)no subject
Date: 2017-02-10 07:01 am (UTC)no subject
Date: 2017-02-10 08:20 am (UTC)