রিমোট ডেস্কটপ 'অভ্যন্তরীণ ত্রুটি' সত্যায়িতভাবে সংযুক্ত 'এনএসএ' প্যাচগুলি ইনস্টল হওয়ার পরে

আমি সবেমাত্র সর্বশেষ উইন্ডোজ আপডেট ইনস্টল করেছি (মঙ্গলবার এনএসএ দুর্বলতা প্যাচ) এবং এখন আমি দূরবর্তী ডেস্কটপে সংযোগ করতে পারি না।

• সার্ভারটি দূর থেকে হোস্ট করা হয়েছে। আমার শারীরিক প্রবেশাধিকার নেই। সার্ভার 2012 আর 1।
• ভাগ্যক্রমে সমস্ত ওয়েব সাইটগুলি পুনরায় বুটের পরে ঠিক চলছে।
• আমি এখনও দ্বিতীয় রিবুট চেষ্টা করিনি কারণ আমি একটু ভয় পেয়েছি।
• আমি সংযোগ দেওয়ার চেষ্টা করার সাথে সাথেই আমি এই বার্তাটি পেয়ে যাই :
• " রিমোট ডেস্কটপ সংযোগ : একটি অভ্যন্তরীণ ত্রুটি ঘটেছে"

• একাধিক ক্লায়েন্ট থেকে চেষ্টা করেছেন। এগুলি সমস্ত ব্যর্থ হয় - আইওএস অ্যাপ্লিকেশন সহ যা আমাকে 0x00000904 ত্রুটি দেয়।
• আমি যদি চালনা করি telnet servername 3389তবে এটি কোনও সংযোগ শুরু করে, তাই আমি জানি যে বন্দরটি উন্মুক্ত।
• আমি আমার উইন 10 (আনপ্যাচড) মেশিন থেকে অন্যান্য সার্ভারের সাথে ঠিক সূক্ষ্মভাবে সংযোগ করতে পারি।
• আমি আমার দ্বিতীয় ল্যাপটপ থেকে সংযোগ করতে পারি না, এটি উইন 10 ক্রিয়েটার্স সংস্করণ।
• ইভেন্ট ভিউয়ারে দরকারী কিছু খুঁজে পাওয়া যায় না।
• এমনকি আমি ওয়্যারশার্ক চেষ্টা করেছি যা আমাকে দরকারী কিছু দেখায় নি।
• আমার সবচেয়ে ভাল যা নির্ণয় করতে হবে তা হ'ল একটি এএসপিএক্স পৃষ্ঠা আপলোড করে চালানো।

আমি বুঝতে পেরেছি যে সাম্প্রতিক 'এনএসএ সংস্করণ' প্যাচ রাউন্ডআপে কিছু আরডিপি ফিক্স রয়েছে - তবে সপ্তাহে হঠাৎ হঠাৎ সমস্যা হওয়া অন্য কাউকে আমি পাই না।

হোস্টিং সংস্থার সাথে যোগাযোগ করার আগে সমস্যাটি কী তা আমি একটি ধারণা পেতে চাই, যার কারণেই আমি এখানে পোস্ট করছি।

হালনাগাদ:

আমার এখনও শারীরিক সার্ভার অ্যাক্সেস না থাকা অবস্থায় আমার মনে আছে আমার একটি উইন্ডোজ 7 ভিএম সার্ভারে নিজেই হোস্ট করেছে। আমি এটিতে সক্ষম হয়েছি এবং 10.0.0.1 স্থানীয় আইপিতে সংযোগ করে সার্ভার শংসাপত্রগুলি স্ন্যাপ-ইন খুলতে সক্ষম হয়েছি।

এটি দেখায় যে আরডিপি শংসাপত্রটি প্রকৃতপক্ষে শেষ হয়ে গেছে - যদিও প্রস্তাবটি সংযুক্ত করার সময় আমি কোনও ত্রুটি পাই না। আমি অবশ্যই দৈনিক সংযোগ করছি এবং যেহেতু 2 মাস আগে এটির মেয়াদ শেষ হয়ে গেছে আমার ধারণা হ'ল রিমোট ডেস্কটপ স্টোরের অন্য কোনও শংসাপত্র যা কিছু ছিল তা সুরক্ষা আপডেটের কিছু প্রকার থেকে সরিয়ে দেওয়া হয়েছিল এবং এটি নিজেই পুনর্নবীকরণ করেনি।

তাই এখনই এখানে আলাদা আলাদা সার্ট ইনস্টল করার একটি উপায় বের করার চেষ্টা করছি।

আপডেট 2

অবশেষে এটি 'অ্যাডমিনিস্ট্রেটিভ ইভেন্টস' এর অধীনে ইভেন্ট লগ-এ পাওয়া গেছে (ভিএম এর মাধ্যমে দূরবর্তীভাবে সংযোগ স্থাপন করে):

