- Что делать если при попытке подключения с ос семейства linux сразу возникает ошибка?
- Security — где хранится мой сертификат сервера rdp?
- Как подключить сертификат подписанный ad cs к rpd
- Не удаётся подключиться к rdp через шлюз?
- Общие сведения о посреднике подключений к удаленному рабочему столу
- Опции развертывания: быстрая и стандартная
- Подключение к серверу по rdp из ubuntu
- Подключение к удаленному рабочему столу (rdp) из debian
- Развертывание служб удаленного рабочего стола
- Решение 2 – изменить настройки брандмауэра
- Решение 3. проверьте, разрешены ли удаленные подключения
- Решение 6 – отключить пользовательское масштабирование
- Сложность:
Что делать если при попытке подключения с ос семейства linux сразу возникает ошибка?
По умолчанию на всех создаваемых на UltraVDS серверах разрешено только подключение по RDP с компьютеров (клиентов), на которых работает проверка подлинности на уровне сети. Некоторые RDP клиенты под Linux эту проверку подлинности могут не поддерживать. В таком случае перед подключением к серверу по RDP необходимо это требование отменить на самом VDS сервере.
На UltraVDS реализована возможность аварийного доступа к серверу в случае если вы не можете к нему подключиться, именно ею мы и воспользуемся для отключения требования обязательной проверки подлинности. Для открытия аварийного режима зайдите в ваш личный кабинет на страницу «Мои сервера» и кликните на скриншот требуемого сервера
В открывшемся окне необходимо активировать возможность авторизации пользователя. Это делается нажатием комбинации клавиш Ctr Alt Del, но так как такая комбинация через web передана быть не может, специальная кнопка была вынесена на верхнюю панель окна:
Далее вводим пароль администратора и нажимаем Enter:
Вы увидите стандартный рабочий стол Windows. Здесь нажмите кнопку «Пуск» (Start), найдите там «Мой компьютер» (This PC) и кликните на него правой кнопкой мыши:
Выберите в меню пункт «Свойства» (Properties) для открытия окна информации о системе
В меню слева необходимо найти кнопку управления параметрами удалённого рабочего стола (Remote settings).
Последним шагом снимаем флажок с параметра «Allow connections only from…» и нажимаем «ОК».
Security — где хранится мой сертификат сервера rdp?
Учитывая недавние проблемы атак Man-in-the-middle, я действительно обратил внимание на предупреждение, которое я получаю при подключении к серверу:
Сертификат, который я представляю через RDP, отличается от сертификата, указанного на сервере:
Выпущено : corsair
Выпущено : corsair Действует с : 4/6/2021 8/7/3012
Thumbprint (SHA1): SHA1
Либо уже есть Man-in-the-Middle, подставляя поддельные сертификаты для соединений RDP, либо сертификат, предоставляемый сервером RDP, не отображается в e9 c5 d7 17 95 95 fd ba 09 88 37 d8 9f 49 5e b8 02 ac 2b e2.
Предполагая, что у меня нет CSIS-мониторинга моей (недоменной) локальной сети: где я могу найти сертификат, который RDP будет предоставлять для подключения клиентов?
Сервер: Стандарт Windows Server 2021
Примечание . Также относится к Windows 8. Также может применяться к Windows 7 и ранее, а также к Windows Server 2008 R2 и ранее. Потому что, хотя, прямо сейчас, я подключаюсь к серверу; я также подключаюсь к своему настольному ПК с Windows 7 из Интернета – и я хочу проверить, что я вижу фактический рабочий стол my .
Ключевые слова : Как изменить сертификат SSL для подключения к удаленному рабочему столу Windows 8? Как указать сертификат удаленного рабочего стола?
Как подключить сертификат подписанный ad cs к rpd
Привет. При подключении по RDP как правило выскакивает сообщение о том, что сертификат, который используется для проверки подлинности сервера – не заслуживает доверия из-за того, что он самоподписанный. Наверняка вы задавались вопросом – как сделать так, чтобы за место самоподписанного сертификата был сертификат, выданный вашим центром сертификации, ну или не вашим… В общем что бы был полноценный сертификат. Сегодня хочу показать, как это можно сделать.
