แม้ว่าการรองรับระบบปฏิบัติการ Windows XP จะมีมากกว่า 4 ปีที่แล้ว ลูกค้าจำนวนมากยังคงใช้ OS นี้ต่อไป และดูเหมือนว่าจะไม่มีอะไรเปลี่ยนแปลงอย่างมากในอนาคตอันใกล้นี้ :( เมื่อเร็ว ๆ นี้ฉันพบปัญหา:ไคลเอนต์ Windows XP RDP ไม่สามารถเชื่อมต่อ ผ่านเดสก์ท็อประยะไกลไปยังฟาร์มบริการเดสก์ท็อประยะไกลที่ปรับใช้ใหม่บน Windows Server 2012 R2 ปัญหาที่คล้ายกันเกิดขึ้นเมื่อเชื่อมต่อผ่าน RDP จาก Windows XP กับ Windows 10 1803
ไม่สามารถเชื่อมต่อเดสก์ท็อประยะไกลจาก Windows XP กับ Windows Server 2016/2012R2 และ Windows 10
ผู้ใช้ Windows XP บ่นเกี่ยวกับข้อผิดพลาดของไคลเอ็นต์ RDP เช่น:
เนื่องจากข้อผิดพลาดด้านความปลอดภัย ไคลเอ็นต์จึงไม่สามารถเชื่อมต่อกับคอมพิวเตอร์ระยะไกลได้ ตรวจสอบว่าคุณเข้าสู่ระบบเครือข่าย แล้วลองเชื่อมต่อใหม่อีกครั้ง เซสชันระยะไกลถูกตัดการเชื่อมต่อเนื่องจากคอมพิวเตอร์ระยะไกลได้รับข้อความสิทธิ์ใช้งานที่ไม่ถูกต้องจากคอมพิวเตอร์เครื่องนี้ คอมพิวเตอร์ระยะไกลต้องมีการตรวจสอบสิทธิ์ระดับเครือข่าย ซึ่งคอมพิวเตอร์ของคุณไม่สนับสนุน สำหรับความช่วยเหลือ โปรดติดต่อผู้ดูแลระบบของคุณหรือฝ่ายสนับสนุนด้านเทคนิค
ในการแก้ไขปัญหานี้ ให้ตรวจสอบว่ามีการติดตั้งไคลเอ็นต์ RDP เวอร์ชันล่าสุดบนคอมพิวเตอร์ที่ใช้ Windows XP หรือไม่ ปัจจุบัน เวอร์ชันสูงสุดของไคลเอ็นต์ RDP ที่สามารถติดตั้งบน Windows XP ได้คือ RDP 7.0 (KB969084 – https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-หรือ-7-1/) คุณสามารถติดตั้งการอัปเดตนี้ได้บน Windows XP SP3 เท่านั้น ไม่รองรับการติดตั้งไคลเอนต์ RDP เวอร์ชัน 8.0 หรือใหม่กว่าบน Windows XP ปัญหาได้รับการแก้ไขหลังจากติดตั้งการอัปเดตนี้สำหรับไคลเอ็นต์ XP ครึ่งหนึ่ง ลูกค้าในครึ่งหลังยังคงประสบปัญหา….