"টার্মিনাল সার্ভার এসএসএল সংযোগগুলিতে টার্মিনাল সার্ভার প্রমাণীকরণের জন্য ব্যবহার করার জন্য একটি নতুন স্বাক্ষরযুক্ত শংসাপত্র তৈরি করতে ব্যর্থ হয়েছে relevant

কিছুটা ভিন্ন ত্রুটি হলেও এটি সহায়ক বলে মনে হচ্ছে। আজ রাতে পুনরায় বুট করা যাবে না যদিও আগামীকাল আবার পরীক্ষা করতে হবে।

https://blogs.technet.microsoft.com/the_9z_by_chris_davis/2014/02/20/event-id-1057-the-terminal-server-has-failed-to-create-a-new-self-signed-certificate/

সমাধানটি মূলত এখানে

https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/

এটিও সাহায্য করেছে:

https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to- ব্যর্থ তৈরি করার যোগ্য-স্ব-স্বাক্ষরিত-শংসাপত্র? ফোরাম = winserverTS

ধরে নিলাম আপনি ইতিমধ্যে যাচাই করেছেন যে শংসাপত্রগুলি> রিমোট ডেস্কটপ> শংসাপত্রগুলির অধীনে তালিকাভুক্ত শংসাপত্রটি বৈধ নয় ...

দ্রষ্টব্য: আমি সমস্ত কিছু ঠিক করার পরে আমি এই স্ক্রিনশটটি নিয়েছি - সুতরাং এই মেয়াদ শেষ হওয়ার তারিখটি নতুনভাবে তৈরি করা শংসাপত্র যা এটি নিজেই করেছে।

মূলত আপনার তখন এই ফাইলটির নাম পরিবর্তন বা মুছতে হবে - এবং তারপরে এটি পুনরায় তৈরি করবে:

"সি: \ ProgramData \ মাইক্রোসফট \ ক্রিপ্টো \ আরএসএ \ MachineKeys \ f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757"

এটি শুরুতে একটি সুপরিচিত ফাইল নাম f686aace। তারপরে Remote Desktop Configurationপরিষেবাটি পুনরায় চালু করুন এবং এটি পুনরায় তৈরি করা উচিত। (দ্রষ্টব্য: পরিষেবাটি পুনরায় আরম্ভ করার প্রয়োজন হতে পারে না - এটি এক মিনিটের জন্য একই ফাইলনাম দিয়ে পুনরায় তৈরি করা হয়েছে কিনা তা দেখার জন্য অপেক্ষা করুন)।

অনুমতিগুলির সাথে এটি কিছুটা বিশৃঙ্খলা নিতে পারে এবং আপনাকে ফাইলটির মালিকানা নিতে হবে এবং তারপরে অনুমতিগুলি প্রয়োগ করতে হবে। দ্রষ্টব্য: মালিকানা অনুমতিগুলি বোঝায় না। মালিকানা নেওয়ার পরে আপনাকে অবশ্যই অনুমতিগুলি যুক্ত করতে হবে।

যেমনটি আমি বলেছিলাম সার্ভারে আমার শারীরিক অ্যাক্সেস নেই - যদি আপনি তা করেন তবে উপরেরটি যথেষ্ট হওয়া উচিত।

আমি ভাগ্যবান যে একই স্থানীয় নেটওয়ার্কের অন্য কোনও মেশিনের মাধ্যমে দূরবর্তীভাবে সংযোগ করতে সক্ষম হয়েছি এবং রেজিস্ট্রি পরিবর্তন করতে পারি।

আমি প্রমাণীকরণ অক্ষম করতে চেয়েছিলাম যাতে আমি সংযোগ করতে পারি এবং দূরবর্তীভাবে অ্যাক্সেস পেতে পারি। এটি করার জন্য রেজিস্ট্রি এন্ট্রিগুলিHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

বিদ্যমান কী সেট করুন SecurityLayerএবং UserAuthenticationকরতে0

একটি আরডিপি ফাইল তৈরি করুন (এমএসএসসি খুলুন এবং সার্ভারনেমে প্রবেশের পরে সংরক্ষণ করুন ক্লিক করুন) এবং নোটপ্যাডে enablecredsspsupport:i:0কোথাও লাইন যুক্ত করুন । এটি সুরক্ষার প্রত্যাশা অক্ষম করে।

এরপরে আপনি আরডিপি ফাইলটি চালনা করার সময় এটি আপনাকে অনিশ্চিতভাবে সংযোগ করার অনুমতি দেয় এবং আপনার সার্ভারে অ্যাক্সেস অর্জন করতে পারে।

আপনি সংযুক্ত হওয়ার সাথে সাথেই এই দুটি রেজিস্ট্রি এন্ট্রি পরিবর্তন করুন এবং তারপরে এগিয়ে যান এবং f686...ফাইলটি মুছুন ...

