Включаем Проверку на уровне сети (Network Level Authentication) в Windows XP SP3
Включаем Проверку на уровне сети (Network Level Authentication) в Windows XP SP3
Windows 2008R2, Windows Vista and Windows 7 поддерживают новую функцию, называемую проверка на уровне сети NLA (Network Level Authentication). Эта функция позволяют реализовать более безопасный метод подключения к удаленному рабочему столу. Чтобы задействовать network level authentication нужно установить соответствующий переключатель на Удаленный рабочий стол (Remote) в окне «Свойства системы».
Включаем Проверку на уровне сети (Network Level Authentication) в Windows XP SP3-01
Windows XP SP3 также
поддерживает Network Level Authentication для подключаемых устройств. Однако, по умолчанию, при попытке подключения с машины XP SP3 к устройству, работающему по протоколу NLA, вы получите следующую ошибку:
The remote computer requires Network Level Authentication, which your computer does not support. For assistance, contact your system administrator or technical support.
Включаем Проверку на уровне сети (Network Level Authentication) в Windows XP SP3-02
Для того, чтобы исправить эту ошибку, необходимо на машине с Windows XP внести несколько изменений в реестр.
1. Нажмите кнопку Пуск, выберите пункт Run, введите команду regedit.
2. Перейдите к следующей ветке реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
3. Щелкните правой кнопкой мыши по параметру «Security Packages» и выберите Modify..
4. В поле значения параметра добавьте строку tspkg, все остальные строки оставьте без изменений, а затем нажмите кнопку ОК.
5. Затем перейдите в ветку реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders
6. Измените значение параметра «SecurityProviders».
7. В поле значений добавьте строку credssp.dll, все остальные строки SSP оставьте без изменений, и нажмите OK.
8. Закройте редактор реестра.
9. Перезагрузите компьютер.
Теперь при попытке подключиться к удаленному компьютеру, с включенной NLA, соединение будет установлено.
Как включить поддержку проверки подлинности на уровне сети
Если при подключении к удалённому рабочему столу у вас появляется окошко:
Сообщение немного не верно отображает суть, проверку подлинности на уровне сети (NLA) компьютеры с Windows XP не ниже Service Pack 3 всё-таки поддерживают, но к сожалению по умолчанию этот протокол выключен именно на XP, начиная с Vista NLA работает сразу.
Итак если Вам нужно подключаться к серверам с включённым NLA надо будет сделать несколько несложных шагов.
Для начала проверяем минимальные требования, напоминаю NLA работает только начиная с 3го сервис пака, если он у вас не стоит — устанавливаем, а так же нам потребуется клиент для подключения к удалённому рабочему столу не ниже 6ой версии, скачать можно здесь.
Если интересно инструкция есть на сайте майкрософт,
Вторым этапом для включения NLA на нашей старой доброй XP нам потребуется исправить два ключа в реестре, это не сложно.
Куда же без реестра
Для запуска редактора реестра Пуск -> Выполнить в появившемся окошке набираем regedit жмём Enter. В списке слева находим поочередно HKEY_LOCAL_MACHINE раскрываем находим SYSTEM итд до LSA как написано ниже.
находим там Security Packages щёлкаем два раза мышкой и добавляем в конце tspkg
Аналогичные операции проделываем и с SecurityProviders
находим параметр SecurityProviders так же двойным щелчком открываем его дописываем в конце после запятой credssp.dll
После внесённых изменений необходимо перезагрузить ПК, после перезагрузки в свойствах клиента для удалённого подключения вы будете видеть поддержку NLA. 
Это для Windows XP с Service Pack 3. У сервера 2003 нет Service Pack 3. Как с ним быть?
установи 2008 или 2012 сервак… и перенеси все что на 2003 на новый сервер… и забуть об этой проблеме как о страшном сне…
Не удается установить подключение к терминальной ферме
Не удается установить подключение к терминальной ферме
Добрый день! Уважаемые читатели и гости компьютерного блога pyatilistnik.org. В последнее время я очень часто пишу, об ошибках которые встречаю в работе подключения к терминальному серверу или фермам RDS. Технология отличная, но как водится у Microsoft, имеет ряд сложностей. Сегодня я хочу с вами поделиться, каким образом решается ошибка при попытке пользователем подключиться к удаленному серверу для повседневной работы и звучит она вот так «Не удается установить подключение, так как проверка подлинности не включена, а удаленный компьютер требует, чтобы проверка подлинности для подключения была включена«. Ниже будет описан метод моего решения.
