Настройка безопасности RDP Windows Server 2016

Ошибки Windows 10

Список часто встречающихся ошибок и способ их устранения.1. В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа. (Неверный логин или пароль).Возможные причины появления ошибки и способы её устранения:1) Неправильно введен логин или пароль. Проверьте, правильно ли вы написали логин/пароль. Обратите внимание, что все написанные в пароле знаки необходимо вводить. Также соблюдайте верхний и нижний регистр при написании пароля. Проверьте, верно ли введен адрес VPN сервера в настройкахТребуется пересоздать vpn-подключение, если перенабор логина\пароля не помог.2) Логин уже авторизован на подключиться через 5-10 минут. Если подключиться не получилось, обращайтесь в отдел поддержки пользователей.! Ни в коем случае, не сообщайте никому свои реквизиты для подключения.2. Удаленное подключение не установлено, так как не удалось разрешить имя сервера удаленного доступа. (Нет линка).Возможные причины появления ошибки и способы её устранения:1) Проверьте, включена ли сетевая карта на Вашем состояния подключения по локальной сети отключено – включите двойным кликом левой кнопки мыши.2) Подключение по локальной сети (Еthernet) зачеркнуто красным крестом и снизу подписано «Сетевой кабель не подключен».Проверьте, подключен ли сетевой кабель к компьютеру, если нет, то его требуется переподключить. Если подключиться не получилось, обращайтесь в отдел поддержки пользователей.3. Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг. (Неверный адрес сервера).Возможные причины появления ошибки и способы её устранения:Проверьте настройки значок с рабочего стола «K-Telecom» и в открывшемся окне нажмите правой кнопкой мышки по подключению. Выберете «Просмотр свойств подключения». Перейдите во вкладку «Общие», имя сервера должно быть или L2.4. Сетевая папка недоступна. За информацией о разрешении проблем в сети обратитесь к справочной системе Windows. (Не получен ip по dhcp).Возможные причины появления ошибки и способы её устранения:1) Проверьте, получает ли сетевая карта адрес сети. Откройте: Панель управления – Сеть и интернет – Центр управления сетями и общим доступом – Изменение параметров адаптера. Нажмите правой кнопкой мыши по значку "Ethernet " и выберете «Состояние». Если ip адрес начинается на , то обращайтесь в отдел поддержки пользователей.2) Блокирование антивирусной программой. Убедитесь, что фаервол или антивирус со встроенным фаерволом не блокируют соединение.5. Удаленное подключение не установлено, так как не удалось разрешить имя сервера удаленного доступа. (Нет связи до DNS серверов, DNS прописан вручную, отсутствует ip адрес по dhcp).Возможные причины появления ошибки и способы её устранения:1) Неправильные настройки локальной сети. Проверьте настройки подключения по локальной сети. Инструкция по настройке локальной сети здесь. 2) Проверьте получает ли сетевая карта адрес сети. Откройте: Панель управления – Сеть и интернет – Центр управления сетями и общим доступом – Изменение параметров адаптера. Нажмите правой кнопкой мыши по значку "Еthernet) " и выберете «Состояние». Если ip адрес начинается на , то обращайтесь в отдел поддержки пользователей.3) Блокирование антивирусной программой. Убедитесь, что фаервол или антивирус со встроенным фаерволом не блокируют соединение.

Отключаем «Ограничить всех пользователей одиночными сеансами»

«Подключение было потеряно, потому что к удаленному компьютеру подключился другой пользователь» – эта фраза дает понять, что к удаленному рабочему столу одновременно может быть подключен лишь один пользователь.

Проблема связана с настройками компьютера, к которому удаленно подключаются, а именно в его настройках редактора групповой политики. Необходимо отключить функцию «Ограничить всех пользователей одиночными (единственными) сеансами».

Вызываем панель «Выполнить» с помощью комбинации клавиш Win+R, вводим «» и жмем Enter или мышкой ОК.

Откроется “Редактор локальной групповой политики”. Чтобы была поддержка множественных сеансов одной учетной записи, необходимо пройти путь Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Подключения. Тут нужно открыть параметр «Ограничить пользователей службы удаленных рабочих столов одним сеансом служб удаленных рабочих столов».

