Не смотря на то, что поддержка Windows XP прекращена уже 4 года назад (Windows XP End Of Support) – многие внешние и внутренние заказчики продолжают используют эту ОС, и похоже, кардинально эту проблему решить в ближайшее время не удастся 🙁 … На днях обнаружили проблему: клиенты с ОС Windows XP не могут подключиться через удаленный рабочий стол к новой терминальной Remote Desktop Services ферме на Windows Server 2012 R2. Аналогичная проблема появляется при попытке подключиться по RDP с Windows XP на Windows 10 1803.
Содержание:
- Невозможно подключиться по RDP с Windows XP к Windows Server 2016/2012R2 и Windows 10
- Отключаем NLA на сервере RDS Windows Server 2016/2012 R2
- Включаем NLA на уровне клиента Windows XP
Невозможно подключиться по RDP с Windows XP к Windows Server 2016/2012R2 и Windows 10
Пользователи XP жаловались на такие ошибки rdp клиента:
Because of a security error, the client could not connect to the remote computer. Verify that you are logged on to the network, and then try reconnecting again.
The remote session was disconnected because the remote computer received an invalid licensing message from this computer.
The remote computer requires Network Level Authentication, which your computer does not support. For assistance, contact your system administrator or technical support.
Чтобы решить данную проблему, проверьте что на компьютерах с Windows XP обновлена версия клиента RDP. На текущий момент максимальная версия RDP клиента, которую можно установить на Windows XP — rdp клиент версии 7.0 (KB969084 — https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol-rdp-7-0-or-7-1/). Установить данное обновление можно только на Windows XP SP3. Установка RDP клиента версии 8.0 и выше на Windows на XP не поддерживается. После установки данного обновления у половины клиентов проблема с RDP подключением решилась. Осталась вторая половина….
Отключаем NLA на сервере RDS Windows Server 2016/2012 R2
Начав более подробно изучать тему RDS сервера на базе Windows 2012 R2 мы обнаружили, что в ОС Windows Server 2012 (и выше) по умолчанию требует от своих клиентов обязательной поддержки технологии NLA (Network-Level Authentication — проверки подлинности на уровне сети, подробнее об этой технологии здесь), если же клиент не поддерживает NLA, подключиться к RDS серверу ему не удастся. Аналогично NLA включен по-умолчанию при включении RDP в Windows 10.
Из вышесказанного есть два вывода, чтобы оставшиеся XP-клиенты смогли подключаться по RDP к терминальному серверу на Windows Server 2016/2012 R2 или к Windows 10 нужно:
- отключить проверку NLA на серверах фермы Remote Desktop Services 2012 R2/2016 или в Windows 10;
- или включить поддержку NLA на XP-клиентах;
Чтобы на сервере RDS Windows Server 2012 R2 отключить требование обязательного использования протокола NLA клиентами, нужно в консоли Server Manager перейти в раздел Remote Desktop Services -> Collections -> QuickSessionCollection, выбрать Tasks -> Edit Properties, выбрать раздел Security и снять опцию: Allow connections only from computers running Remote Desktop with Network Level Authentication.
В Windows 10 можно отключить Network-Level Authentication в свойствах системы (Система – Настройка удаленного доступа). Снимите галку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)».
Естественно, нужно понимать, что отключение NLA на уровне сервера уменьшает защищенность системы и в общем случае использовать не рекомендуется. Предпочтительнее использовать вторую методику.
Включаем NLA на уровне клиента Windows XP
Для корректной работы Windows XP в качестве клиента необходимо наличие, как минимум, Service Pack 3. Если нет, то обязательно скачайте и установите это обновление. Именно Service Pack 3 является минимальным требованием для обновления клиента RDP с версии 6.1 до 7.0 и поддержки необходимых компонентов, в том числе Credential Security Service Provider (CredSSP -KB969084), о котором чуть ниже.
Без поддержки CredSSP и NLA при RDP подключении с Windows XP к новым версия Windows будет появлятся ошибка
Ошибка при проверке подлинности (код: 0x80090327).
Ранее мы уже описывали, как включить поддержку Network Level Authentication на компьютерах с Windows XP, вкратце напомним основные моменты.
