রিমোট ডেস্কটপ 'অভ্যন্তরীণ ত্রুটি' সত্যায়িতভাবে সংযুক্ত 'এনএসএ' প্যাচগুলি ইনস্টল হওয়ার পরে


9

আমি সবেমাত্র সর্বশেষ উইন্ডোজ আপডেট ইনস্টল করেছি (মঙ্গলবার এনএসএ দুর্বলতা প্যাচ) এবং এখন আমি দূরবর্তী ডেস্কটপে সংযোগ করতে পারি না।

  • সার্ভারটি দূর থেকে হোস্ট করা হয়েছে। আমার শারীরিক প্রবেশাধিকার নেই। সার্ভার 2012 আর 1।
  • ভাগ্যক্রমে সমস্ত ওয়েব সাইটগুলি পুনরায় বুটের পরে ঠিক চলছে।
  • আমি এখনও দ্বিতীয় রিবুট চেষ্টা করিনি কারণ আমি একটু ভয় পেয়েছি।
  • আমি সংযোগ দেওয়ার চেষ্টা করার সাথে সাথেই আমি এই বার্তাটি পেয়ে যাই :
  • " রিমোট ডেস্কটপ সংযোগ : একটি অভ্যন্তরীণ ত্রুটি ঘটেছে"

এখানে চিত্র বর্ণনা লিখুন

  • একাধিক ক্লায়েন্ট থেকে চেষ্টা করেছেন। এগুলি সমস্ত ব্যর্থ হয় - আইওএস অ্যাপ্লিকেশন সহ যা আমাকে 0x00000904 ত্রুটি দেয়।
  • আমি যদি চালনা করি telnet servername 3389তবে এটি কোনও সংযোগ শুরু করে, তাই আমি জানি যে বন্দরটি উন্মুক্ত।
  • আমি আমার উইন 10 (আনপ্যাচড) মেশিন থেকে অন্যান্য সার্ভারের সাথে ঠিক সূক্ষ্মভাবে সংযোগ করতে পারি।
  • আমি আমার দ্বিতীয় ল্যাপটপ থেকে সংযোগ করতে পারি না, এটি উইন 10 ক্রিয়েটার্স সংস্করণ।
  • ইভেন্ট ভিউয়ারে দরকারী কিছু খুঁজে পাওয়া যায় না।
  • এমনকি আমি ওয়্যারশার্ক চেষ্টা করেছি যা আমাকে দরকারী কিছু দেখায় নি।
  • আমার সবচেয়ে ভাল যা নির্ণয় করতে হবে তা হ'ল একটি এএসপিএক্স পৃষ্ঠা আপলোড করে চালানো।

আমি বুঝতে পেরেছি যে সাম্প্রতিক 'এনএসএ সংস্করণ' প্যাচ রাউন্ডআপে কিছু আরডিপি ফিক্স রয়েছে - তবে সপ্তাহে হঠাৎ হঠাৎ সমস্যা হওয়া অন্য কাউকে আমি পাই না।

হোস্টিং সংস্থার সাথে যোগাযোগ করার আগে সমস্যাটি কী তা আমি একটি ধারণা পেতে চাই, যার কারণেই আমি এখানে পোস্ট করছি।


হালনাগাদ:

আমার এখনও শারীরিক সার্ভার অ্যাক্সেস না থাকা অবস্থায় আমার মনে আছে আমার একটি উইন্ডোজ 7 ভিএম সার্ভারে নিজেই হোস্ট করেছে। আমি এটিতে সক্ষম হয়েছি এবং 10.0.0.1 স্থানীয় আইপিতে সংযোগ করে সার্ভার শংসাপত্রগুলি স্ন্যাপ-ইন খুলতে সক্ষম হয়েছি।

এটি দেখায় যে আরডিপি শংসাপত্রটি প্রকৃতপক্ষে শেষ হয়ে গেছে - যদিও প্রস্তাবটি সংযুক্ত করার সময় আমি কোনও ত্রুটি পাই না। আমি অবশ্যই দৈনিক সংযোগ করছি এবং যেহেতু 2 মাস আগে এটির মেয়াদ শেষ হয়ে গেছে আমার ধারণা হ'ল রিমোট ডেস্কটপ স্টোরের অন্য কোনও শংসাপত্র যা কিছু ছিল তা সুরক্ষা আপডেটের কিছু প্রকার থেকে সরিয়ে দেওয়া হয়েছিল এবং এটি নিজেই পুনর্নবীকরণ করেনি।

