Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к виртуальным машинам ✔️ Windows
Сводка
Эта статья поможет устранить ошибки проверки подлинности, возникающие при использовании соединения по протоколу удалённого рабочего стола (RDP) для подключения к виртуальной машине Azure.
Примечание.
Статья была полезной? Ваши входные данные важны для нас. Нажмите кнопку "Отзывы" на этой странице, чтобы сообщить нам, насколько хорошо эта статья работала для вас или как мы можем улучшить ее.
Симптомы
Снимок экрана виртуальной машины Azure, показывающий экран приветствия и указывающий, что операционная система работает. Однако при попытке подключиться к виртуальной машине с помощью подключения Remote Desktop вы получите одно из следующих сообщений об ошибке:
- Произошла ошибка проверки подлинности. Не удается связаться с локальным администратором безопасности».
- Удаленный компьютер, который вы пытаетесь подключиться, требует проверки подлинности на уровне сети (NLA), но ваш Windows контроллер домена не может быть контактирован для выполнения NLA. Если вы являетесь администратором удаленного компьютера, вы можете отключить NLA, воспользовавшись параметрами на вкладке «Удаленные» в диалоговом окне «Свойства системы».
- Этот компьютер не может подключиться к удаленному компьютеру. Try connecting again, if the problem continues, contact the owner of the remote computer or your network administrator (Не удается подключиться к удаленному компьютеру. Попробуйте подключиться снова. Если проблема не исчезнет, обратитесь к владельцу удаленного компьютера или к администратору сети).
Причина
Существует несколько причин, по которым NLA может заблокировать доступ RDP к виртуальной машине:
- Виртуальная машина не может обмениваться данными с контроллером домена. Эта проблема может помешать сеансу RDP обращаться к виртуальной машине с помощью учетных данных домена. Тем не менее вы можете войти в систему, используя учетные данные локального администратора. Эта проблема может возникнуть в следующих ситуациях:
- Канал безопасности Active Directory между этой виртуальной машиной и контроллером домена поврежден.
- Виртуальная машина использует устаревшую копию пароля учетной записи, а контроллер домена использует новый пароль.
- Контроллер домена, к которому подключается эта виртуальная машина, находится в неработоспособном состоянии.
- Уровень шифрования виртуальной машины выше, чем тот, который используется клиентским компьютером.
- На виртуальной машине отключены протоколы TLS 1.0, 1.1 или 1.2 (сервер). На виртуальной машине было отключено ведение журнала с помощью учетных данных домена, и локальная система безопасности настроена неправильно.
- Виртуальная машина была настроена для принятия только подключений, использующих алгоритмы, соответствующие Федеральному стандарту обработки информации (FIPS). Обычно это делается с помощью политики Active Directory. Это редкая конфигурация, но FIPS может применяться только для Remote Desktop подключений.
Перед началом устранения неполадок
Создание снимка резервной копии
Чтобы создать моментальный снимок резервной копии, выполните действия, описанные в статье Создание моментального снимка.
Удаленный вход на виртуальную машину
Чтобы подключиться к виртуальной машине удаленно, используйте один из методов в Как использовать удаленные средства для устранения неполадок Azure виртуальных машин.
Служба клиента групповой политики
Если это виртуальная машина, присоединенная к домену, сначала остановите службу клиента групповой политики, чтобы предотвратить перезапись изменений в политике Active Directory. Для этого выполните следующую команду:
REM Disable the member server to retrieve the latest GPO from the domain upon start
REG add "HKLM\SYSTEM\CurrentControlSet\Services\gpsvc" /v Start /t REG_DWORD /d 4 /f
После устранения проблемы восстановите возможность виртуальной машины взаимодействовать с доменом, чтобы получить последний объект групповой политики из домена. Для этого введите указанные ниже команды:
sc config gpsvc start= auto
sc start gpsvc
gpupdate /force
Если изменение отменено, это означает, что политика Active Directory вызывает проблему.
Обходное решение
В качестве обходного решения для подключения к виртуальной машине и устранения причины можно временно отключить NLA. Чтобы отключить NLA, используйте приведенные ниже команды или сценарий в DisableNLAвыполнить команду.
REM Disable the Network Level Authentication
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0
Затем перезапустите виртуальную машину и перейдите к разделу устранения неполадок.
После устранения проблемы повторно включите NLA, выполнив следующие команды, а затем перезапустите виртуальную машину:
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds /t REG_DWORD /d 0 /f
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f
Устранение неполадок
- Устранение неполадок виртуальных машин, присоединенных к домену.
- Устранение неполадок с автономными виртуальными машинами.
Устранение неполадок виртуальных машин, присоединенных к домену
Чтобы устранить эту проблему, выполните указанные ниже действия.
- Проверьте, может ли виртуальная машина подключиться к контроллеру домена.
- Проверьте работоспособность контроллера домена.
Примечание.
