अपने विंडोज 10 डेस्कटॉप पर नवीनतम सुरक्षा अपडेट स्थापित करने के बाद, मैं रिमोट डेस्कटॉप का उपयोग करके अपने नए वीडीएस सर्वर (विंडोज सर्वर 2012 आर 2 चलाने वाले) से दूरस्थ रूप से कनेक्ट नहीं हो सकता। जब मैं mstsc.exe क्लाइंट विंडो में RDP सर्वर नाम निर्दिष्ट करता हूं और "कनेक्ट" पर क्लिक करता हूं, तो एक त्रुटि दिखाई देती है:
दूरस्थ डेस्कटॉप कनेक्शनएक प्रमाणीकरण त्रुटि हुई है।
अनुरोधित फ़ंक्शन समर्थित नहीं है।
दूरस्थ कंप्यूटर:computer_name
नवीनतम अपडेट को अनइंस्टॉल करने और अपने कंप्यूटर को रीबूट करने के बाद, मैं आरडीपी के माध्यम से रिमोट सर्वर से कनेक्ट करने में सक्षम था। जैसा कि मैं समझता हूं, यह एक अस्थायी समाधान है। एक नया संचयी विंडोज अपडेट पैकेज आएगा और अगले महीने स्थापित किया जाएगा, और आरडीपी प्रमाणीकरण त्रुटि वापस आ जाएगी। क्या आप मुझे कुछ सलाह दे सकते हैं?
जवाब
तुम पूरी तरह ठीक हो। स्थापित विंडोज अपडेट को हटाकर इस समस्या को हल करना व्यर्थ है क्योंकि आप अपने कंप्यूटर को उन विभिन्न कमजोरियों के शोषण के जोखिम के लिए उजागर कर रहे हैं जिन्हें यह अपडेट ठीक करता है। RemoteApp एप्लिकेशन को चलाने का प्रयास करते समय RDP त्रुटि "एक प्रमाणीकरण त्रुटि हुई" भी दिखाई दे सकती है।
ऐसा क्यों हो रहा है? तथ्य यह है कि नवीनतम सुरक्षा अपडेट (मई 2018 के बाद जारी) आपके विंडोज 10 डेस्कटॉप पर स्थापित हैं। ये अपडेट CredSSP . में एक गंभीर भेद्यता को ठीक करते हैं प्रोटोकॉल (क्रेडेंशियल सिक्योरिटी सपोर्ट प्रोवाइडर) आरडीपी सर्वर पर प्रमाणीकरण के लिए उपयोग किया जाता है (CVE-2018-0886 - लेख को ध्यान से पढ़ें आरडीपी प्रमाणीकरण त्रुटि:क्रेडएसएसपी एन्क्रिप्शन ओरेकल रेमेडियेशन)। ये अपडेट आपके RDP/RDS सर्वर साइड, और NLA . पर स्थापित नहीं हैं (नेटवर्क स्तर प्रमाणीकरण) दूरस्थ डेस्कटॉप एक्सेस के लिए सक्षम है। NLA, TLS/SSL या Kerberos पर RDP उपयोगकर्ताओं को पूर्व-प्रमाणित करने के लिए CredSSP तंत्र का उपयोग करता है। आपका कंप्यूटर बस रिमोट डेस्कटॉप कनेक्शन को उस सर्वर से ब्लॉक कर देता है जो क्रेडएसएसपी के कमजोर संस्करण का उपयोग करता है।
इस समस्या को ठीक करने और अपने RDP सर्वर से कनेक्ट करने के लिए आप क्या कर सकते हैं?
