Удаленный рабочий стол работает только со старыми клиентами

10

Все наши компьютеры с Windows 8.1 внезапно отказываются от подключений к удаленному рабочему столу.

Проблема заключается в том, когда мы подключаем TO Окно 8.1 У
нас нет проблемы при подключении к другим версиям Windows.

Изменить: проблема решена с обновлением Microsoft KB2962806. Спасибо Бертрану Щитсу за его ответ.

Что мы нашли до сих пор:

  • мы всегда можем подключиться как локальный пользователь. Проблема только для пользователей домена (администратор и обычный)
  • мы можем соединиться со старыми версиями mstsc.exe. Например, мы можем подключиться с компьютеров Windows 2003 и 2003 R2. Мы не можем подключиться из Windows 7, Windows 8.1 и Windows 2012 R2.
    Если мы скопируем старый файл mstsc.exe (версия 5.2.xxxx) из Windows 2003 на новый компьютер, мы можем подключиться
  • если мы подключаемся со старой версии mstsc.exe (как указано выше), то в течение нескольких минут мы можем подключиться с любой версии, которую мы хотим. Мы должны снова использовать старую версию через некоторое время (от 30 секунд до нескольких часов)
  • в последних версиях mstsc.exe мы иногда не можем подключить некоторых пользователей, но это работает с другими пользователями. Это поведение исчезает, как только мы используем старую версию, и может появиться через 2 дня
  • (спасибо ответу Уоррена), если мы вручную добавим enablecredsspsupport:i:0в файл .rdp, учетные данные не запрашиваются перед подключением (поэтому поведение такое же, как и у старых клиентов), и мы можем подключиться к любой версии клиента. Но мы не можем автоматически подключиться, и процесс входа в систему предполагает каждый раз выбирать вход в систему как другой пользователь (даже если это тот же пользователь)
  • (спасибо Pathum Anjana) мы применили дополнительное обновление KB2830477 на обеих сторонах соединений

Что мы тестировали:

  • мы тестировали из локальной сети в локальную и из далекой в ​​локальную. Нет разницы
  • мы отключили брандмауэр
  • мы протестировали отключение всех функций безопасности с помощью gpedit.msc Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
  • мы включили аудит событий входа в систему и ничего в журналы. Ничего очевидного в других журналах (как включить протоколы протокола RDP?)
  • мы тестировали на одном компьютере, расположенном в другой сети (домены не связаны), на котором установлен только 7-zip. Нет драйверов принтера, нет групповой политики, ничего больше. Это только свежая версия Windows 8.1. У нас точно такая же проблема
  • мы спросили Google, и он сказал: «Я действительно не знаю». Теперь он направляет нас на эту страницу, которая является очень хорошим ответом, но не очень полезна
  • мы удаляли все обновления до 25 февраля (за несколько дней до того, как возникла проблема). Никаких улучшений, поэтому проблема может заключаться в существующей настройке, настроенной на другое значение при недавнем обновлении (и не возвращаемой обратно при удалении обновления, что, вероятно, является обычным поведением)

Когда мы не можем подключиться, сообщение об ошибке точно такое же, как мы получаем с неправильным паролем (но без записи в журнале безопасности):
введите описание изображения здесь

  • каждый компьютер имеет действующие лицензии
  • мы используем MSE как антивирус
  • некоторые Windows 8.1 предустановлены производителем (Lenovo), а другие установлены нами. Единственный общий фактор, который я вижу, это то, что мы управляем ими всеми

Есть идеи о том, что мы можем сделать, чтобы решить эту проблему?

remote-desktop windows-8.1 Грегори МУССАТ
источник
1
@RedShift: мы, очевидно, используем один и тот же метод, когда он работает, а когда нет. Мы всегда используем домен \ имя пользователя.
Грегори МУССАТ
5
Почему голосование против этого? Вопрос читается как хорошо исследованный.
Jscott
1
Я бы посмотрел, как развертываются эти компьютеры с Win 8.1. Это тот же образ, который передается на эти компьютеры? Возможно, изображение повреждено. Нам нужно искать общий фактор. Что-то должно быть настроено иначе на машинах 8.1. Особенно, если у вас нет проблем с использованием RDP для доступа к другим ОС.
veel84
2
Просто добавив свои выводы в эту ветку .... Я ИТ-консультант, и у меня возникла та же проблема на сайтах с несколькими клиентами .... у всех из которых начались проблемы 11 марта. 3 разных клиента, ни одно из развертываний не было отображено, все в разных сетях, все за разными брандмауэрами, все в разных средах. Один из них - домен Windows 2003, один 2008 и один 2012. Все можно воспроизвести точно так, как описано выше. Единственное предостережение в том, что RDP работает, пока я вхожу в систему как администратор (локальный или домен). Если я вхожу в систему как пользователь, я получаю сообщение об ошибке «Ошибка входа в систему», даже если я
1
У вас есть что-нибудь связанное с этим в программе просмотра событий? Было бы неплохо увидеть сообщение об этом. Возможно, будет полезна трассировка Wireshark рукопожатия при входе в систему.
MrMajestyk

Ответы:

5

Может быть, это связано с KB2962806. Вы должны попытаться применить это.
Я не знаю, как применить это обновление, потому что оно недоступно на сайте Microsoft. Я получаю это только с автоматическим обновлением Windows, но не на всех компьютерах.