Для проверки работоспособности контроллера домена можно использовать другую виртуальную машину, которая находится в той же виртуальной сети, подсети и использует тот же сервер аутентификации.
Подключитесь к виртуальной машине с проблемой с помощью последовательной консоли, удаленного CMD или удаленного PowerShell, в соответствии с инструкциями в разделе "Подключение к виртуальной машине удаленно".
Определите контроллер домена, к которому пытается подключиться виртуальная машина. Выполните следующую команду в консоли:
set | find /i "LOGONSERVER"Проверьте работоспособность безопасного канала между виртуальной машиной и контроллером домена. Для этого выполните
Test-ComputerSecureChannelкоманду в экземпляре PowerShell с повышенными привилегиями. Эта команда возвращает значение True или False, указывающее, жив ли безопасный канал:Test-ComputerSecureChannel -verboseЕсли канал не работает, выполните следующую команду для его восстановления.
Test-ComputerSecureChannel -repairУбедитесь, что пароль учетной записи компьютера в Active Directory обновляется на виртуальной машине и контроллере домена:
Reset-ComputerMachinePassword -Server "<COMPUTERNAME>" -Credential <DOMAIN CREDENTIAL WITH DOMAIN ADMIN LEVEL>
Если контроллер домена и виртуальная машина успешно взаимодействуют, но контроллер домена недостаточно работоспособен, чтобы запустить сеанс RDP, можно попытаться перезапустить контроллер домена.
Если указанные выше команды не привели к устранению неполадки связи с доменом, можно повторно присоединить эту виртуальную машину к домену. Для этого выполните следующие шаги.
Создайте скрипт с именем Unjoin.ps1 с помощью следующего содержимого, а затем разверните скрипт как расширение скрипта Custom Script Extension на портале Azure:
cmd /c "netdom remove <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10 /Force"Этот сценарий принудительно удаляет виртуальную машину из домена и перезапускает виртуальную машину через 10 секунд. Затем необходимо очистить объект Computer на стороне домена.
После завершения очистки вновь присоедините эту виртуальную машину к домену. Для этого создайте скрипт с именем JoinDomain.ps1 с помощью следующего содержимого, а затем разверните скрипт в виде расширения пользовательского скрипта на портале Azure:
cmd /c "netdom join <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10"
Примечание.
Виртуальная машина будет подключена к домену с использованием указанных учетных данных.
Если канал Active Directory работоспособен, пароль компьютера обновляется, а контроллер домена работает должным образом, выполните следующие действия.
Если проблема не исчезла, проверьте, не отключены ли учетные данные домена. Для этого откройте окно командной строки с повышенными привилегиями и выполните следующую команду, чтобы определить, отключены ли на виртуальной машине учетные записи домена для входа на эту виртуальную машину.
REG query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds
Если ключ установлен на 1, это означает, что сервер настроен так, чтобы не допускать использования учетных данных домена. Измените этот ключ на 0.
Устранение неполадок автономных виртуальных машин
Проверка значения MinEncryptionLevel
В экземпляре CMD выполните следующую команду, чтобы запросить значение реестра MinEncryptionLevel :
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel
Исходя из значения реестра, выполните следующие действия.
4 (FIPS): проверка подключений с алгоритмами, соответствующими стандартам FIPS.
3 (128-разрядное шифрование): задайте уровень серьезности 2, выполнив приведенную ниже команду.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2 /f2 (максимально возможный уровень шифрования в соответствии с клиентом): можно попытаться установить минимальный уровень шифрования 1, выполнив приведенную ниже команду.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 1 /f
Чтобы изменения реестра вступили в силу, перезапустите виртуальную машину.
Версия протокола TLS
В зависимости от системы протокол RDP использует протокол TLS 1.0, 1.1 или 1.2 (сервер). Чтобы запросить параметры этих протоколов, настроенные на виртуальной машине, откройте экземпляр командной строки и выполните следующие команды.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled
Если не все возвращенные значения равны 1, это означает, что протокол отключен. Чтобы включить эти протоколы, выполните следующие команды.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f
Для других версий протокола можно выполнить следующие команды.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled
Примечание.
Версию x.x протоколов SSH/TLS можно найти в журналах гостевой ОС при анализе ошибок SCHANNEL.
Проверка соединений алгоритмов, соответствующих стандартам FIPS
Удаленный рабочий стол можно настроить для использования только подключений, использующих FIPS-совместимые алгоритмы. Это можно сделать, используя ключ реестра. Для этого откройте окно командной строки с повышенными привилегиями, а затем запросите следующие ключи.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled
Если команда возвращает 1, измените значение реестра на 0.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled /t REG_DWORD /d 0
Проверьте, какой текущий MinEncryptionLevel на виртуальной машине.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel
Если команда возвращает 4, измените значение реестра на 2.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2
Чтобы изменения реестра вступили в силу, перезапустите виртуальную машину.