Выставляем отметку на «Отключить» и сохраняем настройки нажав ОК.

Если в будущем по каким-либо причинам вам потребуется ограничить подключение к удаленному рабочему столу одиночным сеансом, то проделайте тот же путь, но отметив в конце «Выбрать».

Лучшее «Спасибо» — ваш репост

Траблшутинг

Ошибка теневого доступа. Согласно настройкам групповой политики требуется согласие пользователя

→ Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Подключения (Policies → Administrative Templates → Windows components → Remote Desktop Services → Remote Session Host → Connections) параметр «Устанавливает правила удаленно управления для пользовательских сеансов служб удаленных рабочих столов» (Set rules for remote control of Remote Desktop Services user sessions) — устанавливаем по желанию.

Не сохраняется логин/пароль RDP-подключения в Windows 7 (Сохранение паролей запрещено системным администратором)

Симптомы: создаем как обычно RDP-подключение к серверу, вводим логин и пароль, ставим галочку «сохранить учетные данные», подключаемся и все хорошо, но при следующем подключении к этому серверу видим все то же знакомое окно с предложением ввести пароль к учетной записи и надписью «Сохранение паролей запрещено системным администратором».

Решение:

Запускаем и поехали править:

• Конфигурация пользователя —> Административные шаблоны —> Компоненты Windows —> Службы удаленных рабочих столов —> Клиент подключения к удаленному рабочему столу → «Запретить сохранение паролей» — отключаем
• Конфигурация компьютера —> Административные шаблоны —> Система —> Передача учетных данных —> Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера «Только NTLM» — заходим в настройку, нажимаем кнопку «Показать» в поле «Добавить серверы в список» и в открывшемся списке добавляем TERMSRV/* (для всех рабочих станций) или указываем нужные

Применить групповые политики перезагрузившись, подождав какое-то время или командой gpupdate /force

windows, server, 2012, terminal server, сервер терминалов, уставновка

Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)

Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:

Шаг 1 Разрешить входящие RDP подключения на компьютере

Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows: Windows XP Professional; Windows 7/8.1 Professional; Windows 7/8.1 Ultimate; Windows 7/8.1 Corporate.

В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.

Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:

Переходим на вкладку Удалённый доступ, ставим переключатель в положение Разрешать подключения к этому компьютеру, снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:

Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.

Читайте нашу статью Добавление учётной записи пользователя в Windows 8.1

Требование №1. Эта учётная запись обязательно должна иметь пароль. Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.

Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу Пользователи удалённого рабочего стола. Это можно сделать двумя способами.

Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу

Способ первый.

Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление:

В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи:

В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:

Перейдите на вкладку Членство в группах и нажмите кнопку Добавить:

Нажмите кнопку Дополнительно:

Затем, кнопку Поиск:

Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK:

В окнах Выбор группы и Свойства: <пользователь> нажмите OK:

Способ второй.

Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:

Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей:

Нажмите кнопку Добавить:

Нажмите Дополнительно:

и Поиск:

В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK:

Теперь нажмите OK в двух следующих окнах:

Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.

В роутерах D-Link нужный раздел может называться Virtual Server, как в D-Link DIR-615:

Также, он может называться Port Forwarding, как, например, в DIR-300:

Суть одна и та же:

1. Даём произвольное имя правилу;
2. Открываем НЕстандартный порт на роутере, который не занят (поле Public Port);
3. Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address);
4. Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port).

Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.

Для настройки Dynamic DNS зайдите в раздел MAINTENANCE, выберите подраздел DDNS Settings и нажмите на ссылку Sign up… для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings:

После этого можно будет подключаться не по IP-адресу, а по адресу вида :port

Настраиваем политику блокировки

Основная проблема в том, что по умолчанию Windows-server (даже 2016!) не защищен от брутфорса, поэтому безопасность RDP в Windows 2016 пребывает не на очень высоком уровне. При наличии какого-либо сервиса, в частности, FTP, вас могут брутфорсить, пока не получат доступ к системе, перебирая огромное множество логинов и паролей. Именно поэтому необходима настройка временной блокировки пользователя после нескольких неудачных попыток.