এই সেটিংসটি আমার সমস্যাটিকে স্থির করেছে:

1. নিয়ন্ত্রণ প্যানেলে প্রশাসনিক সরঞ্জামগুলিতে ক্লিক করুন এবং তারপরে স্থানীয় সুরক্ষা নীতিতে ডাবল ক্লিক করুন।

2. স্থানীয় সুরক্ষা সেটিংসে, স্থানীয় নীতিগুলি প্রসারিত করুন এবং তারপরে সুরক্ষা বিকল্পগুলিতে ক্লিক করুন।

3. ডান ফলকে নীতিমালার নীচে, সিস্টেম ক্রিপ্টোগ্রাফিটিতে ডাবল-ক্লিক করুন: এনক্রিপশন, হ্যাশিং এবং স্বাক্ষর করার জন্য ফেয়ারের সাথে সামঞ্জস্যপূর্ণ অ্যালগরিদম ব্যবহার করুন এবং তারপরে সক্ষম ক্লিক করুন। আমার ক্ষেত্রে এটি অক্ষম ছিল। সুতরাং আমি কেবল এটি সক্ষম করে আন্ডার তালিকাভুক্ত কমান্ড জারি করেছি।

4. Gpupdate / বল চালান

আরেকটি বিকল্প যা এই সমস্যার সমাধান করবে:

প্রোটোকলগুলি সার্ভারে সক্ষম ছিল না। আমি আইআইএসক্রিপ্টো ব্যবহার করেছি এবং টিএলএস 1 সক্ষম করেছি এবং সবকিছুই কাজ শুরু করে

হ্যালো আমার পরিবেশে প্রত্যেকেরই কারণ এটি হয়েছিল যখন একটি নতুন স্বাক্ষরিত শংসাপত্র টিএলএস 1.0 তৈরি করা হয়েছিল তা হয় রেজিস্ট্রিতে অক্ষম করা হয় বা রেজিস্ট্রিটিতে উপস্থিত নেই এবং নতুন স্বাক্ষরিত শংসাপত্র বিশ্বস্ত রুট সার্টিফিকেশন কর্তৃপক্ষের দোকানে ছিল না।

রেজিস্ট্রি সম্পাদনার আগে আপনি এই দুটি উপায় প্রমাণ করতে পারবেন। আইআইএস ক্রিপ্টো ডাউনলোড করুন এবং প্রোটোকল, সাইফারস, হ্যাশস এবং কী এক্সচেঞ্জগুলিতে কী সক্ষম এবং অক্ষম রয়েছে তা দেখুন।

কখনও কখনও আইআইএস ক্রিপ্টো দেখায় যে টিএলএস সক্ষম হয়েছে যদিও এটি রেজিস্ট্রিটিতে কেবল একটি এফওয়াইআই সক্ষম নয়।

আপনার পরবর্তী বিকল্পটি স্থানীয় গোষ্ঠী নীতিতে ফেডারেশন চালু করা এটি টিএলএস 1.0, 1.1, এবং 1.2 টি চালু এবং ব্যবহার করতে বাধ্য করে। FIPS চালু করুন এবং তারপরে আপনার মেশিনে আরডিপির চেষ্টা করুন এটি টিএলএস রেজিস্ট্রিতে অক্ষম থাকলেও এটি এই সময় কাজ করবে। আপনি স্থায়ীভাবে FIPS ব্যবহার করতে চান না যদিও এটি সমস্যা সমাধানের জন্য তাই এটি সার্ভারে এটি অক্ষম করুন এবং রেজিস্ট্রির দিকে যান।

হেড HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELও প্রোটোকল অধীনে তিনটি নতুন কী শিরোনাম যোগ তাদের TLS 1.0, TLS 1.1এবং TLS 1.2তারপর অধীনে প্রতিটি TLS এর এন্ট্রি শিরোনাম তাদের দুটি সাব কী তৈরি Clientএবং Server।

ইনসাইড Clientএবং Serverকী দুই 32bit DWORD এন্ট্রি এক খেতাবধারী তৈরি DisabledByDefaultসঙ্গে Value0 এবং সেট Enabled1 থেকে মান সেট করা।

একবার আপনি এটি করেন এবং আপনার স্বাক্ষরিত শংসাপত্রটির মেয়াদ শেষ না হয়ে গেলে এবং সঠিক স্টোরগুলিতে আপনি আবার আপনার সার্ভারে আরডিপি করতে সক্ষম হবেন।