トンネルを介した2008R2からのRDPが失敗する
トンネルを介してWin7から2008R2マシンにRDPしようとしています(SSHと考えてくださいが、正確ではありません)。
失敗し、2008 R2(宛先)イベントログに次の情報が記録されます。
システムイベントログ、LsaSrvソース、イベントID 6037
「プロセスID632が割り当てられたプログラムlsass.exeは、ターゲット名TERMSRV/{WIN7_name}を使用してローカルで認証できませんでした。使用されたターゲット名は無効です。ターゲット名は、ローカルコンピューター名の1つを参照する必要があります。たとえば、DNSホスト名。
別のターゲット名を試してください。 「」
WIN7側は次のことを示しています。
システムイベントログ、TermDDイベントソース、イベントID 56
ターミナルサーバーセキュリティレイヤーがプロトコルストリームでエラーを検出し、クライアントを切断しました。クライアントIP:{WIN7_name}。
(エラーコードC000018D = STATUS_TRUSTED_RELATIONSHIP_FAILURE)
したがって、RDPクライアントがローカルサーバー名をリモート側に渡しているようです(RDPにWin7マシンに伝えましたが、トンネルポートに伝えました)。
この問題を無視するようにRDPクライアントまたはサーバーに指示する方法を見つけることができませんでした。 setspn.exeを使用して2008R2ボックスに{Win7_name}サービスプリンシパル名を設定することは可能であるように見えますが、それは面倒なようで、私の場合、クライアントはそれを行う方法を知りません。さらに、そのサーバーに接続する可能性のあるすべてのクライアントに対してこれを行う必要があります。
他の誰かがトンネリングを使用して2008R2とWin7の間にRDPを実行できますか?
「ネットワークレベル認証」(man-in-the-middle攻撃を防ぐための証明書ベースの認証)に合格するRDP接続のみを許可するようにサーバーコンピューターを設定しているようです。サーバー側でこれをオフにするには、[リモートデスクトップセッションホストの構成]に移動し、[接続]ダイアログで[RDP-Tcp]接続のプロパティを表示し、[リモートを実行しているコンピューターからの接続のみを許可する]のチェックを外します。ネットワークレベル認証を備えたデスクトップ」。
これを行うと、攻撃者がパスワードを収集する目的でサーバーのように見える偽のRDPサーバーをセットアップする可能性があることに注意してください。
編集:
rinetd を使用して、Windows 7ProfessionalマシンのローカルポートをWindowsServer 2008 R2コンピューターのRDPポートにトンネリングします。MicrosoftRDPクライアントを使用して、リモートコンピューターに正常にアクセスできます。
Kerberosに障害が発生した後、RDPクライアントがNTLMにフォールバックしていないように感じます。ただし、どの構成設定がそれを引き起こす可能性があるのかすぐにはわかりません。 NTLM認証を禁止するためのポリシー設定がサーバーコンピューターにありますか?
CredSSPを無効にすることが役立つかどうか知りたいです。 RDP接続プロパティをファイルに保存し、お気に入りのテキストエディターでファイルを編集して、行を追加しますenablecredsspsupport:i:0(または、行がすでに存在する場合は、「1」を「0」および行の終わりに変更します)。