তাই এখনই এখানে আলাদা আলাদা সার্ট ইনস্টল করার একটি উপায় বের করার চেষ্টা করছি।

আপডেট 2

অবশেষে এটি 'অ্যাডমিনিস্ট্রেটিভ ইভেন্টস' এর অধীনে ইভেন্ট লগ-এ পাওয়া গেছে (ভিএম এর মাধ্যমে দূরবর্তীভাবে সংযোগ স্থাপন করে):

"টার্মিনাল সার্ভার এসএসএল সংযোগগুলিতে টার্মিনাল সার্ভার প্রমাণীকরণের জন্য ব্যবহার করার জন্য একটি নতুন স্বাক্ষরযুক্ত শংসাপত্র তৈরি করতে ব্যর্থ হয়েছে relevant

কিছুটা ভিন্ন ত্রুটি হলেও এটি সহায়ক বলে মনে হচ্ছে। আজ রাতে পুনরায় বুট করা যাবে না যদিও আগামীকাল আবার পরীক্ষা করতে হবে।

https://blogs.technet.microsoft.com/the_9z_by_chris_davis/2014/02/20/event-id-1057-the-terminal-server-has-failed-to-create-a-new-self-signed-certificate/

এখানে চিত্র বর্ণনা লিখুন


2
এটির হিসাবে উল্লেখ না করে আপনি কোন আপডেট বা আপডেট ইনস্টল করেছেন তা যদি আপনি আমাদের জানান তবে ভাল হবে NSA vulnerability patch tuesday। সবাই "রহস্য আপডেট থিয়েটার 3000" খেলতে পাত্তা দেয় না।
joeqwerty

আমি আপনাকে বলতে চাই - তবে আমি কেবল উইন্ডোজ আপডেট চালিয়েছি এবং তারপরে এটি পুনরায় চালু হয়েছে - এবং এখন আমি getুকতে পারি না win 'সর্বশেষ আপডেট' যা জিতে 2 কে আপডেট করতে চেয়েছিল তা দুর্ভাগ্যক্রমে আমি রহস্যটি প্রকাশ করতে পেরেছি is আমি কৌশলটি ভাবার চেষ্টা করে সারা দিন থিয়েটার 3000 খেলি। আমি যদি হোস্টিং সংস্থাকে পুনরায় বুট করার সুযোগ পাই তবে তা ঠিক হয়ে যাবে, তবে মনে হয় যে আমি নিজেকে নিজের বাড়ির বাইরে রেখে দিয়েছি এবং আমি সেখানে থাকব না এমন লকস্মিথ পাঠাচ্ছি। Godশ্বরের ধন্যবাদ আমি এসকিউএল সার্ভার / এফটিপি-র জন্য দূরবর্তী অ্যাক্সেস পেয়েছি এবং সমস্ত ওয়েবসাইট ঠিক আছে। আপডেটগুলি দেখতে রান করার জন্য যদি কমান্ড থাকে তবে আমি এটি চেষ্টা করতে পারি
সাইমন

1
সমস্যাটি সমাধান না হওয়া পর্যন্ত আপনি উইন্ডোজ আপডেট ইতিহাসের দিকে তাকানোর চেষ্টা করতে পারেন এবং একবারে আপডেটগুলি আনইনস্টল করার (যদি তারা আনইনস্টলেশন সমর্থন করে)। আপনি কোন আপডেটগুলি আনইনস্টল করছেন তা নোট করুন যাতে কোন আপডেটটি সন্দেহজনক আপডেট তা আপনি সনাক্ত করতে সক্ষম হবেন।
জোয়কওয়ার্টি

তবে ডেস্কটপে এটি করতে আমার অ্যাক্সেস নেই। এটাই সমস্যা আমার কেবলমাত্র একটি এসপিএনইটি ওয়েবপৃষ্ঠার মাধ্যমে কমান্ড চালানোর মাধ্যমে কমান্ড লাইনে অ্যাক্সেস রয়েছে। আমি আউটপুটটি এখনই পেতে সিস্টেমিনফো.এক্সি চালানোর চেষ্টা করছি
সাইমন

ঠিক। ভুলে গেছি। আমার খারাপ। দুঃক্ষিত।
joeqwerty

উত্তর:


9

সমাধানটি মূলত এখানে

https://blogs.technet.microsoft.com/askpfeplat/2017/02/01/removing-self-signed-rdp-certificates/

এটিও সাহায্য করেছে:

https://social.technet.microsoft.com/Forums/ie/en-US/a9c734c1-4e68-4f45-be46-8cae44c95257/unable-to-remote-desktop-to-windows-server-2012-due-to- ব্যর্থ তৈরি করার যোগ্য-স্ব-স্বাক্ষরিত-শংসাপত্র? ফোরাম = winserverTS

ধরে নিলাম আপনি ইতিমধ্যে যাচাই করেছেন যে শংসাপত্রগুলি> রিমোট ডেস্কটপ> শংসাপত্রগুলির অধীনে তালিকাভুক্ত শংসাপত্রটি বৈধ নয় ...