Тут можно пойти двумя путями:
- Если у вас есть AD CS и нет особых требований к именам, указываемым в сертификате. В этом случае можно сделать полностью автоматическую выдачу сертификатов и их подключение. Это простой способ.
- Если у вас в домене нет центра сертификации Active Directory, или если у вас есть особые требования к Subject Name или Subject Alternative Name. В этом случае придется получать и подключать сертификат вручную. Понадобится подобный сценарий вам может, если, например вы выдаете сертификат для компьютера, находящегося в отказоустойчивом кластере, и соответственно вам нужно будет указать в качестве SAN или SN как имя кластера так и имя хоста.
Начнем с более простого сценария.
У вас уже должен быть установлен и настроен AD CS. Идем на компьютер где он установлен и создаем шаблон для сертификата, который будет использоваться при подключении по RDP. Для этого заходим в консоль Certification Authority и щелкаем правой кнопкой мыши на Ceritificate Templates, выбираем Manage.
В открывшемся окне щелкаем правой кнопкой мыши по шаблону компьютера и выбираем Duplicate Template.
В Compatibility, выбираем уровень CA и получателей, в зависимости от ваших нужд, я поставлю уровень CA и Certificate Recipient на уровень 2008R2.
Во вкладке General задаёмR понятное имя сертификату, например RDPTmpl, так же если хотите можете изменить время жизни и обновления сертификата, а также разрешить публикацию в AD. Я эти опции оставил как есть.
Во вкладке Subject Name по желанию можно выбрать Subject name format, например Common Name, так же обязательно оставьте, что бы публиковалось DNS имя в alternate subject name.
Идем во вкладку Sucurity – тут разрешаем Enroll и Autoenroll для группы компьютеров, для которых должен будет получаться сертификат.
Далее переходим во вкладку Extensions, выбираем Application Policy и жмем Edit.
Здесь нужно удалить Client Authorization, а так же по желанию можно заменить Server Authorization на политику для проверки подлинности RDP. Для этого жмем Add, далее New, в Object identifier вводим 1.3.6.1.4.1.311.54.1.2 и даем понятное имя политике, например Remote Desktop Authentication.
Выбираем созданную политику и удаляем из шаблона Client и Server Authorization.
Жмем ОК и закрываем консоль с шаблонами. Возвращаемся в консоль Certification Authority и снова жмем правой кнопкой по Certificate Templates и выбираем New -> Certificate Template to issue.
Выбираем созданный нами шаблон и жмем ОК.
Теперь идем в редактор групповой политики, создаем или правим существующий объект групповой политики, который прилинкован к OU в которой находятся компьютеры, которым необходимо получить сертификат. Идем в Computer configuration -> Administrative Templates -> Windows components -> Remote Desktop Services -> Security. Тут нам нужен параметр Server authentication certificate template.
Включаем его и указываем имя нашего шаблона (RDPTmpl).
Что бы сертификаты продлялись автоматически, идем в Computer configuration -> Windows settings -> Security Settings -> Public Key Policies. Тут включаем параметр Certificate Services Client – Auto-Enrollment Properties.
Всё дожидаемся, пока обновится групповая политика или обновляем ее сами (gpupdate /force), сервер должен будет получить сертификат, и при подключении по RDP будет использоваться именно этот сертификат. Проверить это можно подключившись к серверу не по доменному имени, а по IP адресу, например.
Если что, хранится этот сертификат в сертификатах компьютера, в личных сертификатах.
Теперь расскажу про то, что делать во втором случае. В общем и целом, сперва нам так, как и с первым случаем необходимо создать шаблон для сертификата. Тут всё точно так же, как и с первым случаем, за исключением вкладки Subject Name. В этот раз нужно выбрать Supply in the request. Так же, думаю лучше поставить галку, что бы при продлении бралась информация из существующего сертификата.
Далее нам необходимо получить сертификат для компьютера. Заходим на нужный нам компьютер. Запускаем консоль mmc, и добавляем оснастку сертификаты. Выбираем для учетной записи компьютера.
Щелкаем правой кнопкой по Личное и выбираем – запросить новый сертификат. На приветственном окне жмем далее. В окне выбора политики регистрации сертификатов оставляем Политику регистрации Active Direcotory.