Как выглядит ошибка подключения
Есть терминальная ферма, на которой мы в прошлый раз помогли пользователю решить проблему с временным профилем, сегодня у него при попытке установить удаленное подключение выскакивает ошибка, что сервер доступен, но у тебя есть проблемы с проверкой подлинности при подключении. Данное сообщение выскакивало, сразу после ввода логина и пароля при авторизации.
Клиентский компьютер работает на операционной системе Windows 10 1709, терминальная ферма собрана из Windows Server 2012 R2, выступающих в роли хостов для подключения, в качестве посредников подключения (Connection Broker) выступают два сетевых балансировщика Kemp LoadMaster. И все как обычно, вчера работало, сегодня нет.
Варианты устранения проблемы с подключением по RDP
можно сделать вывод, что порт 3389 отвечает и его не нужно проверять с помощью Telnet. Далее алгоритм такой:
- Первое, что нужно сделать, это проверить DNS записи, которые отвечают за резолвинг имени фермы, сделать это можно с помощью команды nslookup. Открываем командную строку или power shell и вводим там команду:
Как видим имя ts4.pyatilistnik.org разрезолвилось в два ip адреса, и применив команду ping мы видим, что сервер отвечает и его TTL 64, что говорит, что в роли Connection Broker выступает, что-то на операционной системе Linux. Проверьте по записям, правильно ли разрешается имя, в нужные ли ip адреса.
- Если с записями все хорошо, то нужно посмотреть логи системы на посредниках к подключению, это как раз те сервера, которые отвечают по команде nslookup, хочу отметить, что Connection Broker может и не быть, и DNS может перекидывать на членов фермы, по технологии Round robin, простым перебором, где могут быть проблемы либо с отдельной нодой, либо со всеми, об этом мы поговорим ниже. Очень часто, достаточно перезагрузить посредника, удобно если их два в HA.
Как я и писал выше в моем случае в роли посредником по подключению выступают две сетевые железки Kemp LoadMaster. Заходим в веб интерфейс, переходим в пункт «View/Modify Services». В данном пункте будут описаны правила, которые обрабатывает Kemp LoadMaster. Вижу, что у меня есть правило TS4. В столбце Real Servers я вижу на какие сервера оно применяется. Тут логика какая, создается виртуальный интерфейс отвечающий по нужному порту, в данном случае 3389, и идет форвардин на список Real Servers по разным критериям, коих у Kemp много.
Проверяем список Real Servers на соответствие актуальности. В моем случае выяснилось, что один из ip адресов был передан другому серверу, так как его предшественника вывели из эксплуатации, а так как на нем не было развернуто служб удаленных рабочих столов, то у меня и валилась ошибка «Не удается установить подключение, так как проверка подлинности не включена, а удаленный компьютер требует, чтобы проверка подлинности для подключения была включена».
Редактируем правило, через кнопку Modify. Находим в списке IP Address нужный вам сервер и выключаем/Удаляем его соответствующей кнопкой.
Посмотреть список шаблонов на Kemp LoadMaster можно на вкладке Manage Template, они подгружаются сюда отдельно с официального сайта
После этих манипуляций ошибка ушла.
- Если у вас нет Kemp LoadMaster или нет вообще Connection Broker, то попробуйте подключиться не по DNS имени фермы, а отдельно по RDP на конечный хост (Session Host). Проверьте, что у него стоят правильные настройки проверки подлинности.
Для этого зайдите в свойства системы, на вкладке «Удаленный доступ» проверьте наличие галки:
Такая галка, запрещает старым клиентам служб удаленных рабочих столов производить подключение, актуально для Windows XP или не обновленных Windows 7, если у вас есть такие клиенты, то либо их обновите, либо снимите галку.
PS. Советую сделать на каждом сервере, что входит в состав терминальной фермы команду RSOP в командной строке, чтобы понять какие групповые политики прилетают и посмотрите, что у вас там
Как отключить NLA (Network Level Authentication)
Если у вас еще много не обновленных клиентов со старыми версиями RDP, то можете отключить пока NLA: Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Либо вручную, как я показывал, выше, но правильнее это сделать централизованно.
- На Connection Brokers
- Через групповую политику (Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Политика «Требовать проверку подлинности на уровне сети для удаленных подключений»)
- Через реестр Windows и политику
- Понизить требование к шифрованию.
На посреднике к подключению, зайдите в свойства коллекции и на вкладке безопасности снимите соответствующую галку.
Если захотите воспользоваться реестром Windows, а потом раскидать ключик, через тужу политику. то вам нужна ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. В ней найдите ключ SecurityLayer и поставьте ему значение 0. Это отключит NLA (Network Level Authentication).
Уверен, что вы смогли устранить ошибки: Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера. Повторите попытку подключения. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или сетевому администратору и «Не удается установить подключение».
Если вам известны еще какие-либо методы решения, то просьба написать о них в комментариях.