Pulpit zdalny działa tylko ze starymi klientami

10

Wszystkie nasze komputery z systemem Windows 8.1 nagle odmawiają połączeń pulpitu zdalnego.

Problem polega na tym, że podłączamy się do systemu Windows 8.1.
Nie mamy problemu podczas łączenia się z innymi wersjami systemu Windows.

edycja: problem rozwiązany dzięki aktualizacji Microsoft KB2962806. Dzięki Bertrand SCHITS za odpowiedź.

Co znaleźliśmy do tej pory:

  • zawsze możemy połączyć się jako użytkownik lokalny. Problem dotyczy tylko użytkowników domeny (administratora i zwykłego)
  • możemy połączyć się ze starymi wersjami mstsc.exe. Na przykład możemy połączyć się z komputerami z systemem Windows 2003 i 2003 R2. Nie możemy połączyć się z Windows 7, Windows 8.1 i Windows 2012 R2.
    Jeśli skopiujemy stary mstsc.exe (wersja 5.2.xxxx) z systemu Windows 2003 na nowszy komputer, możemy się połączyć
  • jeśli połączymy się ze starej wersji mstsc.exe (jak wspomniano powyżej), to w ciągu kilku minut możemy połączyć się z dowolnej wersji, którą chcemy. Musimy użyć starej wersji ponownie po losowym czasie (od 30 sekund do kilku godzin)
  • z najnowszymi wersjami mstsc.exe czasami nie możemy połączyć niektórych użytkowników, ale działa to z innymi użytkownikami. To zachowanie zniknie, gdy tylko użyjemy starej wersji, i może się ponownie pojawić 2 dni później
  • (dzięki odpowiedzi Warrena) jeśli ręcznie dodamy enablecredsspsupport:i:0do pliku .rdp, poświadczenia nie są pytane przed połączeniem (więc zachowanie jest takie samo jak w przypadku starszych klientów) i możemy połączyć się z dowolną wersją klienta. Ale nie możemy się automatycznie połączyć, a proces logowania wymaga każdorazowego wyboru logowania jako inny użytkownik (nawet jeśli jest to ten sam użytkownik)
  • (dzięki Pathum Anjana) zastosowaliśmy opcjonalną aktualizację KB2830477 po obu stronach połączeń

Co testowaliśmy:

  • testowaliśmy z sieci lokalnej na lokalną oraz z odległej na lokalną. Bez różnicy
  • wyłączyliśmy zaporę ogniową
  • testowaliśmy wyłączenie wszystkich funkcji bezpieczeństwa za pomocą gpedit.msc Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
  • włączyliśmy kontrolę zdarzeń logowania i nic w dziennikach. Nic oczywistego w innych dziennikach (jak włączyć dzienniki protokołu RDP?)
  • testowaliśmy na jednym komputerze znajdującym się w innej sieci (domeny nie są powiązane), który ma zainstalowany tylko 7-zip. Bez sterowników drukarek, bez Zasad Grupy, nic więcej. To tylko aktualny system Windows 8.1. Mamy dokładnie ten sam problem
  • zapytaliśmy Google, a on powiedział „Naprawdę nie wiem”. Teraz przekierowuje nas na tę stronę, co jest bardzo dobrą odpowiedzią, ale nie jest zbyt pomocne
  • usuwaliśmy wszystkie aktualizacje do 25 lutego (kilka dni przed wystąpieniem problemu). Brak poprawy, więc problemem może być istniejące ustawienie skonfigurowane na inną wartość przez ostatnią aktualizację (i nie cofnięte po usunięciu aktualizacji, co jest prawdopodobnie zwykłym zachowaniem)

Kiedy nie możemy się połączyć, komunikat o błędzie jest dokładnie taki sam, jak ten, który otrzymujemy z błędnym hasłem (ale nie ma wpisu do dziennika bezpieczeństwa):
wprowadź opis zdjęcia tutaj

  • każdy komputer ma ważne licencje
  • używamy MSE jako antywirusa
  • niektóre Windows 8.1 są wstępnie instalowane przez producenta (Lenovo), podczas gdy inne są instalowane przez nas. Jedyny wspólny czynnik, jaki widzę, to fakt, że zarządzamy nimi wszystkimi

Masz pojęcie o tym, co możemy zrobić, aby rozwiązać ten problem?

remote-desktop windows-8.1 Gregory MOUSSAT
źródło
1
@ RedShift: oczywiście używamy tej samej metody, gdy działa, a kiedy nie. Zawsze używamy domeny \ nazwa użytkownika.
Gregory MOUSSAT,
5
Dlaczego głosowanie w dół na ten temat? Pytanie brzmi również dobrze zbadane.
jscott,
1
Chciałbym spojrzeć na sposób wdrażania tych komputerów z Win 8.1. Czy to ten sam obraz, który jest wypychany na te komputery? Być może obraz jest uszkodzony. Musimy szukać wspólnego czynnika. Coś musi być inaczej skonfigurowane na komputerach 8.1. Zwłaszcza jeśli nie masz żadnych problemów z korzystaniem z RDP w celu uzyskania dostępu do innych systemów operacyjnych.
veel84
2
Właśnie dodałem swoje ustalenia do tego wątku ... Jestem konsultantem IT i mam ten sam problem w wielu witrynach klientów ... z których wszystkie zaczęły się pojawiać 11 marca. 3 różnych klientów, żadne z wdrożeń nie zostało zobrazowane, wszystkie w różnych sieciach, wszystkie za różnymi zaporami ogniowymi, wszystkie w różnych środowiskach. Jedna to domena systemu Windows 2003, jedna 2008 i jedna 2012. Wszystkie można odtworzyć dokładnie tak, jak opisano powyżej. Jedynym zastrzeżeniem jest to, że RDP działa tak długo, jak loguję się jako administrator (lokalny lub domena). Jeśli loguję się jako użytkownik, pojawia się błąd „Próba logowania nie powiodła się”, nawet jeśli mam
1
Czy masz coś z tym związane w przeglądarce zdarzeń? Byłoby miło zobaczyć komunikat dziennika o tym. Być może pomocny byłby również ślad Wireshark podczas uzgadniania logowania.
MrMajestyk