Это обновление решило подобную проблему для меня. И поскольку это обновление применяется на НЕКОТОРЫХ компьютерах, все остальные тоже работают. Я не искал почему.

Бертран Щитс
источник
Я проверил на двух компьютерах, и проблема кажется решенной. Мне нужно больше времени, чтобы убедиться, что все в порядке.
Грегори МУССАТ
1
Я подтверждаю, что это KB2962806 является правильным для нашей проблемы. Спасибо!
Грегори МУССАТ
2

Последние несколько дней приглашение к учетным данным приводило меня в бешенство, и после цепочки недавних событий я могу поверить, что это связано с KB3035017, который недавно установили наши RDP-серверы 2012 года.

После поиска этого и другого поста я наткнулся на то, что до сих пор работает над этой проблемой.

Тестирование значков RDP на одной стороне на одной машине приводит к ошибке приглашения учетных данных, одной, и успешной регистрации на другой.

http://www.boredsysadmin.com/2008/06/how-to-disable-credentials-prompt-of.html

Надеюсь, что это поможет другим, я буду продолжать отслеживать и искать правильные решения.

ура

кроличий садок
источник
Я подтверждаю, что enablecredsspsupport: i: 0 частично решает проблему. Вопрос обновлен
Григорий МУССАТ
1

Вероятно, он работает со старыми клиентами RDP, потому что он вызывает понижение версии протокола, где не возникает проблема, вызывающая эту проблему.

Я предполагаю, что это может быть связано с разрешением экрана. Microsoft внесла несколько изменений, связанных с разрешением экрана и обработкой нескольких мониторов в RDP в Windows 8.1. Хотя ваши симптомы, похоже, не связаны с разрешениями, может быть, сбой согласования между клиентом RDP Windows 7 и Windows 8.1?

Это также объясняет, почему это работает для некоторых пользователей, а не для других - у них могут быть разные настройки разрешения на клиенте или в целевой системе 8.1.

Посмотрите, влияет ли изменение разрешения экрана в RDP-клиенте (в частности, переключение между полноэкранным режимом и определенным разрешением, а также изменение настроек нескольких мониторов).

Вы можете прочитать больше об этом здесь: http://blogs.msdn.com/b/rds/archive/2013/12/16/resolution-and-scaling-level-updates-in-rdp-8-1.aspx

Кевин Кин
источник
Я только что протестировал с сеансами RDP с разрешением 1024x768 и отключением принтеров / copy-paste / etc -> ничего лучше
Грегори MOUSSAT
1

Учитывая время, которое вы видите, проблема может совпадать с патчем для CVE-2015-0079 . Бюллетень Microsoft, касающийся этой уязвимости, - MS15-030, а актуальный патч для этой проблемы доступен здесь . Если этот патч был установлен в ваших системах, вы можете попробовать удалить его с одного из них, чтобы посмотреть, устранит ли это проблему.

Это не будет первым MS-патчем, который нарушит определенные комбинации RDP. Посмотрите на это, в частности, на KB2984972.

Проблема, которую MS исправляет с помощью патча, - это потенциальная DoS-атака - обычно не большая проблема в офисной среде, но все же.

MrMajestyk
источник
Я протестировал удаление KB3035017 (это патч, на который вы указываете уязвимости) -> без изменений. Теперь я удалил другие патчи с 11 марта, чтобы увидеть, есть ли у нас какие-либо улучшения.
Грегори МУССАТ
Я удалил каждый патч с 11 марта, а 5 раньше -> ничего лучше
Грегори МУССАТ
Ну, это, безусловно, стоило попробовать. Это действительно очень плохо, когда тот парень из Google не знает о вещах. Он обычно очень хорош в этом отношении. Еще одна вещь, на которую стоит обратить внимание, - это время - правильно ли ваши рабочие станции хранят время? Я полагаю, что они делают, если они являются частью домена, но Kerberos чувствителен к перекосу времени, так что это может быть место для поиска - даже если это немного натянуто.
MrMajestyk