- सबसे सही तरीका समस्या को हल करने के लिए दूरस्थ कंप्यूटर या RDS सर्वर पर नवीनतम संचयी Windows सुरक्षा अद्यतन स्थापित करना है (जिससे आप RDP के माध्यम से कनेक्ट करने का प्रयास कर रहे हैं);
- समाधान 1. आप RDP सर्वर साइड पर NLA (नेटवर्क स्तर प्रमाणीकरण) को अक्षम कर सकते हैं (जैसा कि नीचे वर्णित है);
- समाधान 2. आप अपने डेस्कटॉप को क्रेडएसएसपी के असुरक्षित संस्करण के साथ रिमोट डेस्कटॉप से कनेक्ट करने की अनुमति देकर फिर से कॉन्फ़िगर कर सकते हैं (जैसा कि ऊपर दिए गए लिंक पर आलेख में वर्णित है)। ऐसा करने के लिए, रजिस्ट्री पैरामीटर बदलें AllowEncryptionOracle (आदेश का उपयोग करें:
REG ADD) या स्थानीय नीति बदलें एन्क्रिप्शन Oracle उपचार इसके मान को असुरक्षित . पर सेट करके . यदि आप स्थानीय रूप से सर्वर पर लॉग इन नहीं कर सकते हैं (ILO, वर्चुअल मशीन कंसोल या क्लाउड प्रदाता वेब-इंटरफ़ेस के माध्यम से) तो RDP के माध्यम से दूरस्थ सर्वर तक पहुँचने का यह एकमात्र तरीका है। आप इस मोड में किसी दूरस्थ सर्वर से कनेक्ट कर सकते हैं और नवीनतम सुरक्षा अद्यतन स्थापित कर सकते हैं। सर्वर को अपडेट करने के बाद, नीति को अक्षम करना न भूलें या रजिस्ट्री पैरामीटर AllowEncryptionOracle का मान 0 पर वापस करें (
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0)।
Windows में दूरस्थ डेस्कटॉप के लिए NLA अक्षम करें
यदि आपके RDP सर्वर पर NLA सक्षम है, तो इसका अर्थ है कि CredSSP का उपयोग RDP उपयोगकर्ताओं के पूर्व-प्रमाणीकरण के लिए किया जाता है। आप सिस्टम गुण . में नेटवर्क स्तर प्रमाणीकरण को अक्षम कर सकते हैं रिमोट . पर विकल्प को अनचेक करके टैब करें "केवल नेटवर्क स्तर प्रमाणीकरण के साथ दूरस्थ डेस्कटॉप चलाने वाले कंप्यूटर से कनेक्शन की अनुमति दें (अनुशंसित) ” (विंडोज 10/8.1 या विंडोज सर्वर 2012आर2/2016)।
विंडोज 7 (विंडोज सर्वर 2008 आर 2) में, इस विकल्प को अलग तरह से कहा जाता है। रिमोट . पर टैब में, विकल्प चुनें "दूरस्थ डेस्कटॉप के किसी भी संस्करण को चलाने वाले कंप्यूटर से कनेक्शन की अनुमति दें (कम सुरक्षित) ".
आप स्थानीय समूह नीति संपादक - gpedit.msc का उपयोग करके नेटवर्क स्तर प्रमाणीकरण (NLA) को भी अक्षम कर सकते हैं (आप इस तरह विंडोज 10 होम संस्करण में gpedit.msc चला सकते हैं) या डोमेन समूह नीति प्रबंधन कंसोल का उपयोग करके - GPMC.msc . नीति संपादक में कंप्यूटर कॉन्फ़िगरेशन -> व्यवस्थापकीय टेम्पलेट -> Windows घटक -> दूरस्थ डेस्कटॉप सेवाएं -> दूरस्थ डेस्कटॉप सत्र होस्ट -> सुरक्षा अनुभाग पर जाएं , नीति ढूंढें और अक्षम करें "नेटवर्क स्तर प्रमाणीकरण का उपयोग करके दूरस्थ कनेक्शन के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकता है ".
आपको RDP . को भी चुनना होगा "रिमोट (RDP) कनेक्शन के लिए विशिष्ट सुरक्षा परत के उपयोग की आवश्यकता . में सुरक्षा परत "नीति सेटिंग्स।
नई RDP सेटिंग लागू करने के लिए, आपको स्थानीय कंप्यूटर पर समूह नीतियों को अपडेट करना होगा (gpupdate / force ) या अपने डेस्कटॉप को रीबूट करें। उसके बाद, आपको दूरस्थ डेस्कटॉप से सफलतापूर्वक कनेक्ट होना चाहिए।