Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Вход по RDP на Windows Server 2016 завершился неудачей с кодом состояния 0x80090302 и подкодом 0xC0000418.

На чтение 5 мин Просмотров 1 Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Что означают коды состояния?
  4. Проблемы с NLA и сертификатами
  5. Шаги по диагностике:
  6. Политики безопасности и их влияние
  7. Рекомендации по настройке:
  8. Заключение

Вопрос или проблема

Попытка подключиться через RDP к Windows Server 2016 завершается неудачей входа. Сервер присоединен к домену и используется учетная запись домена.

Системный журнал безопасности, событие с идентификатором 4625:

Не удалось войти в учетную запись.

Тема:
    Идентификатор безопасности:  NULL SID
    Имя учетной записи:     -
    Домен учетной записи:   -
    Идентификатор входа:    0x0

Тип входа:               3

Учетная запись, для которой вход не удался:
    Идентификатор безопасности:  NULL SID
    Имя учетной записи:          XXXX
    Домен учетной записи:        XXXX

Информация о неудаче:
    Причина неудачи:    Произошла ошибка во время входа.
    Статус:             0x80090302
    Подстатус:          0xC0000418

Информация о процессе:
    Идентификатор процесса вызывающего:  0x0
    Имя процесса вызывающего:            -

Информация о сети:
    Имя рабочей станции:     X.X.X.X
    Исходный сетевой адрес: X.X.X.X
    Исходный порт:          0

Подробная информация об аутентификации:
    Процесс входа:              NtLmSsp 
    Пакет аутентификации:      NTLM
    Переданные службы:          -
    Имя пакета (только NTLM):   -
    Длина ключа:                0

Я полагаю, что это может быть связано с проблемой аутентификации NTLM, так как она должна была быть отключена, но журнал событий все еще показывает NTLM в качестве пакета аутентификации.

Следующие локальные политики безопасности установлены на контроллерах домена и серверах:

  • Сетевая безопасность: уровень аутентификации LAN Manager: Отправлять только NTLMv2 ответ. Отклонять LM & NTLM
  • Сетевая безопасность: минимальная безопасность сеанса для клиентов/серверов на основе NTLM SSP: Требовать безопасность сеанса NTLMv2, Требовать 128-битное шифрование
  • Сетевая безопасность: аутентификация NTLM в этом домене: Отказать всем

Значение реестра: HKLM\SYSTEM\CurrentControlSet\Control\Lsa!LmCompatibilityLevel установлено на 5 на серверах в соответствии с https://technet.microsoft.com/en-us/library/cc960646.aspx

Я могу подключаться удаленно, если отключу Разрешить подключения только с компьютеров, работающих с удаленным рабочим столом с аутентификацией на уровне сети, хотя это не является долгосрочным решением.

Проблема с “Пакетом аутентификации” – это ложный след. Варианты там – NTLM и Kerberos.

Если подключение работает, когда NLA отключен, то ваша проблема, скорее всего, связана с несоответствием требованиям для NLA. Когда вы используете NLA, машины проверяют идентичности друг друга с помощью сертификатов, а затем ваша машина передает ваши учетные данные по TLS.

Первый шаг – проверить сертификаты, запустив MMC.EXE и добавив оснастку сертификатов для этих машин.

Есть ли у сервера и клиента сертификат для RDP? Действителен ли он? Совпадает ли имя хоста машины с сертификатом? Этот сертификат доверяется другой машине (особенно клиент должен доверять сертификату сервера)?

Обычно, Windows сгенерирует самоподписанный сертификат, если у вас нет настроенного корпоративного CA. Этот сертификат можно добавить в хранилище доверенных корневых сертификатов на клиенте, чтобы решить проблему. Обратите внимание, что этот сертификат действителен только в течение 6 месяцев, так что проблема в конечном итоге повторится, если это была причина.

Если вы хотите, чтобы NLA “просто работал”, вам следует настроить корпоративный CA Windows и конфигурировать авто-регистрацию всех машин через групповую политику.

Ответ или решение

Неудача входа через RDP на сервер Windows 2016 с кодами состояния 0x80090302 и подстатусом 0xC0000418 может быть вызвана рядом факторов, связанных с аутентификацией и настройками безопасности. В данном случае, учитывая, что вы используете учетные записи домена и включение NLA (аутентификация уровня сети) влияет на возможность подключения, необходимо проанализировать несколько аспектов.

Что означают коды состояния?

  1. Статус 0x80090302:

    • Этот код указывает на то, что произошла ошибка, связанная с аутентификацией. Это может быть связано с неправильными сертификатами или недопустимыми настройками в области управления безопасностью.

  2. Подстатус 0xC0000418:

    • Этот подстатус обозначает, что вход был неуспешным из-за ошибки в процессе аутентификации, что может говорить о проблемах с протоколом или политиками безопасного подключения.

Проблемы с NLA и сертификатами

Как вы заметили, отключение NLA позволяет успешно подключиться, что указывает на потенциальные проблемы с сертификатами, необходимыми для применения NLA. Это может быть связано с тем, что Windows создает самоподписанный сертификат, который используется для шифрования сеансов Remote Desktop и может истечь или быть недействительным.

Шаги по диагностике:

  1. Проверка сертификатов:

    • Откройте MMC.exe и добавьте оснастку сертификатов для локального компьютера. Проверьте наличие сертификата для RDP на сервере и клиенте. Убедитесь, что сертификат действителен, а имя хоста сервера соответствует имени в сертификате.

  2. Доверие к сертификату:

    • Убедитесь, что сертификат сервера добавлен в хранилище доверенных корневых центров сертификации на клиентском компьютере. Это позволит клиенту доверять сертификату сервера и успешно входить через RDP с включенной NLA.

  3. Переход к более надежной инфраструктуре:

    • Для долгосрочного решения проблемы стоит рассмотреть возможность развертывания предприятия на основе Windows CA (сертификационного центра), что позволит автоматизировать процесс выдачи и обновления сертификатов через Group Policy.

Политики безопасности и их влияние

Ваши политики безопасности также играют важнейшую роль в успешности аутентификации. Выбранные настройки (отказ от NTLM) могут конфликтовать с другими установленными параметрами аутентификации.

Рекомендации по настройке:

  • Убедитесь, что политика "Отказать всем" для NTLM аутентификации действительно применяется только там, где это необходимо, и не мешает нормальному функционированию нужных служб.
  • Проверьте настройки уровня аутентификации и минимального сеансового шифрования для клиентов и серверов. Убедитесь, что они соответствуют адекватным требованиям защиты и не препятствуют подключению.

Заключение

Для устранения проблемы с подключением RDP к серверу Windows 2016 необходимо провести ряд шагов по диагностике, начиная с проверки сертификатов и настройки аутентификации. Занимаясь описанными выше действиями, вы сможете выявить основную причину возникновения ошибки и обеспечить безопасное и стабильное подключение к вашему серверу с использованием NLA. Постепенно улучшая инфраструктуру управления сертификатами и политик безопасности, вы сможете добиться более надежного и безопасного подключения в вашем окружении.

active-directory ntlm remote-desktop windows windows-server-2016
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности