Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MS RDP (Remote Desktop, Terminal Services) FAQ

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

Открыть новую тему     Написать ответ в эту тему

SergeyCVS



winextreme team
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Microsoft Windows Remote Desktop Services (Ранее Terminal Services)


В этой теме собраны ссылки на обсуждения по этой теме, в этом форуме. А так же добавлены ссылки на полезные ресурсы в интернете.

  • Железо
  • Лицензирование
  • Организация терминальных сеансов
  • Публикация RDS
  • Печать в терминальных сеансах
  • Клиенты
  • Администрирование
  • Хотфиксы
  • Приложения на тс-сервере
  • Проблемы
  • Разное
  • Другие способы организации терминальных серверов
  • Ссылки

  • Всего записей: 2445 | Зарегистр. 04-01-2002 | Отправлено: 13:16 28-10-2004 | Исправлено: fscpsd, 09:51 16-05-2023
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Для проверки подлинности на сетевом уровне, используется шифрование (сертификаты), которое, в свою очередь, имеет такой параметр, как штамп времени (time stamp). Тут, не помню в какую очередь, необходимо понимать часовой пояс.
    В винде, есть такой параметр, как максимально допустимое расхождение времени (час по умолчанию). Используется там же, для получения тикета Kerberos в домене AD, но не только.
    Почитать об этом можно запуливая ключевые слова в поисковик. Только в чем смысл?
    Скорее всего, смысл в том, что вы пытаетесь зайти издалека... Может стоит быть попроще, например
    http://pyatilistnik.org/obnaruzheno-razlichie-vo-vremeni-ili-tekushhey-date-pri-popyitke-zayti-cherez-rdp-windows-server-2012-r2/

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:19 05-01-2018
    UZver81



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    Спасибо за ответ! Смысл в том, что при подключении к удаленому серверу (английская локаль), он (сервер) на второй раз мне уже поставил русскую раскладку, хоть я его об этом не просил. Вот и встал вопрос о тех данных, которые передаются при логине на сервер

    Всего записей: 13 | Зарегистр. 03-01-2008 | Отправлено: 18:36 05-01-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Имеет доступ к списку языков. Даже вебсайты имеют такой доступ, если не отмечен чекбокс "Запретить вебсайтам..." Но всё-равно будет доступ к настройкам формата даты, времени и т.д. Руборд сейчас знает разрешение моего и вашего экранов.
    Да ну и что...

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:49 05-01-2018
    UZver81



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Да ну и что...
     

    Да, локаль не самая опасная инфа, я Вами согласен, вопрос: что передается при хэндшейке, если ТОЛЬКО время и локаль то ок, а если нет? Хотелось бы знать что именно...

    Всего записей: 13 | Зарегистр. 03-01-2008 | Отправлено: 18:57 05-01-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вообще, протокол сертифицирован, емнип, на соответствие Оранжевой книге МО США. У вас секретней? Ну, поищите. Лучше на социал.течнет
     
    Добавлено:
    Теоретически, любая сетевая карта может дублировать весь трафик по еще одному направлению не ставя об этом в известность даже ОС. Такая теория шпионозаговора... Как раз для флейма

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:34 05-01-2018
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, в чем может быть проблема, внезапно на части компов с Windows 7 при подключении к RDP 2012 R2 перестала работать NLA с такой ошибкой:

    Код:
     
    Произошла ошибка проверки подлинности.
    Указанная функция не поддерживается.
     

    От версии клиента (7.0, 8.0) и присутствия в домене не зависит.
    При отключении обязательного требования NLA на серверах - работают все.
     
    В ММС на сервере вижу сертификат RDP самоподписанный валидный (на 183 дня).
     
    В настройках серверов ничего не менялось уже давно.
     
    Может какое-то обновление вышло, запрещающее самоподписанные сертификаты? Как вылечить?
     
    Настройки сервера:

    Код:
     
    __GENUS                                : 2
    __CLASS                                : Win32_TSGeneralSetting
    __SUPERCLASS                           : Win32_TerminalSetting
    __DYNASTY                              : CIM_ManagedSystemElement
    __RELPATH                              : Win32_TSGeneralSetting.TerminalName="RDP-Tcp"
    __PROPERTY_COUNT                       : 20
    __DERIVATION                           : {Win32_TerminalSetting, CIM_Setting, CIM_ManagedSystemElement}
    __SERVER                               : RDP
    __NAMESPACE                            : root\cimv2\terminalservices
    __PATH                                 : \\RDP\root\cimv2\terminalservices:Win32_TSGeneralSetting.TerminalName="RDP-Tcp
                                             "
    Caption                                :
    CertificateName                        :
    Certificates                           : {0, 0, 0, 0...}
    Comment                                :
    Description                            :
    InstallDate                            :
    MinEncryptionLevel                     : 2
    Name                                   :
    PolicySourceMinEncryptionLevel         : 0
    PolicySourceSecurityLayer              : 0
    PolicySourceUserAuthenticationRequired : 1
    SecurityLayer                          : 1
    SSLCertificateSHA1Hash                 : 2*****************7
    SSLCertificateSHA1HashType             : 1
    Status                                 :
    TerminalName                           : RDP-Tcp
    TerminalProtocol                       : Microsoft RDP 8.0
    Transport                              : tcp
    UserAuthenticationRequired             : 1
    WindowsAuthentication                  : 0
    PSComputerName                         : RDP__GENUS                                : 2
    __CLASS                                : Win32_TSGeneralSetting
    __SUPERCLASS                           : Win32_TerminalSetting
    __DYNASTY                              : CIM_ManagedSystemElement
    __RELPATH                              : Win32_TSGeneralSetting.TerminalName="RDP-Tcp"
    __PROPERTY_COUNT                       : 20
    __DERIVATION                           : {Win32_TerminalSetting, CIM_Setting, CIM_ManagedSystemElement}
    __SERVER                               : RDP
    __NAMESPACE                            : root\cimv2\terminalservices
    __PATH                                 : \\RDP\root\cimv2\terminalservices:Win32_TSGeneralSetting.TerminalName="RDP-Tcp
                                             "
    Caption                                :
    CertificateName                        :
    Certificates                           : {0, 0, 0, 0...}
    Comment                                :
    Description                            :
    InstallDate                            :
    MinEncryptionLevel                     : 2
    Name                                   :
    PolicySourceMinEncryptionLevel         : 0
    PolicySourceSecurityLayer              : 0
    PolicySourceUserAuthenticationRequired : 1
    SecurityLayer                          : 1
    SSLCertificateSHA1Hash                 : 2*****************7
    SSLCertificateSHA1HashType             : 1
    Status                                 :
    TerminalName                           : RDP-Tcp
    TerminalProtocol                       : Microsoft RDP 8.0
    Transport                              : tcp
    UserAuthenticationRequired             : 1
    WindowsAuthentication                  : 0
    PSComputerName                         : RDP
     

    Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 15:11 09-05-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Меня винда отправила вот сюда. Там есть обновление позавчерашним днём

    Цитата:
    May 8, 2018
    An update to change the default setting from Vulnerable to Mitigated.
    Related Microsoft Knowledge Base numbers are listed in CVE-2018-0886.
     
    Как лечить пока не понятно

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:18 10-05-2018
    ipmanyak



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    gap5

    Код:
     
    Произошла ошибка проверки подлинности.
    Указанная функция не поддерживается.
     
     Это виновато обновление Микрософта - May 8, 2018—KB4103718 (Monthly Rollup) Месячное накопительное обновление безопасности.
    https://support.microsoft.com/en-us/help/4103718/windows-7-update-kb4103718
    Закрывает уязвимость протокола CredSSP  в момент аутентификации.  
     Если KB4103718 снести у клиента, то RDP начинает работать. Вчера столкнулись с этим. Контора, владелец сервера, устранила проблему на своей стороне, как именно, пока не знаю,  как узнаю сообщу. Предполагаю, что они и на сервер поставили  это же обновление.