Необходимый набор правил и настроек называется Политика блокировки учетной записи (Account Lockout Policy). Пока вы еще не закрыли окно Локальная политика безопасности, перейдите в раздел Политики учетных записей, Политика блокировки учетной записи. Установите Пороговое значение блокировки — 5 (максимум 5 неудачных попыток входа), Продолжительность блокировки учетной записи — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).

Рис. 6. Настройка политики блокировки учетной записи

Запросить КП

Добавление пользователей для подключения через RDP

После успешного лицензирования добавляем первого пользователя для подключения через RDP.

1. Открываем «Диспетчер серверов».

2. Раскрываем меню «Средства», выбираем пункт «Пользователи и компьютеры Active Directory».

3. Разворачиваем раздел «Пользователи и компьютеры».

4. Кликаем правой кнопкой по своему домену и выбираем пункт «Создать» — «Подразделение».

5. Задаем имя подразделения — например, «Пользователи».

6. Кликаем правой кнопкой по созданному подразделению и выбираем пункт «Создать» — «Пользователь».

7. В карточке пользователя задаем параметры: имя, фамилию, имя на латинице для авторизации.

8. Указываем пароль и настраиваем его параметры — например, можно запретить смену пароля пользователем и сделать срок действия неограниченным.

9. Нажимаем «Готово» для сохранения конфигурации.

Аналогичным образом добавляются другие пользователи, которые могут удаленно подключаться к серверу с Windows Server 2012.

Базовая настройка Windows Server 2012 R2 завершена.

Возможные решения:

Способ первый:

Восстановление операционной системы на ту дату (контрольная точка восстановления), когда ошибка подключения 720 в системе не обнаруживалась. Для того чтобы выполнить откат, нужно нажать сочетание клавиш WIN+R и в появившемся окне ввести  и нажать Enter.  Запустится программа восстановления операционной системы. Далее следуя подсказкам, выберите дату и выберите точку восстановления.

Система произведет откат на указанное время и перезагрузится. Данный способ не всегда является действенным и в большинстве случаев ошибка 720 появляется вновь. Если данный способ не помог избавиться от ошибки 720 перейдите к следующему пункту.

Внимание! Следующие пункты требуют наличия некоторых навыков и знания операционной системы Windows. Если вы не уверены в своих силах, попросите помощи у более опытных пользователей или обратитесь к специалисту.

Способ второй:

Этот способ заключается в восстановлении конфигурации Winsock. Для этого нажмите комбинацию клавиш WIN+R и в открывшемся окне введите cmd и нажмите Enter. В открывшемся окне командной строки введите

netsh winsock reset

и нажмите Enter.

После выполнения данной команды перезагрузите компьютер.

Использование команды netsh winsock reset может привести к тому, что некоторые программы использующие Интернет или управляющие сетевыми соединениями, будут работать некорректно или не запустятся вообще. Такие программы необходимо будет восстановить или переустановить (в деинсталяторах некоторых программ помимо пункта удаления присутствует пункт Восстановление — Repair ) .

Способ третий:

Если два первых способа оказались неэффективными пробуйте следующее: нажмите сочетание клавиш WIN+R и введите команду regedit и нажмите Enter. В левой части открывшегося окна редактора реестра найдите и удалите следующие разделы реестра отвечающие за Winsock:

1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

Затем перезагрузите компьютер. Операционная система при запуске создаст заново удаленные разделы.

Установите заново протокол TCP/IP. Для этого откройте Панель управления и найдите в ней Центр управления сетями и общим доступом. В открывшимся окне щелкните на ссылку «Подключение по локальной сети». В открывшимся окне нажмите кнопку <Свойства>.

Примечание:  В Windows XP просто откройте папку сетевые подключения. Щелкните правой кнопкой мыши сетевое подключение и выберите команду Свойства.

Нажмите кнопку <Установить>.

Выберите пункт Протокол и нажмите кнопку <Добавить>.

Нажмите кнопку Установить с диска.

Введите C:\Windows\inf\ и нажмите кнопку <ОК>.

В списке протоколов выберите Протокол Интернета (TCP/IP) и нажмите кнопку <ОК>.

Способ четвертый:

Если все вышеперечисленные варианты не помогли, попробуйте переустановить операционную систему.

Помните! Неправильное обращение с операционной системой + ваша неопытность или небрежность = выход ПК или операционной системы из строя.