ปิดใช้งานการตรวจสอบสิทธิ์ระดับเครือข่าย RDP (NLA) บน RDS Windows Server 2016/2012 R2
หลังจากศึกษาปัญหาของเซิร์ฟเวอร์ RDS โดยใช้ Windows 2012 R2 เราพบว่า Windows Server 2012 (และสูงกว่า) ต้องการการสนับสนุนที่จำเป็นของ NLA (การตรวจสอบระดับเครือข่าย). หากไคลเอ็นต์ไม่สนับสนุน NLA ไคลเอ็นต์จะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ RDS ได้ ในทำนองเดียวกัน NLA จะเปิดใช้งานตามค่าเริ่มต้นเมื่อคุณเปิดเดสก์ท็อประยะไกลใน Windows 10
มีข้อสรุปสองประการจากข้างต้น – เพื่อให้ไคลเอ็นต์ WinXP ที่เหลือสามารถเชื่อมต่อกับฟาร์ม RDS บน Windows Server 2016/2012 R2 หรือ Windows 10 ผ่าน RDP คุณต้อง:
- ปิดใช้งานการตรวจสอบ NLA บนเซิร์ฟเวอร์ของฟาร์ม Remote Desktop Services 2012 R2/2016 หรือในเวิร์กสเตชัน Windows 10
- หรือเปิดใช้งานการสนับสนุน NLA บนไคลเอนต์ Windows XP
ในการปิดใช้ NLA ที่จำเป็นโดยไคลเอนต์ใน Windows Server 2012 R2 RDS ให้เปิดคอนโซลตัวจัดการเซิร์ฟเวอร์และไปที่ บริการเดสก์ท็อประยะไกล -> คอลเลกชัน -> QuickSessionCollection จากนั้นเลือก งาน -> แก้ไขคุณสมบัติ คลิก ความปลอดภัย และยกเลิกการเลือก Aอนุญาตการเชื่อมต่อเฉพาะจากคอมพิวเตอร์ที่ใช้เดสก์ท็อประยะไกลด้วย Network Level Authentication .
ใน Windows 10 คุณสามารถปิดใช้งานการตรวจสอบระดับเครือข่ายในคุณสมบัติของระบบ (ระบบ -> การตั้งค่าระยะไกล) ยกเลิกการเลือก “อนุญาตการเชื่อมต่อจากคอมพิวเตอร์ที่ใช้เดสก์ท็อประยะไกลที่มีการตรวจสอบสิทธิ์ระดับเครือข่ายเท่านั้น (แนะนำ)”
แน่นอน คุณต้องเข้าใจว่าการปิดใช้งาน NLA ที่ระดับเซิร์ฟเวอร์จะลดความปลอดภัยของระบบ และโดยทั่วไปไม่แนะนำ ขอแนะนำให้ใช้วิธีที่สอง
การเปิดใช้งาน NLA บนไคลเอนต์ Windows XP SP3
คุณต้องติดตั้ง Service Pack 3 บน Windows XP เพื่อให้ทำงานอย่างถูกต้องในฐานะไคลเอ็นต์ RDP ถ้าไม่ คุณต้องดาวน์โหลดและติดตั้งโปรแกรมปรับปรุงนี้ Service Pack 3 เป็นข้อกำหนดบังคับสำหรับการอัพเกรดไคลเอ็นต์ RDP จากเวอร์ชัน 6.1 เป็น 7.0 และสนับสนุนส่วนประกอบที่จำเป็นทั้งหมด รวมถึง Credential Security Service Provider (CredSS) ซึ่งอธิบายไว้ด้านล่าง
หากไม่มีการรองรับ CredSSP และ NLA สำหรับการเชื่อมต่อ RDP จาก Windows XP กับ Windows เวอร์ชันใหม่ จะเกิดข้อผิดพลาด:
เกิดข้อผิดพลาดในการตรวจสอบสิทธิ์ 0x80090327
การสนับสนุน NLA ปรากฏใน Windows XP โดยเริ่มจาก SP3 แต่จะถูกปิดใช้งานโดยค่าเริ่มต้น คุณสามารถเปิดใช้งานการสนับสนุนการรับรองความถูกต้อง NLA และ CredSSP ผ่านรีจิสทรีเท่านั้น วิธีดำเนินการ:
- ในรีจิสตรีคีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders แก้ไขค่าของ SecurityProviders แอตทริบิวต์โดยเพิ่ม credssp.dll ในตอนท้าย (แยกจากค่าปัจจุบันด้วยเครื่องหมายจุลภาค);
