Win server RDP - проблема с подключением |
Здравствуйте, гость Вход | Регистрация
Наши новости:
|
|
Win server RDP - проблема с подключением |
Bloo |
9.9.2016, 21:33
Сообщение
|
|
Всем привет!
Тема в продолжении моей головной боли с сервером - ip kvm или удаленное управление на уровне hardware. Суть в том, что я очень долго игнорировал позывы системы на смену пароля админа, и вот я в итоге дождался. Сегодня при попытке привычно подрубиться к RDP получил веселое окошко: Причину сия сообщения я конечно понял, система видимо устала ждать смену пароля (хотя я могу ошибаться). Естественно я сразу пустился штудировать гугл (общие причины данной ошибки я конечно же нашел - NLA. Но дело в том, что вот уже несколько лет на данной ОС (Windows Server 2012 R2) никаких проблем с этим не было, по этому я и думаю что дело в длительном отказе от смены пароля, хотя это ведь могут быть какие нибудь неудачные обновления) по данной проблеме, и как ни странно решение ее я нашел. Создал файл подключения и добавил в него параметр "enablecredsspsupport:i:0", данный вопрос он решил, но тут же возник новый. Дальше я получаю новое сообщение, о том что необходима проверка на уровне сети: Данную проблему я тоже успешно загуглил, но предложенное решение мне не помогло, а именно: В реестре, по пути Код HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa в параметре "Security Packages" указать "tspkg", а по пути Код HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders в параметр "SecurityProviders" добавить через запятую библиотеку "credssp.dll". Собственно после всех манипуляций, я все равно получаю ошибку не возможности проверки на уровне сети. Собственно, есть у кого то какие идеи, как обойти проблему удаленно? PS Сейчас нашел альтернативный тонкий клиент wtware, как пишут, с ним получится это обойти, но я если честно не надеюсь. PSS Сейчас понял, что нужно будет подготовить альтернативные варианты удаленного доступа, кто то может подсказать наиболее правильное и безопасное решение? TeamViewer сервисом ставить что то меня не возбуждает, уж больно мейнстримовский софт и как мне кажется может иметь уйму широкоивестных уязвимостей. |
|
|
Aikido |
9.9.2016, 21:53
Сообщение
|
|
Ну ты отключил NLA на клиентской машине, но на серверной то требует авторизацию через NLA.
Если пароль учетки просит сменить на клиентской машине откуда подключаешься, то меняй через lusrmgr.msc Если же просит сменить на серверной машине и есть физический доступ к ней, то также поменяй пасс учетки и поставь галочку в настройки учетки на безлимитный пароль ( или что-то в этом роде ) в том же lusrmgr.msc, проблема должна решиться. У себя на компе нет смысла отключать NLA, сервер ведь принимает только клиентов через NLA, что и говорит вторая ошибка. |
Поблагодарили 1 раз
|
|
Aikido |
9.9.2016, 22:03
Сообщение
|
|
Вот, этот рег-файл отключит NLA на серверной машине:
Код Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services] "fDenyTSConnections"=dword:00000000 "fAllowUnsolicited"=dword:00000001 "fAllowUnsolicitedFullControl"=dword:00000001 "UserAuthentication"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "SecurityLayer"=dword:00000001 В свое время отключал NLA на ломанных дедиках =) Сохрани в расширение .reg Запускать его соответственно надо на серверной машине, по этому если нет учетки, нужен физический доступ к машине. И в будущем надо задуматься и добавить дополнительные админские учетки как запасные. П.С. Извини, не смог отредактировать сообщения, кнопка "Изменить" неактивна ( не нажимается ) почему-то... |
Поблагодарили 1 раз
|
|
Bloo |
9.9.2016, 22:35
Сообщение
|
|
|
|
|
Aikido |
9.9.2016, 22:54
Сообщение
|
|
Bloo, выходит что да. Нужно отключить NLA на сервере, затем приконектиться, дойдешь до винлогона, а там уже сможешь сменить пасс когда попросит. Странно что ошибка говорит о Перед первым входом в систему..., очень странно, ведь ты говоришь что часто там заходил на терминале. Если сервер на хостинге, напиши хостерам чтобы пасс меняли и отправили новый. После этого проверь lusrmgr.msc на предмет "левых" учеток, возможно дедик стал жертвой брута ( если пароль был легкий ), и кто-то дабы заставить сменить пароль, поставил галочку "При следующего входа просить сменивать пасс" ( что-то в это роде есть там же в настройках ). Если спалишь левые учетки, напиши мне, помогу избавиться от бэкдоров, если кто-то решит их использовать. RDP-протокол очень уязвимый протокол для компьютеров.
|
Поблагодарили 1 раз
|
|
Bloo |
10.9.2016, 0:22
Сообщение
|
|
sllrdp, все так, вхожу более менее регулярно с самой установки последней оси, т.к. Win s 2012, сколько стоит не помню, год точно. Сервер стоит хрен знает где, в первом посте есть ссылка на вторую тему, там будет понятно почему подруб исключительно по RDP и физическое присутствие на сервере тяжелая история.
Если из под того же пользователя войдут локально и сменят пасс, я же после этого смогу войти по RDP по новому паролю и все что нужно вырубить? На счет брута сомневаюсь, порт у RDP совсем не стандартный, вряд ли на него попадут случайно. Завтра должны подъехать к серверу и сменить пароль, дальше буду отрубать NLA, ставить вечный пароль и думать о запасных путях удаленного коннекта. |
|
|
Aikido |
10.9.2016, 3:13
Сообщение
|
|
Цитата Если из под того же пользователя войдут локально и сменят пасс, я же после этого смогу войти по RDP по новому паролю и все что нужно вырубить? Да, конечно. Дело в том что по идее в NLA не предусмотрели эту фишку, и через него нельзя сменивать старый пасс на новый при таком запросе. Тут только из винлогона. Цитата На счет брута сомневаюсь, порт у RDP совсем не стандартный, вряд ли на него попадут случайно. На сегодняшний день наблюдаю в мире брутов достаточно специфичных програм, которые умеют сканировать диапазоны айпи и диапазоны портов, проверять их на коннект по РДП-протоколу, далее брутить их по словарю, так что все возможно. Мой тебе совет, сменивай пасс на более тяжелый и проверь учетки в lusrmgr.msc Если там есть левые учетки кроме твоей админской, удаляй их, после проверь ключи реестра: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe" sethc.exe Utilman.exe Эти разделы удаляй также, их не должно быть, их используют как бэкдоры. Ну и диспетчер проверь на всякий случай, автозагрузку, службы: Anwir Task Manager вполне подойдет. После этого можешь не беспокоиться и использовать далее RDP-протокол для подключения к дедику. Главное более сложный пасс, буквы-цифры. |
|
|