Comment réparer RDP sur Windows Server 2012?

Vous pouvez rencontrer cette erreur lors de la connexion après l'importation d'un certificat SSL (et de la clé privée associée) dans Windows Server 2012:

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

De plus, dans les journaux des événements Windows, vous voyez:

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

Solution:

Citation de Microsoft KB2001849:

"Le service Remote Desktop Host Services s'exécute sous le compte NETWORK SERVICE. Par conséquent, il est nécessaire de définir l'ACL du fichier de clé utilisé par RDS (référencé par le certificat nommé dans la valeur de registre SSLCertificateSHA1Hash) pour inclure NETWORK SERVICE avec" Read " Pour modifier les autorisations, procédez comme suit:

Ouvrez le composant logiciel enfichable Certificats pour l'ordinateur local:

1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.

2. Dans le menu Fichier, cliquez sur Ajouter/supprimer un composant logiciel enfichable.

3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, dans la liste Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter.

4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Compte d'ordinateur, puis sur Suivant.

5. Dans la boîte de dialogue Sélectionner un ordinateur, cliquez sur Ordinateur local: (l'ordinateur sur lequel cette console s'exécute), puis cliquez sur Terminer.

6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.

7. Dans le composant logiciel enfichable Certificats, dans l'arborescence de la console, développez Certificats (ordinateur local), développez Personnel et accédez au certificat SSL que vous souhaitez utiliser.

8. Cliquez avec le bouton droit sur le certificat, sélectionnez Toutes les tâches, puis sélectionnez Gérer les clés privées.

9. Dans la boîte de dialogue Autorisations, cliquez sur Ajouter, tapez SERVICE RÉSEAU, cliquez sur OK, sélectionnez Lire sous la case Autoriser, puis cliquez sur OK. "

Source: https://support.Microsoft.com/en-us/kb/2001849

J'ai désactivé les services de passerelle. J'ai fini par exécuter MMC et supprimer complètement le certificat RD. Ensuite, j'ai désactivé et réactivé autoriser les connexions à distance. Cela a généré un nouveau bon certificat et j'ai pu me connecter sur le domaine de la machine!

Ai-je raison de supposer que vous avez importé le certificat auto-signé? Si c'est le cas, vous avez probablement marqué le certificat non exportable, ce qui expliquerait l'erreur ... Jetez un œil à http://blogs.msdn.com/b/kaushal/archive/2012/10 /07/error-hresult-0x80070520-when-adding-ssl-binding-in-iis.aspx pour plus de détails. Si j'ai raison, vous devez supprimer et réimporter le certificat avec le jeu d'indicateurs "Autoriser l'exportation".

C'est finalement ce qui a résolu ce même problème pour moi (gros accessoires pour ce post TechNet sur la façon de localiser quelle clé privée est le contrevenant)

1. Téléchargez et exécutez Procmon (à partir de la suite Sysinternals)
2. Surveillez l'activité du dossier MachineKeys (très probablement: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys) en écoutant toute activité de ce chemin
3. Essayez de RDP à la machine incriminée et vous devriez alors voir Procmon noter l'erreur d'accès refusé, ainsi que le fichier qui refusait l'accès
4. Supprimez le fichier incriminé (vous devrez peut-être d'abord vous en approprier, puis vous donner le contrôle total)
5. Redémarrez l'ordinateur et il devrait régénérer votre clé manquante avec les autorisations appropriées appliquées

Ayez une solution pour vous:

Téléchargez makecert.exe et générez un nouveau certificat pour RDP

makecert -r -pe -n "CN = nom de domaine complet du serveur" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "

Modifiez le nom de domaine complet du serveur avec une valeur réelle.

Accédez aux certificats d'ordinateur et sous le bureau à distance, supprimez le certificat actuel. Ensuite, depuis le magasin personnel, déplacez le certificat nouvellement créé vers le Bureau à distance. Ouvrez le certificat et copiez l'empreinte numérique.

Ouvrez regedit et accédez à:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations

Mettez à jour la clé SelfSignedCertificate avec la nouvelle empreinte certifiée.

Redémarrez le service Remote Desktop Services

J'ai eu le même problème, avec une erreur apparaissant dès que j'ai cliqué sur se connecter.

Pour résoudre pour moi j'ai changé le Services de bureau à distance service de sorte qu'il fonctionnait comme Compte système local au lieu de SERVICE RÉSEAU. Redémarré le service et tout a fonctionné normalement.

ÉDITER: Je viens de découvrir que cela causera L'accès est refusé et doit être défini comme SERVICE RÉSEAU. Mais changer cela en Compte système local et revenir au SERVICE RÉSEAU a résolu complètement mon problème.

Je suis en retard à la fête, mais c'est ce qui m'a aidé.

• Générez un nouveau certificat PFX. L'auto-signature fonctionnera:

  Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx" -CertificatePassword $ password

• Capturez une empreinte numérique dans la fenêtre de sortie
• Installer le certificat PFX généré sur le Poste de travail> Magasin personnel

• Exécutez la commande suivante en utilisant l'empreinte numérique que vous avez capturée dans les étapes ci-dessus:

  wmic/namespace:\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "THUMB_PRINT"