Не дивлячись на те, що підтримка Windows XP припинена вже 4 роки тому (Windows XP End Of Support) - багато зовнішні і внутрішні замовники продовжують використовують цю ОС, і схоже, кардинально цю проблему вирішити найближчим часом не вдасться 🙁 ... Днями виявили проблему : клієнти з ОС Windows XP не можуть підключитися через віддалений робочий стіл до нової термінальної Remote Desktop Services фермі на Windows Server 2012 R2. Аналогічна проблема виникає при спробі підключитися по RDP з Windows XP на Windows 10 1803.

зміст:

• Неможливо підключитися по RDP з Windows XP до Windows Server 2016 / 2012R2 і Windows 10
• Відключаємо NLA на сервері RDS Windows Server 2016/2012 R2
• Включаємо NLA на рівні клієнта Windows XP

Неможливо підключитися по RDP з Windows XP до Windows Server 2016 / 2012R2 і Windows 10

Користувачі XP скаржилися на такі помилки rdp клієнта:

Because of a security error, the client could not connect to the remote computer. Verify that you are logged on to the network, and then try reconnecting again.The remote session was disconnected because the remote computer received an invalid licensing message from this computer.The remote computer requires Network Level Authentication, which your computer does not support. For assistance, contact your system administrator or technical support.

Щоб вирішити дану проблему, перевірте що на комп'ютерах з Windows XP оновлена ​​версія клієнта RDP. На поточний момент максимальна версія RDP клієнта, яку можна встановити на Windows XP - rdp клієнт версії 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-or-7-1 /). Встановити це оновлення можна тільки на Windows XP SP3. Установка RDP клієнта версії 8.0 і вище на Windows на XP не підтримується. Після установки цього оновлення у половини клієнтів проблема з RDP підключенням зважилася. Залишилася друга половина ... .

Відключаємо NLA на сервері RDS Windows Server 2016/2012 R2

Почавши більш детально вивчати тему RDS сервера на базі Windows 2012 R2 ми виявили, що в ОС Windows Server 2012 (і вище) за замовчуванням вимагає від своїх клієнтів обов'язкової підтримки технології NLA (Network-Level Authentication - перевірки автентичності на рівні мережі, докладніше про цю технологію тут), якщо ж клієнт не підтримує NLA, підключитися до RDS сервера йому не вдасться. Аналогічно NLA включений за замовчуванням при включенні RDP в Windows 10.

З вищесказаного є два висновки, щоб залишилися XP-клієнти змогли підключатися по RDP до термінального сервера на Windows Server 2016/2012 R2 або до Windows 10 потрібно:

• відключити перевірку NLA на серверах ферми Remote Desktop Services 2012 R2 / 2016 або в Windows 10;
• або включити підтримку NLA на XP-клієнтів;

Щоб на сервері RDS Windows Server 2012 R2 відключити вимога обов'язкового використання протоколу NLA клієнтами, потрібно в консолі Server Manager перейти в розділ Remote Desktop Services -> Collections -> QuickSessionCollection, вибрати Tasks -> Edit Properties, вибрати розділ  Security і зняти опцію: Allow connections only from computers running Remote Desktop with Network Level Authentication. 

У Windows 10 можна відключити Network-Level Authentication у властивостях системи (Система - Налаштування віддаленого доступу). Зніміть галку "Дозволити підключення лише з комп'ютерів, на яких працює віддалений робочий стіл з перевіркою достовірності на рівні мережі (рекомендується)".

Природно, потрібно розуміти, що відключення NLA на рівні сервера зменшує захищеність системи і в загальному випадку використовувати не рекомендується. Переважно використовувати другу методику.

Включаємо NLA на рівні клієнта Windows XP

Для коректної роботи Windows XP в якості клієнта необхідна наявність, як мінімум, Service Pack 3. Якщо немає, то обов'язково скачайте і встановіть це оновлення. Саме Service Pack 3 є мінімальним вимогою для поновлення клієнта RDP з версії 6.1 до 7.0 і підтримки необхідних компонентів, в тому числі Credential Security Service Provider (CredSSP -KB969084), про який трохи нижче.

Без підтримки CredSSP і NLA при RDP підключенні з Windows XP до нових версія Windows буде з'являтися помилка

Помилка при перевірці достовірності (код: 0x80090327).

Раніше ми вже описували, як включити підтримку Network Level Authentication на комп'ютерах з Windows XP, коротко нагадаємо основні моменти.

Підтримка NLA з'явилася в Windows XP, починаючи з SP3, але за замовчуванням вона не включена. Включити підтримку аутентифікації NLA і CredSSP-провайдера можна тільки реєстр. Для цього:

1. У гілці реєстру HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders потрібно відредагувати значення ключа SecurityProviders, додавши в кінці credssp.dll (Через кому від його поточного значення);
2. Далі в гілці HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa в значення параметра Security Packages додайте рядок tspkg;
3. Після внесення зазначених змін, комп'ютер потрібно перезавантажити.

Після виконання всіх маніпуляцій, комп'ютер з Windows XP SP3 повинен без проблем підключиться по rdp до термінальної фермі на Windows Server 2016/2012 R2 або до Windows 10. Однак ви не зможете зберегти пароль для RDP підключення на клієнті Windows XP (пароль доведеться вводити при кожному підключенні).

Порада. Паралельно виникла ще одна проблема з печаткою через Easy Print. Щоб комп'ютери з Windows XP могли друкувати на RDS 2012 за допомогою Easy Print, клієнти повинні відповідати таким вимогам: ОС - Windows XP SP3, версія rdp клієнта не менше 6.1, наявність .NET Framework 3.5 (як дізнатися версію NET Framework).

Помилка CredSSP encryption oracle remediation

У 2018 року в протоколі CredSSP була виявлена ​​серйозна уразливість (бюлетень CVE-2018-0886), яка була виправлена ​​в оновленнях безпеки Microsoft. У травні 2018 року MSFT випустила додатковий оновлення, яке забороняє клієнтам підключатися до RDP комп'ютерів і сервера з вразливою версією CredSSP (див статтю: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka- credssp-encryption-oracle-remediation /). При підключенні до віддалених комп'ютерів по RDP з'являється помилка Сталася помилка перевірки автентичності. Зазначена функція може бути.

У зв'язку з тим, що Microsoft не випускає оновлення безпеки оновлень безпеки для Windows XP і Windows Server 2003, ви не зможете підключитися до підтримуваних версій Windows з цих ОС.

Щоб забезпечити можливість RDP підключення з Windows XP до оновленим Windows 10 / 8.1 / 7 і Windows Server 2016 / 2012R2 / 2012/2008 R2, необхідно на стороні RDP сервера включити політику Encryption Oracle Remediation / Виправлення вразливості шифрувального оракула (Computer Configuration -> Administrative Templates -> System -> Credentials Delegation / Конфігурація комп'ютера -> Адміністративні шаблони -> Система -> Передача облікових даних) зі значенням Mitigated, що, як ви розумієте, небезпечно.

Порада. Для Windows XP (версія називається Windows Embedded POSReady 2009) насправді є окремо оновлення для CredSSP вразливість віддаленого виконання коду - https://support.microsoft.com/ru-ru/help/4056564 (WindowsXP-KB4056564-x86-Embedded- ENU.exe) і в теорії існує можливість встановити оновлення для Embedded POSReady і на звичайну версію Windows XP x86 і на Windows Server 2003.