Поддержка NLA появилась в Windows XP, начиная с SP3, но по-умолчанию она не включена. Включить поддержку аутентификации NLA и CredSSP-провайдера можно только реестр. Для этого:
- В ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders нужно отредактировать значение ключа SecurityProviders, добавив в конце credssp.dll (через запятую от его текущего значения);
- Далее в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa в значение параметра Security Packages добавьте строку tspkg;
- После внесения указанных изменений, компьютер нужно перезагрузить.
После выполнения всех манипуляций, компьютер с Windows XP SP3 должен без проблем подключится по rdp к терминальной ферме на Windows Server 2016 / 2012 R2 или к Windows 10. Однако вы не сможете сохранить пароль для RDP подключения на клиенте Windows XP (пароль придется вводить при каждом подключении).
Совет. Параллельно возникла еще одна проблема с печатью через Easy Print. Чтобы компьютеры с Windows XP могли печатать на RDS 2012 с помощью Easy Print, клиенты должны удовлетворять следующим требованиям: ОС — Windows XP SP3, версия rdp клиента не меньше 6.1, наличие .NET Framework 3.5 (как узнать версию NET Framework).
Ошибка CredSSP encryption oracle remediation
В 2018 года в протоколе CredSSP была обнаружена серьезная уязвимость (бюллетень CVE-2018-0886), которая была исправлена в обновлениях безопасности Microsoft. В мае 2018 года MSFT выпустила дополнительное обновление, которое запрещает клиентам подключаться к RDP компьютерам и сервера с уязвимой версией CredSSP (см статью: https://winitpro.ru/index.php/2018/05/11/rdp-auth-oshibka-credssp-encryption-oracle-remediation/). При подключении к удаленным компьютерам по RDP появляется ошибка Произошла ошибка проверки подлинности. Указанная функция не поддерживается.
В связи с тем, что Microsoft не выпускает обновления безопасности обновлений безопасности для Windows XP и Windows Server 2003, вы не сможете подключится к поддерживаемым версиям Windows из этих ОС.
Чтобы обеспечить возможность RDP подключения из Windows XP к обновлённым Windows 10/8.1/7 и Windows Server 2016/2012R2/2012/2008 R2, необходимо на стороне RDP сервера включить политику Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула (Computer Configuration -> Administrative Templates -> System -> Credentials Delegation / Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных) со значением Mitigated, что, как вы понимаете, небезопасно.
Совет. Для Windows XP (версия называется Windows Embedded POSReady 2009) на самом деле есть отдельно обновление для CredSSP уязвимость удаленного выполнения кода — https://support.microsoft.com/ru-ru/help/4056564 (WindowsXP-KB4056564-x86-Embedded-ENU.exe) и в теории существует возможность установить обновления для Embedded POSReady и на обычную версию Windows XP x86 и на Windows Server 2003.
В ОС Windows ХР изначально не была реализована проверка подлинности на уровне сети и подключение по rdp не требовалось. Затем компания Майкрософт выпустила патч-исправление для решения данного вопроса. Есть несколько способов решения данной проблемы.
1. Вы можете скачать с нашего сайта данный патч и запустить автоматическое исправление.
2. Либо использовать классический вариант исправления, описанный ниже:
- Чтобы подключиться к windows vps, если на вашем компьютере установлена ОС Windows XP SP1/SP2 нужно для начала поставить пакет обновления Service Pack 3.
- Затем нужно подключить в системе сервис CredSSP, в котором используется протокол удаленного рабочего стола (RDP). По умолчанию в Windows XP SP3 CredSSP отключен. Инструкцию по его подключению можно прочитать по данной ссылке. Заметьте, что следуя данной инструкции, вы можете сделать как автоматическую настройку системы с помощью кнопки «Устранить проблему», так и самостоятельно.
3. Теперь вы можете подключиться к вашему виртуальному серверу (VDS), следуя данной инструкции на нашем сайте.
Windows XP Home Edition does not come with Remote Desktop, or Terminal Services feature.
There is Remote Desktop Connection (RDC) client which allows user to connect to remote host, but not accepting any remote desktop connection to the Windows XP Home.
However, there is way to install and enable Remote Desktop Protocol (RDP) in Windows XP using the steps below
Video Tutorial:
1. Click the “Start” menu, then select “Run.” Type “regedit” into the box and press the “Enter” key to launch the Registry Editor tool.