В следующем окне выбираем созданный ранее шаблон. Он будет отмечен желтым треугольником. Жмем по ссылке правее этого треугольника.
Во вкладке объект указываем полное имя DN в качестве Subject Name (например CN = CL01.test.loc) и разные dns имена в качестве Alternate Subject Name.
Жмем далее, точнее кнопку Заявка, и дожидаемся окончания процесса.
Теперь нам необходимо каким-то образом подключить полученный сертификат к RDP. Тут опять же есть несколько способов.
Первый способ, на мой взгляд менее удобный, но он должен работать на всех системах:
Смотрим отпечаток в свойствах только что полученного сертификата.
Для упрощения его копирования можно воспользоваться командой powershell:
ls Cert:LocalMachineMy
Копируем нужный отпечаток, далее выполняем команду:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”thumbprint”
Где thumbprint – ваш скопированный отпечаток.
Посмотреть отпечаток подключенного сертификата можно командой:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
В случае, если у вас используется старая версия ОС, например Windows 2008R то можно воспользоваться более наглядным способом подключения. Это же касается и случаев, если у вас версия системы выше, чем 2021, и при этом установлены роли RDS.
Устанавливаем фичу Remote Desktop Services Tools. Если что она находится в Remote Server Administration Kit, Role Administration Tools.
Устанавливаем эти компоненты, после установки нужно будет перезагрузить сервер. После перезагрузки идем в Пуск – Администрирование – Службы удаленных рабочих столов – Конфигурация узла сеансов удаленных рабочих столов.
Заходим в свойства единственного подключения. Во вкладке общие можно выбрать необходимый нам сертификат. Выбираем ранее полученный сертификат.
Всё. Теперь при подключении по RDP будет использоваться правильный сертификат.
Не удаётся подключиться к rdp через шлюз?
Есть большой офис, внутри доменная сеть. Также организован шлюз RDP для возможности работать удалённо при необходимости. У шлюза свой сертификат. Корневой выдают администраторы, который надо установить на клиентском компьютере в корневое хранилище. Авторизация на шлюзе – через ту самую доменную учётную запись (логин-пароль)
Проблема.
Не получается подключиться к этому самому RDP. Судя по проведённым тестам, подключение отклоняет шлюз. Пробовал google, практически ничего не нашёл. Найденные мелкие советы не помогли. Системный брандмауэр отключён в принципе, антивирус отключал. Убивал все процессы, кроме системных. Даже ставил виртуальную систему с другой ОС – результат тот же. При том, когда обращался к админам – они при мне подключались через мою учётную запись со своего удалённого компьютера. Всё работает. Насчёт поднятия логов шлюза пока админов не дёргал, решил попробовать разобраться своими силами. Не пробовал в безопасном режиме, не пробовал с другого компьютера с другой ОС. Просмотреть траффик не получилось. По порту 3389 уходит только несколько пакетов, больше похожих на ping.
Пробовал подключаться с двух разных компьютеров, которые территориально находятся совсем в разных местах (разные провайдер, IP и пр.). На обеих стоит Windows 7 x64 uk-UA (без SP, без обновлений), оба настраивались и используются мной. Нет даже предположений, в чём проблема. Какой-то софт, либо сделанные мной настройки, или ещё что.
Ну и, собственно, вопрос. Что не так и что делать? Как локализовать проблему? Чем мои компьютеры так уникальны и не нравятся шлюзу?
Общие сведения о посреднике подключений к удаленному рабочему столу
Посредник подключений к удаленному рабочему столу (ранее – посредник сеансов служб терминалов) – это служба роли, обеспечивающая следующие возможности.
Посредник подключений к удаленному рабочему столу отслеживает сеансы пользователей в ферме серверов Узел сеансов удаленных рабочих столов с балансировкой нагрузки. В базе данных Посредник подключений к удаленному рабочему столу хранятся сведения о сеансах, в том числе имя сервера Узел сеансов удаленных рабочих столов, на котором размещается сеанс, состояние и идентификатор каждого сеанса, а также имя пользователя, сопоставленное с каждым сеансом. Посредник подключений к удаленному рабочему столу использует эти сведения для перенаправления пользователя с существующим сеансом на сервер Узел сеансов удаленных рабочих столов, на котором размещается этот сеанс.
