Win server RDP - проблема с подключением

Всем привет!
Тема в продолжении моей головной боли с сервером - ip kvm или удаленное управление на уровне hardware.

Суть в том, что я очень долго игнорировал позывы системы на смену пароля админа, и вот я в итоге дождался. Сегодня при попытке привычно подрубиться к RDP получил веселое окошко:

Причину сия сообщения я конечно понял, система видимо устала ждать смену пароля (хотя я могу ошибаться). Естественно я сразу пустился штудировать гугл (общие причины данной ошибки я конечно же нашел - NLA. Но дело в том, что вот уже несколько лет на данной ОС (Windows Server 2012 R2) никаких проблем с этим не было, по этому я и думаю что дело в длительном отказе от смены пароля, хотя это ведь могут быть какие нибудь неудачные обновления) по данной проблеме, и как ни странно решение ее я нашел. Создал файл подключения и добавил в него параметр "enablecredsspsupport:i:0", данный вопрос он решил, но тут же возник новый.
Дальше я получаю новое сообщение, о том что необходима проверка на уровне сети:

Данную проблему я тоже успешно загуглил, но предложенное решение мне не помогло, а именно:
В реестре, по пути

в параметре "Security Packages" указать "tspkg", а по пути

в параметр "SecurityProviders" добавить через запятую библиотеку "credssp.dll".
Собственно после всех манипуляций, я все равно получаю ошибку не возможности проверки на уровне сети.
Собственно, есть у кого то какие идеи, как обойти проблему удаленно?

PS Сейчас нашел альтернативный тонкий клиент wtware, как пишут, с ним получится это обойти, но я если честно не надеюсь.
PSS Сейчас понял, что нужно будет подготовить альтернативные варианты удаленного доступа, кто то может подсказать наиболее правильное и безопасное решение? TeamViewer сервисом ставить что то меня не возбуждает, уж больно мейнстримовский софт и как мне кажется может иметь уйму широкоивестных уязвимостей.

Ну ты отключил NLA на клиентской машине, но на серверной то требует авторизацию через NLA.
Если пароль учетки просит сменить на клиентской машине откуда подключаешься, то меняй через lusrmgr.msc
Если же просит сменить на серверной машине и есть физический доступ к ней, то также поменяй пасс учетки и поставь галочку в настройки учетки на безлимитный пароль ( или что-то в этом роде ) в том же lusrmgr.msc, проблема должна решиться.

У себя на компе нет смысла отключать NLA, сервер ведь принимает только клиентов через NLA, что и говорит вторая ошибка.

Вот, этот рег-файл отключит NLA на серверной машине:



В свое время отключал NLA на ломанных дедиках =)


Сохрани в расширение .reg


Запускать его соответственно надо на серверной машине, по этому если нет учетки, нужен физический доступ к машине.
И в будущем надо задуматься и добавить дополнительные админские учетки как запасные.

П.С. Извини, не смог отредактировать сообщения, кнопка "Изменить" неактивна ( не нажимается ) почему-то...

sllrdp, спасибо, в общем без физ доступа к серверу я так понимаю уже никак не попаду удаленно.
Самое интересное то, что пароль я вроде ствил без ограничения по времени.

Bloo, выходит что да. Нужно отключить NLA на сервере, затем приконектиться, дойдешь до винлогона, а там уже сможешь сменить пасс когда попросит. Странно что ошибка говорит о Перед первым входом в систему..., очень странно, ведь ты говоришь что часто там заходил на терминале. Если сервер на хостинге, напиши хостерам чтобы пасс меняли и отправили новый. После этого проверь lusrmgr.msc на предмет "левых" учеток, возможно дедик стал жертвой брута ( если пароль был легкий ), и кто-то дабы заставить сменить пароль, поставил галочку "При следующего входа просить сменивать пасс" ( что-то в это роде есть там же в настройках ). Если спалишь левые учетки, напиши мне, помогу избавиться от бэкдоров, если кто-то решит их использовать. RDP-протокол очень уязвимый протокол для компьютеров.

sllrdp, все так, вхожу более менее регулярно с самой установки последней оси, т.к. Win s 2012, сколько стоит не помню, год точно. Сервер стоит хрен знает где, в первом посте есть ссылка на вторую тему, там будет понятно почему подруб исключительно по RDP и физическое присутствие на сервере тяжелая история.

Если из под того же пользователя войдут локально и сменят пасс, я же после этого смогу войти по RDP по новому паролю и все что нужно вырубить? На счет брута сомневаюсь, порт у RDP совсем не стандартный, вряд ли на него попадут случайно.

Завтра должны подъехать к серверу и сменить пароль, дальше буду отрубать NLA, ставить вечный пароль и думать о запасных путях удаленного коннекта.

Да, конечно. Дело в том что по идее в NLA не предусмотрели эту фишку, и через него нельзя сменивать старый пасс на новый при таком запросе. Тут только из винлогона.



На сегодняшний день наблюдаю в мире брутов достаточно специфичных програм, которые умеют сканировать диапазоны айпи и диапазоны портов, проверять их на коннект по РДП-протоколу, далее брутить их по словарю, так что все возможно.

Мой тебе совет, сменивай пасс на более тяжелый и проверь учетки в lusrmgr.msc
Если там есть левые учетки кроме твоей админской, удаляй их, после проверь ключи реестра:

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe"
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe"

sethc.exe
Utilman.exe

Эти разделы удаляй также, их не должно быть, их используют как бэкдоры.
Ну и диспетчер проверь на всякий случай, автозагрузку, службы: Anwir Task Manager вполне подойдет.
После этого можешь не беспокоиться и использовать далее RDP-протокол для подключения к дедику. Главное более сложный пасс, буквы-цифры.