এখানে চিত্র বর্ণনা লিখুন

দ্রষ্টব্য: আমি সমস্ত কিছু ঠিক করার পরে আমি এই স্ক্রিনশটটি নিয়েছি - সুতরাং এই মেয়াদ শেষ হওয়ার তারিখটি নতুনভাবে তৈরি করা শংসাপত্র যা এটি নিজেই করেছে।

মূলত আপনার তখন এই ফাইলটির নাম পরিবর্তন বা মুছতে হবে - এবং তারপরে এটি পুনরায় তৈরি করবে:

"সি: \ ProgramData \ মাইক্রোসফট \ ক্রিপ্টো \ আরএসএ \ MachineKeys \ f686aace6942fb7f7ceb231212eef4a4_a54b3870-f13c-44bb-98c7-d0511f3e1757"

এটি শুরুতে একটি সুপরিচিত ফাইল নাম f686aace। তারপরে Remote Desktop Configurationপরিষেবাটি পুনরায় চালু করুন এবং এটি পুনরায় তৈরি করা উচিত। (দ্রষ্টব্য: পরিষেবাটি পুনরায় আরম্ভ করার প্রয়োজন হতে পারে না - এটি এক মিনিটের জন্য একই ফাইলনাম দিয়ে পুনরায় তৈরি করা হয়েছে কিনা তা দেখার জন্য অপেক্ষা করুন)।

অনুমতিগুলির সাথে এটি কিছুটা বিশৃঙ্খলা নিতে পারে এবং আপনাকে ফাইলটির মালিকানা নিতে হবে এবং তারপরে অনুমতিগুলি প্রয়োগ করতে হবে। দ্রষ্টব্য: মালিকানা অনুমতিগুলি বোঝায় না। মালিকানা নেওয়ার পরে আপনাকে অবশ্যই অনুমতিগুলি যুক্ত করতে হবে।


যেমনটি আমি বলেছিলাম সার্ভারে আমার শারীরিক অ্যাক্সেস নেই - যদি আপনি তা করেন তবে উপরেরটি যথেষ্ট হওয়া উচিত।

আমি ভাগ্যবান যে একই স্থানীয় নেটওয়ার্কের অন্য কোনও মেশিনের মাধ্যমে দূরবর্তীভাবে সংযোগ করতে সক্ষম হয়েছি এবং রেজিস্ট্রি পরিবর্তন করতে পারি।

আমি প্রমাণীকরণ অক্ষম করতে চেয়েছিলাম যাতে আমি সংযোগ করতে পারি এবং দূরবর্তীভাবে অ্যাক্সেস পেতে পারি। এটি করার জন্য রেজিস্ট্রি এন্ট্রিগুলিHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

বিদ্যমান কী সেট করুন SecurityLayerএবং UserAuthenticationকরতে0

একটি আরডিপি ফাইল তৈরি করুন (এমএসএসসি খুলুন এবং সার্ভারনেমে প্রবেশের পরে সংরক্ষণ করুন ক্লিক করুন) এবং নোটপ্যাডে enablecredsspsupport:i:0কোথাও লাইন যুক্ত করুন । এটি সুরক্ষার প্রত্যাশা অক্ষম করে।

এরপরে আপনি আরডিপি ফাইলটি চালনা করার সময় এটি আপনাকে অনিশ্চিতভাবে সংযোগ করার অনুমতি দেয় এবং আপনার সার্ভারে অ্যাক্সেস অর্জন করতে পারে।

আপনি সংযুক্ত হওয়ার সাথে সাথেই এই দুটি রেজিস্ট্রি এন্ট্রি পরিবর্তন করুন এবং তারপরে এগিয়ে যান এবং f686...ফাইলটি মুছুন ...


আমি স্ব-স্বাক্ষরিত শংসাপত্রটি ব্যবহার করছি এবং প্রকৃতপক্ষে স্পষ্টভাবে কোনও আরডিপি শংসাপত্র তৈরি করি নি। আপনি যদি এই একই সমস্যাটি খুঁজে পান তবে আপনি নিজে একটি শংসাপত্র তৈরি করলে সমাধানটি কিছুটা আলাদা হতে পারে।
সাইমন

সর্বশেষ প্যাচগুলির কাছে কাকতালীয় বলে মনে হচ্ছে - এবং যাইহোক আমার কয়েক মাস মূল্য ছিল!
সাইমন

পুনশ্চ. আমার বিশৃঙ্খল উত্তরটি ক্ষমা করুন - এটি কেবল একটি পুরো সপ্তাহান্তে নষ্ট করে। ঠিক আছে আমি শেষ করেছি
সাইমন