Если пользователь отключается от сеанса (намеренно или вследствие сбоя сети), его приложения продолжают работать. При повторном подключении пользователя выполняется запрос к Посредник подключений к удаленному рабочему столу на наличие существующего сеанса, и в случае его наличия определяется сервер Узел сеансов удаленных рабочих столов в ферме, на котором он размещается. Если существующий сеанс найден, Посредник подключений к удаленному рабочему столу перенаправляет клиента на сервер Узел сеансов удаленных рабочих столов, на котором размещается сеанс.
При использования функции балансировки нагрузки Посредник подключений к удаленному рабочему столу в случае подключения пользователя без существующего сеанса к серверу Узел сеансов удаленных рабочих столов в ферме серверов Узел сеансов удаленных рабочих столов с балансировкой нагрузки пользователь перенаправляется на сервер Узел сеансов удаленных рабочих столов с наименьшим числом открытых сеансов. При повторном подключении пользователя с существующим сеансом он перенаправляется на сервер Узел сеансов удаленных рабочих столов, на котором размещается его существующий сеанс. Для распределения нагрузки сеансов между более и менее производительными серверами в ферме можно присвоить серверу значение относительного веса сервера.
Посредник подключений к удаленному рабочему столу также позволяет пользователям обращаться к Подключения к удаленным рабочим столам и приложениям RemoteApp. Подключения к удаленным рабочим столам и приложениям RemoteApp предоставляет пользователям настраиваемое представление программы RemoteApp и виртуальные рабочие столы. Посредник подключений к удаленному рабочему столу поддерживает балансировку нагрузки и возобновляет подключение к существующим сеансам на виртуальных рабочих столах, доступ к которым осуществляется через Подключения к удаленным рабочим столам и приложениям RemoteApp. Чтобы настроить сервер Посредник подключений к удаленному рабочему столу на поддержку Подключения к удаленным рабочим столам и приложениям RemoteApp, воспользуйтесь средством Диспетчер подключений к удаленным рабочим столам. Дополнительные сведения см. в справке Диспетчер подключений к удаленным рабочим столам в Windows Server 2008 R2.
Опции развертывания: быстрая и стандартная
Ключ к пониманию того, как развернуть RDS на Windows Server 2021 R2 в понимании того, что недостаточно установки роли RD Session Host. Диспетчер серверов обеспечивает специальный режим развертывания для установки RDS, таким образом все необходимые компоненты установлены в нужных местах, чтобы делает развертывание простым и быстрым.
Службы удаленного рабочего стола на Windows Server 2021 R2
В мастере добавления ролей и компонентов (Add Roles and Features Wizard) в диспетчере серверов есть специальная опция установки, установка служб удаленных рабочих столов (Remote Desktop Services installation), которую необходимо выбрать при развертывании служб удаленных рабочих столов.
Стандартное развертывание — это модель развертывания по умолчанию, и если вы действительно хотите установить все необходимые роли на одном сервере, что не является лучшей практикой, то стоит выбрать эту опцию. Быстрая установка (Quick Start) может быть полезна в сценариях тестирования или в небольших филиалах, где есть только один доступный сервер.
Стандартное развертывание позволяет установить RD Connection Broker, RD Session Host и RD Web Access на одном сервере или на нескольких серверах, что является наиболее вероятным сценарием развертывания в производственной среде. Посредник подключений к удаленному рабочему столу включает внутреннюю базу данных Windows, RD Session Host и RD Web Access roles.
Все это является обязательным, но RD Gateway играет факультативную роль. RD Web Access предоставляет пользователям доступ к RemoteApps или рабочим столам из меню «Пуск» или с веб-портала. Если вы хотите использовать RDS больше, чем в течение 120-дневного пробного периода, вам потребуется дополнительно устанавливать роль лицензирования удаленных рабочих столов.
Подключение к серверу по rdp из ubuntu
RDP – это закрытый протокол компании Microsoft, она же в свою очередь не выпускает RDP-клиентов для операционных систем семейства Linux.
Однако всё же есть различные рабочие версии от тех или иных производителей.
