Windows Server 2012でRDPを修正する方法

SSL証明書（および関連する秘密鍵）をWindows Server 2012にインポートした後に接続すると、このエラーが発生する場合があります。

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

さらに、Windowsイベントログには次のように表示されます。

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

ソリューション：

Microsoft KB2001849からの引用：

「リモートデスクトップホストサービスサービスはNETWORK SERVICEアカウントで実行されます。したがって、RDSが使用するキーファイルのACL（SSLCertificateSHA1Hashレジストリ値で指定された証明書によって参照される）を設定して、「読み取り」でNETWORK SERVICEを含める必要があります。権限。権限を変更するには、以下の手順に従います。

ローカルコンピューターの証明書スナップインを開きます。

1. [スタート]、[ファイル名を指定して実行]の順にクリックし、「mmc」と入力して、[OK]をクリックします。

2. [ファイル]メニューの[スナップインの追加と削除]をクリックします。

3. [スナップインの追加と削除]ダイアログボックスの[利用可能なスナップイン]リストで、[証明書]をクリックし、[追加]をクリックします。

4. [証明書スナップイン]ダイアログボックスで、[コンピューターアカウント]をクリックし、[次へ]をクリックします。

5. [コンピューターの選択]ダイアログボックスで、[ローカルコンピューター：（このコンソールが実行されているコンピューター）]をクリックし、[完了]をクリックします。

6. [スナップインの追加と削除]ダイアログボックスで、[OK]をクリックします。

7. 証明書スナップインのコンソールツリーで、[証明書（ローカルコンピューター）]を展開し、[個人]を展開して、使用するSSL証明書に移動します。

8. 証明書を右クリックし、[すべてのタスク]を選択して、[秘密キーの管理]を選択します。

9. [アクセス許可]ダイアログボックスで、[追加]をクリックし、NETWORK SERVICEと入力して[OK]をクリックし、[許可]チェックボックスで[読み取り]を選択して、[OK]をクリックします。

ソース： https://support.Microsoft.com/en-us/kb/2001849

ゲートウェイサービスを無効にしました。最終的にMMC=を実行し、RD証明書を完全に削除しました。次に、リモート接続を無効にして再度有効にしました。これにより、新しい適切な証明書が生成され、マシンドメインにログインできました！

自己署名証明書をインポートしたと思いますか？これが当てはまる場合は、証明書をエクスポートできないようにマークしている可能性が高いため、エラーを説明します...ご覧ください http://blogs.msdn.com/b/kaushal/archive/2012/10詳細については、/ 07/error-hresult-0x80070520-when-adding-ssl-binding-in-iis.aspx をご覧ください。私が正しい場合は、「エクスポートを許可」フラグが設定された証明書を削除して再インポートする必要があります。

これが最後に私にとってこの同じ問題を修正したものです（どの秘密鍵が攻撃者であるかを追跡する方法について このTechNetの投稿）の重要な小道具 ）

1. Procmonをダウンロードして実行（Sysinternals Suiteから）
2. そのパスのアクティビティをリッスンして、MachineKeysフォルダーのアクティビティ（ほとんどの場合、C：\ ProgramData\Microsoft\Crypto\RSA\MachineKeys）を監視します。
3. 問題のあるマシンに対してRDPを試行すると、Procmonにアクセス拒否エラーと、アクセスを拒否していたファイルが記録されます。
4. 問題のファイルを削除します（最初に自分をその所有者にする必要があり、次に自分自身に完全な制御権を与える必要があります）。
5. コンピューターを再起動すると、適切なアクセス許可が適用されて、不足しているキーが再生成されます

あなたのための解決策があります：

Makecert.exeをダウンロードし、RDP用の新しい証明書を生成します

makecert -r -pe -n "CN = server FQDN" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "

サーバーのFQDNを実際の値に変更します。

コンピュータ証明書に移動し、リモートデスクトップで現在の証明書を削除します。次に、個人ストアから、新しく作成した証明書をリモートデスクトップに移動します。証明書を開き、Thumbprintをコピーします。

Regeditを開き、次の場所に移動します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations

SelfSignedCertificateキーを新しい証明書の拇印で更新します。

リモートデスクトップサービスサービスを再起動する

同じ問題があり、[接続]をクリックするとすぐにエラーが表示されました。

解決するために私は変更しました リモートデスクトップサービス サービスのように実行されていました ローカルシステムアカウント の代わりに ネットワークサービス。サービスを再起動し、すべてが正常に動作しました。

編集： これが原因であることがわかりました アクセスが拒否されました メッセージであり、NETWORK SERVICEとして設定する必要があります。しかし、これをローカルシステムアカウントに変更してネットワークサービスに戻すと、問題が完全に解決しました。

私はパーティーに遅れましたが、これは私を助けたものです。

• 新しいPFX証明書を生成します。自己署名は機能します：

  Install-Module SharePointPnPPowerShellOnline $ password = ConvertTo-SecureString "P @ ssword" -Force -AsPlainText New-PnPAzureCertificate -CommonName RDS_CertName -ValidYears 30 -OutPfx "RDS_CertName .pfx" -CertificatePassword $ password

• 出力ウィンドウでthumbprintをキャプチャします。
• 生成されたPFX証明書を[マイコンピューター]> [個人ストア]にインストールします

• 上記の手順でキャプチャした拇印を使用して、次のコマンドを実行します。

  wmic/namespace：\ root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "THUMB_PRINT"