- จากนั้นในคีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa เพิ่มบรรทัด tspkg ถึงมูลค่าของ แพ็คเกจความปลอดภัย คุณลักษณะ;
- หลังจากทำการเปลี่ยนแปลงเหล่านี้แล้ว ให้รีสตาร์ทคอมพิวเตอร์ของคุณ
หลังจากดำเนินการเหล่านี้แล้ว คอมพิวเตอร์ที่ใช้ Windows XP SP3 ควรเชื่อมต่อกับเทอร์มินัลฟาร์มบน Windows Server 2016 / 2012 หรือ Windows ผ่านเดสก์ท็อประยะไกลได้อย่างง่ายดาย อย่างไรก็ตาม คุณไม่สามารถบันทึกรหัสผ่านสำหรับการเชื่อมต่อ RDP บนไคลเอนต์ Windows XP ได้ (คุณต้องป้อนรหัสผ่านทุกครั้งที่เชื่อมต่อ)
เคล็ดลับ . นอกจากนั้น ยังเกิดปัญหากับการพิมพ์ผ่าน Easy Print อีกด้วย เพื่อให้คอมพิวเตอร์ที่ใช้ Windows XP ใน RDS 2012 พิมพ์โดยใช้ Easy Print ไคลเอ็นต์ควรเป็นไปตามข้อกำหนดต่อไปนี้:
- ระบบปฏิบัติการ – Windows XP SP3 หรือใหม่กว่า;
- เวอร์ชันไคลเอ็นต์ RDP – 6.1 หรือใหม่กว่า
- .NET Framework 3.5 (วิธีตรวจสอบเวอร์ชันของ .Net Framework ที่ติดตั้ง)
ข้อผิดพลาด:การเข้ารหัส CredSSP ของ Oracle Remediation
ในปี 2018 พบช่องโหว่ร้ายแรงในโปรโตคอล CredSSP (CVE-2018-0886 กระดานข่าว) ซึ่งได้รับการแก้ไขในการอัปเดตความปลอดภัยของ Microsoft ในเดือนพฤษภาคม 2018 Microsoft ได้เปิดตัวการอัปเดตเพิ่มเติมที่ห้ามไม่ให้ไคลเอ็นต์เชื่อมต่อกับคอมพิวเตอร์ RDP และเซิร์ฟเวอร์ที่มี CredSSP เวอร์ชันที่มีช่องโหว่ (ดูบทความ:https://woshub.com/unable-connect-rdp-credssp-encryption-oracle- การแก้ไข/). หลังจากติดตั้งการอัปเดตนี้เมื่อคุณเชื่อมต่อกับ RDP กับคอมพิวเตอร์ระยะไกลโดยไม่มีการอัปเดตนี้ คุณได้รับข้อผิดพลาด:เกิดข้อผิดพลาดในการตรวจสอบสิทธิ์ ไม่รองรับฟังก์ชันที่ร้องขอ
เนื่องจาก Microsoft ไม่เผยแพร่การอัปเดตความปลอดภัยสำหรับ Windows XP และ Windows Server 2003 คุณจึงไม่สามารถเชื่อมต่อกับ Windows เวอร์ชันที่รองรับจากระบบปฏิบัติการที่ล้าสมัยเหล่านี้ได้
ในการเปิดใช้งานการเชื่อมต่อ RDP จาก Windows XP กับ Windows 10/8.1/7 ที่อัปเดตและ Windows Server 2012/2012 R2/2012/2008 R2 คุณต้องเปิดใช้งานนโยบายการเข้ารหัสของ Oracle Remediation ที่ด้านข้างของเซิร์ฟเวอร์ RDP (การกำหนดค่าคอมพิวเตอร์ -> เทมเพลตการดูแลระบบ -> ระบบ -> การมอบสิทธิ์ข้อมูลรับรอง ). เปลี่ยนค่านโยบายเป็น ลดลง ซึ่งไม่ปลอดภัยอย่างที่คุณเข้าใจ
เคล็ดลับ . สำหรับ Windows XP (เวอร์ชันที่รองรับที่เรียกว่า Windows Embedded POSReady 2009) มีการอัปเดตแยกต่างหากสำหรับช่องโหว่การเรียกใช้โค้ดจากระยะไกล CredSSP – https://support.microsoft.com/en-us/help/4056564/security-update-for- vulnerabilities-in-windows-server-2008 (WindowsXP-KB4056564-x86-Embedded-ENU.exe) และในทางทฤษฎีแล้ว สามารถติดตั้งโปรแกรมปรับปรุงสำหรับ Embedded POSReady บน Windows XP x86 และ Windows Server 2003 รุ่นปกติได้