Мы рекомендуем использовать клиент
Remmina
Для пользователей Ubuntu есть специальный репозиторий с различными пакетами приложение, в числе которых есть Remmina и RDP.Установка производится в 3 простые команды, которые вводятся по очереди в Терминале:
Для установки пакета Remmina
sudo apt-add-repository ppa:remmina-ppa-team/remmina-nextУстанавливаем обновления
sudo apt-get updateУстанавливаем плагин протокола RDP
sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standardЕсли вы до этого уже устанавливали или запускали существующую версию Remmina, то её необходимо перезапустить. Сделать это можно перехагружкой компьютера, либо выполнением следующей команды в том же терминале:
sudo killall remminaЕсли процесс запущен не был, то появится сообщение об ошибке: процесс не найден, что тоже нас устраивает.
Открываем меню поиска и находим там свежеустановленный пакет Remmina
Нажимаем на добавление нового подключения и заполняем поля данными для подключения и авторизации к вашему серверу (где находятся данные для подключения к именно вашему серверу описано выше):
После сохранения ваш сервер будет всегда доступен в списке подключений для быстрого доступа. Для подключения к нему дважды кликните мышкой по строчке вашего сервера.
При первом подключении к серверу вы можете увидеть информацию о недоверенном сертификате безопасности. Причина этого описана выше. Просто нажмите «ОК» и вы увидите рабочий стол вашего сервера.
Подключение к удаленному рабочему столу (rdp) из debian
RDP (подключение к удалённому рабочему столу) – это закрытый протокол компании Microsoft, они же в свою очередь не выпускает RDP-клиентов для операционных систем семейства Linux.
Но всё же есть различные рабочие версии от тех или иных компаний-разработчиков.
Мы рекомендуем использовать RDP-клиент
Remmina
Для установки приложения Remmina и плагина RDP к нему необходимо открыть менеджер установки пакетов:
Здесь в строке поиска вводим «Remmina» и выделяем все результаты для установки:
Установка занимает буквально 3-4 секунды, после чего сразу можно пользоваться приложением.Находим его в главном меню и запускаем:
Перед началом работы необходимо создать новое подключения для удобства в дальнейшем:
В открывшемся окне необходимо задать корректные параметры RDP подключения и данные для авторизации (указаны в личном кабинете UltraVDS):
После сохранения ваш сервер будет всегда доступен в списке подключений для быстрого доступа. Для подключения к нему просто дважды кликните мышкой по строчке вашего сервера.
При первом подключении к серверу вы можете увидеть информацию о недоверенном сертификате безопасности. Причина этого описана чуть выше. Просто нажмите «ОК» или «Принять» и вы увидите рабочий стол вашего сервера.
Развертывание служб удаленного рабочего стола
Серверы, которые вы планируете использовать в своем RDS-развертывании, должны быть добавлены в Пул Серверов (Server Pool) в диспетчере серверов перед началом процесса. Вам потребуется домен Active Directory domain и аккаунт, у которого есть разрешение на установку ролей сервера на выбранный сервер (серверы). Дополнительно может быть установлена роль посредника подключений к удаленному рабочему столу на контроллер домена.
Стандартное или быстрое развертывание
Роли служб удаленных рабочих столов
Выберите сервер из пула серверов
Ход развертывания
Решение 2 – изменить настройки брандмауэра
Брандмауэр Windows также является одной из наиболее распространенных причин проблем с удаленным рабочим столом. Если удаленный рабочий стол заблокирован брандмауэром, вы не сможете подключить его к другому устройству.
Чтобы проверить, заблокирован ли брандмауэр Windows удаленный рабочий стол, выполните следующие действия:
- Перейдите в Поиск , введите брандмауэр и откройте Брандмауэр Защитника Windows .
- Перейдите на Разрешить приложение или функцию через брандмауэр Windows .
- Нажмите Изменить настройки .
- Найдите Удаленный рабочий стол , проверьте его и нажмите ОК , чтобы сохранить изменения.
Теперь попробуйте подключить свои компьютеры через удаленный рабочий стол, и он должен работать.
Удаленный рабочий стол не включен в брандмауэре по умолчанию, поэтому, если вы запускаете удаленный рабочий стол в первый раз, необходимо разрешить его через брандмауэр Windows.