Odpowiedzi:

5

Być może jest to związane z KB2962806. Powinieneś spróbować go zastosować.
Nie wiem, jak zastosować tę aktualizację, ponieważ nie jest ona dostępna w witrynie Microsoft. Dostaję to tylko z automatyczną aktualizacją systemu Windows, ale nie na każdym komputerze.

Ta aktualizacja rozwiązała dla mnie podobny problem. Ponieważ ta aktualizacja jest stosowana na NIEKTÓRYCH komputerach, wszystkie inne również działają. Nie szukałem dlaczego.

Bertrand SCHITS
źródło
Testowałem na dwóch komputerach i problem wydaje się rozwiązany. Potrzebuję więcej tme, aby upewnić się, że wszystko jest w porządku.
Gregory MOUSSAT,
1
Potwierdzam, że ten KB2962806 jest odpowiedni dla naszego problemu. Dzięki!
Gregory MOUSSAT,
2

Monit poświadczeń doprowadzał mnie do szaleństwa przez ostatnie kilka dni, a śledzenie łańcucha ostatnich wydarzeń prowadzi mnie do wniosku, że jest to związane z KB3035017, który niedawno zainstalował nasze serwery RDP 2012.

Po przeszukaniu tego posta i innych natknąłem się na coś, co do tej pory rozwiązuje problem.

Testowanie ikon RDP po mojej stronie na tym samym komputerze daje jeden błąd poświadczeń, a udane logowanie po drugiej.

http://www.boredsysadmin.com/2008/06/how-to-disable-credentials-prompt-of.html

Mam nadzieję, że to pomoże innym. Będę nadal monitorować i szukać poprawek.

Twoje zdrowie

Królikarnia
źródło
Potwierdzam obsługę enablecredsspport: i: 0 częściowo rozwiązuję problem. Pytanie zaktualizowane
Gregory MOUSSAT,
1

Prawdopodobnie działa ze starszymi klientami RDP, ponieważ wymusza obniżenie wersji protokołu, w którym nie występuje żaden problem.

Domyślam się, że może to mieć związek z rozdzielczością ekranu. Microsoft dokonał kilku zmian związanych z rozdzielczością ekranu i obsługą wielu monitorów w RDP w Windows 8.1. Chociaż objawy nie wydają się być związane z rozwiązaniami, być może negocjacja kończy się niepowodzeniem między klientem RDP systemu Windows 7 a systemem Windows 8.1?

To wyjaśniałoby również, dlaczego działa dla niektórych użytkowników, a nie dla innych - mogą mieć różne ustawienia rozdzielczości na kliencie lub docelowym systemie 8.1.

Sprawdź, czy zmiana rozdzielczości ekranu w kliencie RDP ma jakikolwiek wpływ (w szczególności zmiana pomiędzy trybem pełnoekranowym a określoną rozdzielczością, a także zmiana ustawień wielu monitorów).

Możesz przeczytać więcej na ten temat tutaj: http://blogs.msdn.com/b/rds/archive/2013/12/16/resolution-and-scaling-level-updates-in-rdp-8-1.aspx

Kevin Keane
źródło
Właśnie przetestowałem sesje RDP o rozdzielczości 1024x768 i wyłączam drukarki / kopiuj-wklej / etc -> nic lepszego
Gregory MOUSSAT
1

Biorąc pod uwagę czas, w którym się widzisz, problem może zbiegać się z łatką do CVE-2015-0079 . Biuletyn Microsoft dotyczący tej luki w zabezpieczeniach to MS15-030, a aktualna poprawka dotycząca problemu jest dostępna tutaj . Jeśli ta poprawka została zainstalowana w twoim systemie, możesz spróbować usunąć ją z jednego z nich, aby sprawdzić, czy to rozwiąże problem.

To nie byłby pierwszy patch MS, który złamałby pewne kombinacje RDP. Spójrz na to - w szczególności na KB2984972.

Problem, który MS naprawia za pomocą łatki, to potencjalny atak DoS - zwykle nie jest to duży problem w środowisku biurowym, ale nadal.

MrMajestyk
źródło
Testowałem usunięcie KB3035017 (która jest łatką związaną z podatnością, którą wskazałeś) -> bez zmian. Usuwam teraz inne ścieżki z 11 marca, aby sprawdzić, czy mamy jakąś poprawę.
Gregory MOUSSAT,
Usunąłem
Cóż, z pewnością warto było spróbować. To naprawdę źle, gdy ten facet z Google nie wie o niczym. Zazwyczaj jest bardzo dobry w tym zakresie. Kolejną rzeczą, na którą warto spojrzeć, może być czas - czy twoje stacje robocze prawidłowo utrzymują czas? Wyobrażam sobie, że tak, jeśli są częścią domeny, ale Kerberos jest wrażliwy na przesunięcie w czasie, więc może to być miejsce, w które warto spojrzeć - nawet jeśli jest to trochę rozciągnięte.
MrMajestyk