RDP с 2008 R2 через туннель дает сбой

Question

RDP с 2008 R2 через туннель дает сбой

Я пытаюсь RDP от Win7 к машине 2008 R2 через туннель (думаю, SSH, но не совсем).

Сбой, и в журнале событий 2008 R2 (назначение):

Журнал системных событий, источник LsaSrv, код события 6037
"Программа lsass.exe с назначенным идентификатором процесса 632 не смогла аутентифицироваться локально с использованием целевого имени TERMSRV/{WIN7_name}. Используемое целевое имя недопустимо. Целевое имя должно ссылаться на одно из имен локального компьютера, например, имя хоста DNS.
Попробуйте другое имя цели. "

Сторона WIN7 показывает:

Журнал системных событий, источник событий TermDD, код события 56
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил клиент. IP-адрес клиента: {WIN7_name}.
(с кодом ошибки C000018D = STATUS_TRUSTED_RELATIONSHIP_FAILURE)

Таким образом, очевидно, что RDP-клиент передает имя локального сервера удаленной стороне (я сказал RDP на машину с Win7, но на туннельный порт).

Я не смог найти способ сказать RDP-клиенту или серверу игнорировать эту проблему. Похоже, что можно было бы использовать setspn.exe, чтобы установить имя принципа службы {Win7_name} на коробке 2008 R2, но это кажется грязным, и в моем случае мои клиенты не будут знать, как это сделать. Кроме того, вам придется делать это для всех клиентов, которые могут подключаться к этому серверу.

Кто-нибудь еще может RDP между 2008 R2 и Win 7, используя туннелирование?

1

windows rdp terminal tunneling spn

Источник

DougN 14 апр '11 в 19:42

1 ответ

Решение

Другие вопросы по тегам windows rdp terminal tunneling spn

Evan Anderson 18 авг '11 в 22:47 2011-08-18 22:47 · Accepted Answer · 2011-08-18 22:47

Похоже, вы настроили серверный компьютер так, чтобы разрешать только те соединения RDP, которые проходят "Аутентификацию на уровне сети" (аутентификация на основе сертификатов для предотвращения атак "человек посередине"). Вы можете отключить это на стороне сервера, перейдя в "Конфигурация узла сеанса удаленного рабочего стола", подняв свойства для соединения "RDP-Tcp" в диалоговом окне "Соединения" и сняв галочку "Разрешить соединения только от компьютеров, на которых запущен Remote Рабочий стол с аутентификацией на уровне сети ".

При этом вы должны быть предупреждены о том, что злоумышленник может настроить фиктивный RDP-сервер, который, по-видимому, является вашим сервером для сбора паролей.

Редактировать:

Используя rinetd для туннелирования локального порта на компьютере под управлением Windows 7 Professional к порту RDP на компьютере под управлением Windows Server 2008 R2, я могу получить доступ к удаленному компьютеру через клиент Microsoft RDP.

Такое ощущение, что ваш клиент RDP не возвращается к NTLM после сбоя Kerberos. Я не сразу вижу, какой параметр конфигурации может вызвать это, однако. Есть ли у вас какие-либо параметры политики на сервере, чтобы запретить проверку подлинности NTLM?

Мне было бы интересно узнать, поможет ли отключение CredSSP. Сохраните свойства RDP-соединения в файл, отредактируйте файл в своем любимом текстовом редакторе и добавьте строку enablecredsspsupport:i:0 (или, если строка уже существует, измените "1" на "0" и конец строки).