Помимо брандмауэра, важно проверить, не блокирует ли ваш антивирус функцию удаленного рабочего стола. Иногда антивирус может мешать работе вашей системы и препятствовать нормальной работе этой функции.
В некоторых случаях вам может потребоваться удалить антивирус, чтобы решить эту проблему.Если вы ищете новый антивирус, совместимый с удаленным рабочим столом, рекомендуем вам воспользоваться Bitdefender .
Этот антивирус в настоящее время занимает первое место в мире и предлагает отличную защиту и множество функций, поэтому мы настоятельно рекомендуем вам защитить его с помощью ПК.
Он также прекрасно работает с Windows 10, поэтому он не будет мешать другим процессам и приложениям, создавая проблемы.
- Получить сейчас Bitdefender 2021 (специальная скидка 35%)
Решение 3. проверьте, разрешены ли удаленные подключения
Точно так же, как вам нужно разрешить удаленный рабочий стол через брандмауэр, вам также необходимо разрешить удаленные подключения на вашем компьютере, если вы впервые используете эту функцию.
Чтобы включить удаленные подключения на компьютере с Windows 10, выполните следующие действия.
- Перейдите в Поиск, введите параметры удаленного доступа и откройте Разрешить удаленные подключения к компьютеру .
- Установите флажок Разрешить удаленные подключения к этому компьютеру и нажмите ОК , чтобы сохранить изменения.
Удаленные подключения теперь включены, и вы должны попытаться подключиться снова. Мы также заметили еще одну возможную проблему, которая может помешать использованию удаленного рабочего стола.
Если компьютер, к которому вы хотите подключиться удаленно, находится в спящем режиме или в режиме гибернации, подключение будет невозможным, поэтому проверьте, не включен ли компьютер, и попробуйте снова подключиться.
Удаленное соединение заблокировано? Вот лучшие советы по решению проблемы!
Решение 6 – отключить пользовательское масштабирование
Если удаленный рабочий стол не будет подключен, проблема может быть связана с пользовательским масштабированием. Многие пользователи используют настраиваемое масштабирование на больших мониторах, но иногда эта функция может вызвать проблемы с удаленным рабочим столом.
Однако это можно исправить, просто отключив пользовательское масштабирование. Чтобы сделать это, просто сделайте следующее:
- Откройте Настройки приложения . Это можно сделать, просто нажав сочетание клавиш Windows Key I .
- Открыв приложение “Настройки” , перейдите в раздел Система .
- Если пользовательское масштабирование включено, вы должны увидеть сообщение Пользовательский масштабный коэффициент установлен . Нажмите Отключить пользовательское масштабирование и выйти .
После того, как вы снова войдете в систему, для масштабирования должно быть установлено значение по умолчанию, и все проблемы с удаленным рабочим столом будут решены. Многие пользователи сообщили, что это решение работает для них, поэтому мы настоятельно рекомендуем вам попробовать его.
Сложность:
- Клиент должен проверить статус отзыва сертификата при подключении к удаленному рабочему столу сервера. Есть два способа проверить статус отзыва сертификата:CRL и OSCP
1.1 OCSP
По умолчанию параметр проверки пути сертификата использует OCSP, но поскольку мы являемся самозаверяющим сертификатом, Windows всегда будет запрашивать «Invalid Signer EKU» / «Invalid Signer EKU» при проверке, поэтому Мы не можем использовать этот метод для проверки статуса отзыва сертификата.
1.2 CRL
Когда OCSP не может удовлетворить наши потребности, мы можем использовать только CRL для проверки статуса отзыва сертификата, поэтому нам также нужно использовать сайт для предоставления CRL - Гибкое использование в OpenSSL
x509v3_config, В настоящее время во многих статьях не говорится о том, как добавить в сертификатТочка распространения CRL、Авторизованный доступ к информацииПричиной получения информации о расширении является то, что применение расширения сертификата X509z не понято. Конечно, в нем упоминается много статей, но оно не указано четко, что может смутить читателей.Читатели, использующие OpenSSL, настоятельно рекомендуютсяx509v3_config – X509 V3 certificate extension configuration format
Binggui быстро, бой в реальном времени!