অদ্ভুত এই উপর হঠাৎ upvotes পেয়ে। নতুন আপডেট কি আবার এটি সৃষ্টি করছে?
সাইমন

3

এই সেটিংসটি আমার সমস্যাটিকে স্থির করেছে:

1. নিয়ন্ত্রণ প্যানেলে প্রশাসনিক সরঞ্জামগুলিতে ক্লিক করুন এবং তারপরে স্থানীয় সুরক্ষা নীতিতে ডাবল ক্লিক করুন।

2. স্থানীয় সুরক্ষা সেটিংসে, স্থানীয় নীতিগুলি প্রসারিত করুন এবং তারপরে সুরক্ষা বিকল্পগুলিতে ক্লিক করুন।

3. ডান ফলকে নীতিমালার নীচে, সিস্টেম ক্রিপ্টোগ্রাফিটিতে ডাবল-ক্লিক করুন: এনক্রিপশন, হ্যাশিং এবং স্বাক্ষর করার জন্য ফেয়ারের সাথে সামঞ্জস্যপূর্ণ অ্যালগরিদম ব্যবহার করুন এবং তারপরে সক্ষম ক্লিক করুন। আমার ক্ষেত্রে এটি অক্ষম ছিল। সুতরাং আমি কেবল এটি সক্ষম করে আন্ডার তালিকাভুক্ত কমান্ড জারি করেছি।

  1. Gpupdate / বল চালান

আরেকটি বিকল্প যা এই সমস্যার সমাধান করবে:

প্রোটোকলগুলি সার্ভারে সক্ষম ছিল না। আমি আইআইএসক্রিপ্টো ব্যবহার করেছি এবং টিএলএস 1 সক্ষম করেছি এবং সবকিছুই কাজ শুরু করে


-1

হ্যালো আমার পরিবেশে প্রত্যেকেরই কারণ এটি হয়েছিল যখন একটি নতুন স্বাক্ষরিত শংসাপত্র টিএলএস 1.0 তৈরি করা হয়েছিল তা হয় রেজিস্ট্রিতে অক্ষম করা হয় বা রেজিস্ট্রিটিতে উপস্থিত নেই এবং নতুন স্বাক্ষরিত শংসাপত্র বিশ্বস্ত রুট সার্টিফিকেশন কর্তৃপক্ষের দোকানে ছিল না।

রেজিস্ট্রি সম্পাদনার আগে আপনি এই দুটি উপায় প্রমাণ করতে পারবেন। আইআইএস ক্রিপ্টো ডাউনলোড করুন এবং প্রোটোকল, সাইফারস, হ্যাশস এবং কী এক্সচেঞ্জগুলিতে কী সক্ষম এবং অক্ষম রয়েছে তা দেখুন।

কখনও কখনও আইআইএস ক্রিপ্টো দেখায় যে টিএলএস সক্ষম হয়েছে যদিও এটি রেজিস্ট্রিটিতে কেবল একটি এফওয়াইআই সক্ষম নয়।

আপনার পরবর্তী বিকল্পটি স্থানীয় গোষ্ঠী নীতিতে ফেডারেশন চালু করা এটি টিএলএস 1.0, 1.1, এবং 1.2 টি চালু এবং ব্যবহার করতে বাধ্য করে। FIPS চালু করুন এবং তারপরে আপনার মেশিনে আরডিপির চেষ্টা করুন এটি টিএলএস রেজিস্ট্রিতে অক্ষম থাকলেও এটি এই সময় কাজ করবে। আপনি স্থায়ীভাবে FIPS ব্যবহার করতে চান না যদিও এটি সমস্যা সমাধানের জন্য তাই এটি সার্ভারে এটি অক্ষম করুন এবং রেজিস্ট্রির দিকে যান।

হেড HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELও প্রোটোকল অধীনে তিনটি নতুন কী শিরোনাম যোগ তাদের TLS 1.0, TLS 1.1এবং TLS 1.2তারপর অধীনে প্রতিটি TLS এর এন্ট্রি শিরোনাম তাদের দুটি সাব কী তৈরি Clientএবং Server

ইনসাইড Clientএবং Serverকী দুই 32bit DWORD এন্ট্রি এক খেতাবধারী তৈরি DisabledByDefaultসঙ্গে Value0 এবং সেট Enabled1 থেকে মান সেট করা।

একবার আপনি এটি করেন এবং আপনার স্বাক্ষরিত শংসাপত্রটির মেয়াদ শেষ না হয়ে গেলে এবং সঠিক স্টোরগুলিতে আপনি আবার আপনার সার্ভারে আরডিপি করতে সক্ষম হবেন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.