2. Select the “+” icon next to the “HKEY_LOCAL_MACHINES” folder to expand the directory. Scroll down and expand the “SYSTEM” folder located inside the “HKEY_LOCAL_MACHINES” folder
3. Expand the folder named “ControlSet00X” folder located inside the “System” folder. Open the folder with the highest number in the “00X” part of the file name. Then expand the “Control” folder underneath it.
4. Click to open the “ProductOptions” directory, then locate the “ProductSuite” registry key on the right window panel. Right-click on the “ProductSuite” key and select “Delete.”
5. Right-click an empty area of the right window panel and select “New.” Then click “DWORD Value” and type “Brand” as the name for the new value.
6. Double-click on the “Brand” value, set the “Value data” box to “0” and click “OK.” Then click the “Start” menu and select “Turn Off Computer.” Click “Restart” to reboot the computer.
7. Press the “F8” key on the keyboard after the BIOS screen to display the Windows XP Startup Menu. Select “Last Known Good Configuration” and press the “Enter” key.
8. Download devcon.exe, a free command-line utility that also doubles as a replacement for the standard Device Manager. Double-click the DevCon.exe file and select a folder to unpack the files. DevCon will create two folders inside the chosen directory: “i386” and “ia64.”
9. Click the “Start” menu and select “Run.” Type “cmd” and press “Enter” to launch the command prompt window. Type “cd c:DevConi386” and press the “Enter” key. Change “c:DevCon” to the actual path of the directory where the DevCon files were unpacked. Type “devcon.exe -r install %windir%\inf\machine.inf root\rdpdr” once inside the “i386” directory to reinstall the rdpdr driver. Restart the computer
10. Download “enable_tsxp.bat,” then run it. This is a batch script that will create a .reg file and re-enable the Terminal Services missing from the Home Edition. Restart the computer
11. Now enable Remote desktop in windows firewall using port 3389.
Done!! you should be able to access windows XP home via Remote desktop.
Если вам требуется подключиться к удалённому рабочему столу (подключение к серверу по RDP) из вашей ОС Windows XP, следуйте этой инструкции.
Исходные данные для подключения
- DNS-имя или IP-адрес сервера. Например, in.andreysh.ru;
- Порт подключения. Например, 38301;
- Имя пользователя (логин). Например, Admin;
- Пароль пользователя. Например, 123456.
В сокращённом виде указанная информация может быть передана вам Администратором в таком виде:
Admin:123456@in.andreysh.ru:38301
Подключение
ПУСК -> Программы -> Стандартные -> Подключение к удаленному рабочему столу
Параметры
Ввести в поле Компьютер DNS-имя или IP-адрес сервера и, через двоеточие, Порт подключения. Например:
in.andreysh.ru:38301
В поле Пользователь – Имя пользователя. Нажать кнопку Подключить
Откроется окно подключения к удалённой системе
Авторизоваться и начать работу.
Ваш проводник в мир серверов
Настройка удаленного рабочего стола (через RDP) в Windows XP на удивление проста. Для начала заходим в свойства системы (Панель управления -> Система), там выбираем вкладку «Удаленные сеансы» и ставим галочку «Разрешить удаленной доступ к этому компьютеру» (см. рис ниже).
Нажимаем на кнопку «Выбрать удаленных пользователей» и там среди учетных записей компьютера выбираем и добавляем в список те, которые должны использоваться для подключения к удаленному рабочему столу. Для того, чтобы вход с использованием учетной записи мог быть осуществлен, она обязательно должна иметь пароль.
Помимо прочего необходимо проверить что служба «Служба теминалов» разрешена и работает (Панель управления -> Администрирование -> Службы).
Теперь чтобы подключиться, на другом компьютере в локальной сети запускаем подключение к удаленному рабочему столу (пуск -> выполнить -> mstsc), указываем ip адрес компьютера к которому нужно подключиться (первого компьютера) и жмем подключить (см. рисунок).
Пояляется окно авторизации в систему, в нем вводим логин и пароль (учетной записи на удаленном компьютере, для которой мы разрешили вход через удаленный рабочий стол) и выполняем вход в систему.
P.S.
Если необходимость установки пароля для учетной записи связана только с неоходимостью использовать рабочий стол, то можно настроить автоввод пароля при загрузке ПК (как описано здесь), чтобы не вводить его каждый раз.