    ----------
    В сортире лучше быть юзером, чем админом...

    Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:40 11-05-2018
    ipmanyak



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Да точно, они поставили  апдэйт на сервер.


    ----------
    В сортире лучше быть юзером, чем админом...

    Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 09:49 11-05-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    По той ссылке, что давал ранее, внесены пара строк...

    Цитата:
    May 8, 2018
    An update to change the default setting from Vulnerable to Mitigated.
    Related Microsoft Knowledge Base numbers are listed in CVE-2018-0886.
    By default, after this update is installed, patched clients cannot communicate with unpatched servers. Use the interoperability matrix and group policy settings described in this article to enable an “allowed” configuration.

    Подчеркнут смысл.
    Там, под спойлером "Applies to:" все ОСи, 7 и младше. Так что танцуют все попали все.
    Попробую политики покрутить, как там написано. Спасибо МС за праздничный подарок

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:27 11-05-2018
    Cokpam



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сделал файл реестра по этому случаю. Код ниже.
    Если сервер не обновлён, а клиент уже обновлён, то чтобы зайти на сервер не обновляя его или не откатывая клиента, нужно применить файл с параметром "AllowEncryptionOracle" равным 2.
    После обновления сервера применить файл на ранее обновлённых клиентах ещё раз с параметром "AllowEncryptionOracle" равным 0.
    Остальные варианты описаны в табличном виде. Подробности по ссылке:
    https://support.microsoft.com/ru-ru/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
    Изменения на клиентах вступают в силу без перезагрузки!
     

    Код:
     
    Windows Registry Editor Version 5.00  
     
    ;https://support.microsoft.com/ru-ru/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018  
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]  
    "AllowEncryptionOracle"=dword:00000002  
     
    ;Обновление групповой политики шифрования Oracle поддерживает следующие три варианта, которые должны применяться к клиентам и серверам.  
    ;  
    ;Параметр политики    Значение реестра  Поведение клиента                              Поведение сервера  
    ;  
    ;Принудительное                         Клиентские приложения, использующие CredSSP    Службы, использующие CredSSP не будут принимать клиентов без исправлений.  
    ;обновление                             не будут иметь возможности возвращаться              
    ;клиентов             0                 к небезопасным версиям.                        Примечание. Этот параметр не будет развёрнут,  
    ;                                                                                      пока все ОС Windows и клиенты сторонних CredSSP  
    ;                                                                                      поддерживают самые последние версии CredSSP.  
    ;  
    ;Устранён             1                 Клиентские приложения, использующие CredSSP    Службы, использующие CredSSP будут принимать непропатченых клиентов.  
    ;                                       не будут иметь возможности возвращаться  
    ;                                       к небезопасным версиям.  
    ;  
    ;Уязвимость           2                 Клиентские приложения, использующие CredSSP    Службы, использующие CredSSP будут принимать непропатченых клиентов.  
    ;                                       будут доступны удалённым серверам для атаки,  
    ;                                       поддерживая переход к небезопасной версии.  
     

    Всего записей: 1703 | Зарегистр. 02-07-2006 | Отправлено: 18:39 13-05-2018 | Исправлено: Cokpam, 18:50 13-05-2018
    RetroSysAdmin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
     
    В настройках серверов ничего не менялось уже давно.
     
    Может какое-то обновление вышло, запрещающее самоподписанные сертификаты? Как вылечить?  

     
     
    Поторопитесь с патчем
     
    Корпорация Microsoft планирует блокировать попытки RDP-соединения (протокол удаленного рабочего стола) с серверами под управлением Windows Server со стороны клиентов, которые не установили патч к недавно исправленной уязвимости.
     
    Дело касается уязвимости CVE-2018-0886, исправленной в недавнем обновлении для Windows. Уязвимость в протоколе Credential Security Support Provider (CredSSP — провайдер поддержки безопасности учетных данных) допускала удаленный запуск произвольного кода на уязвимой системе. Ошибка была связана с тем, как CredSSP обрабатывал запросы на авторизацию. Иными словами, хакер с помощью атаки "человек посередине" мог направлять серверу произвольные команды, выдавая себя за легитимного пользователя или даже администратора.
     
    Уязвимость присутствовала в Microsoft Windows Server 2008 SP2 и R2 SP1, Windows 7 SP1, Windows 8.1 и RT 8.1, Windows Server 2012 и R2, Windows 10 Gold, версиях 1511, 1607, 1703, и 1709 Windows Server 2016 и в Windows Server версии 1709.
     
    В документации к патчу написано, что мероприятия по исправлению должны включать обновление соответствующих ОС у клиентов и на сервере, а также использование прилагающихся настроек групповой политики (Group Policy) или аналогов для работы с реестром — для управления настройками на клиентских компьютерах и на сервере. "Мы рекомендуем администраторам установить предложенную политику и выставить в ней значения "Принудительное обновление клиентов" (Force updated clients) или "Исправлено" (Mitigated) как можно скорее", — отмечают разработчики.
     
    Значения Force Updated Clients и Mitigated подразумевают что службы, использующие CredSSP, не будут принимать соединения от клиентов, у которых не установлены обновления, в то время как клиентские приложения будет невозможно откатывать к ранним, уязвимым версиям.
     
    Если администраторы выставят значение "уязвимый" (Vulnerable), то возможность таких соединений сохранится. Именно это значение пока остается "по умолчанию". Политика выставляется по адресу: ComputerConfiguration -> AdministrativeTemplates -> System -> CredentialsDelegation.
     
    Реализм и жесткость
     
    В документации упоминается также, что в апреле-мае 2018 г. Microsoft собирается "накатывать" новые обновления, которые будут привлекать повышенное внимание к неустановленным обновлениям — что на стороне клиента, что на стороне сервера и принудительно переведут политику групп в режим Mitigated. После этого возможность подключения уязвимых клиентов по RDP к серверу будет заблокирована полностью.
     
    "Microsoft дает "реалистичные" два месяца на то, чтобы установить все необходимые обновления, в том числе, к сторонним RDP-клиентам, после этого переходит к "жестким" защитным мерам, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Подобная жесткость себя скорее оправдывает, чем нет; без этого установка обновлений может затянуться, а значит, и вероятность успешной эксплуатации повысится. Вопрос в том, сколько кибератак произойдет до того, как все обновления будут выпущены и установлены".

    Всего записей: 63 | Зарегистр. 21-10-2016 | Отправлено: 19:06 18-05-2018
    spanjokus

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OnePrg
    У меня был подобный гдюк, но в W7, решал восстановлением через sfc /scannow, на сколько это актуально для хрюши не подскажу

    Всего записей: 31 | Зарегистр. 31-05-2018 | Отправлено: 21:36 12-06-2018
    oplrox

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем. Есть такая задача, необходимо сделать одновременное подключение по RDP нескольких пользователей (на winXP) к одной виртуальной машине (virtualbox winXP), но чтоб каждый юзер работал в своей изолированной сессии, т.е. на своем рабочем столе. Подскажите возможно ли такое сделать и куда копать?

    Всего записей: 209 | Зарегистр. 29-12-2010 | Отправлено: 18:57 20-06-2018 | Исправлено: oplrox, 18:59 20-06-2018
    ipmanyak



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    oplrox Вы в курсе, что WIN XP это не сервер и по дефолту разрешено только 1 подключение? Чтобы было больше, ака сделать темринальный сервер, нужно патчить спец. модуль, что является нарушением закона. Если вас это не смущает, то поиск в гугль  Universal Termsrv.dll Patch by DeepXW  
    имей ввиду, антивирусы и даже браузеры будут ругаться, что там вирус,  сам понимаешь почему. Лучше бы ты сервер windows 2003 поставил вместо XP.

    Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:19 21-06-2018
    oplrox

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Текст от ipmanyak:
    Вы в курсе, что WIN XP это не сервер и по дефолту разрешено только 1 подключение?
    Спасибо за ответ.  
    Да в курсе, и насчет патча тоже (еще не проверял). Но я так понимаю, это лишь позволит подключаться клиентам одновременно к одной сессии, а не к отдельным, или я ошибаюсь?  
    И еще, есть такая идея. Существует утилита RDP Plus, в ней встроен ключ для подключения к разным мониторам (/mon). Если допустим, создать средствами вирт машины несколько мониторов, далее с помощью сторонних решений назначить на каждый из них свой отдельный рабочий стол, и через RDP Plus с ключем подключаться к разным мониторам-столам... Что думаете по этому поводу, осуществимо?

    Цитата:
    Текст от ipmanyak:
    Если вас это не смущает...
    Скорее смущает то, что такие "почти" банальные нужды невозможно реализовать штатными средствами и приходится искать сторонние решения. Не в обиду вендору).

    Всего записей: 209 | Зарегистр. 29-12-2010 | Отправлено: 08:26 21-06-2018 | Исправлено: oplrox, 12:19 21-06-2018
    aladdin79

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Столкнулся с проблемой.  
    Терминальный сервер на Windows2003 (он же контроллер домена)
    Из локалки подключается без проблем
    Снаружи подключается с 99% мест без проблем. Причем выдает старое окно авторизации
    логин
    пароль
    Домен
     
    А с одного места (с которого в общем-то и надо) не заходит.
    Во-первых, различие, что из этого места при авторизации выдает окно с иконками пользователей  
    (ну то есть: квадратные кнопки на красивом фоне
    USER     ДРУГОЙ ПОЛЬЗОВАТЕЛЬ  
    ОТМЕНА
     
    Ну и главное, что при авторизации пишет "неверный пользователь и пароль"
    Само собой всё правильно, вхожу как доменный юзер:   DOMEN\VASYA
    Но не пускает.
     
    Пытаюсь понять, с чем связаны разные окна авторизации. На нормальное (старое) окно, с которого пускает - заходил и с W7 и W2008 и W2003 и Wxp
     
    Там. откуда проблемы - пробовал и с W7 И W2008
    То есть логики не прослеживаю. Не знаю, что и делать.
    Есть подозрения, что что-то с безопасностью, с сертификатами, с версиями rdp, но вроде всё перепробовал, что нашел в интернете

    Всего записей: 62 | Зарегистр. 03-07-2008 | Отправлено: 11:47 24-07-2018
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    oplrox
    Цитата:
    Если допустим, создать средствами вирт машины несколько мониторов
    А не проще ли создать несколько виртуальных машин, для каждого пользователя?  


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:37 24-07-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Есть подозрения, что что-то с безопасностью

    Мысль похожая, в принципе. Вы проверьте с того места, откуда проблемы, по тому ли вы IP ходите? Может вы логин с паролем скармливаете в фишиговое окно

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:41 24-07-2018
    oplrox

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Текст от vlary:  
    А не проще ли создать несколько виртуальных машин, для каждого пользователя?
    Я бы не сказал, хотя и думал про этот вариант с самого начала. Тогда для каждой машины придется выделять ресурсы процессора, памяти, пространства, а это будет намного затратней нежели для одной ВМ, которая будет их задействовать только когда этого потребует нагрузка. Это во-первых. А во-вторых, эти вирт.машины придется держать постоянно включенными что уже расточительно и усложняет их обслуживание. Конечно, в этом варианте есть и преимущества, типа изоляции доступа у каждого клиента, персональность настройки каждой машины..., но они все равно не окупают условия и требования к данной задаче.

    Всего записей: 209 | Зарегистр. 29-12-2010 | Отправлено: 19:23 01-08-2018 | Исправлено: oplrox, 19:24 01-08-2018
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MS RDP (Remote Desktop, Terminal Services) FAQ


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru