Подключение к удаленному рабочему столу ошибка nla

Ответ

Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлений Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывают патчи в данном обновлении.

В своей проблеме вы не одиноки. Данная ошибка может появится в любой операционной системе Windows или Windows Server (не только Windows 7). У пользователей английской версии Windows 10 при попытке подключится к RDP/RDS серверу аналогичная ошибка выглядит так:

Ошибка RDP “An authentication error has occurred” может появляться и при попытке запуска RemoteApp приложений.

Почему это происходит? Дело в том, что на вашем компьютере установлены актуальные обновления безопасности (выпущенные после мая 2018 года), в которых исправляется серьёзная уязвимость в протоколе CredSSP (Credential Security Support Provider), использующегося для аутентификации на RDP серверах (CVE-2018-0886) (рекомендую познакомится со статьей Ошибка RDP подключения: CredSSP encryption oracle remediation). При этом на стороне RDP / RDS сервера, к которому вы подключаетесь со своего компьютера, эти обновления не установлены и при этом для RDP доступа включен протокол NLA (Network Level Authentication / Проверку подлинности на уровне сети). Протокол NLA использует механизмы CredSSP для пре-аутентификация пользователей через TLS/SSL или Kerberos. Ваш компьютер из-за новых настроек безопасности, которые выставило установленное у вас обновление, просто блокирует подключение к удаленному компьютеру, который использует уязвимую версию CredSSP.

Что можно сделать для исправления эту ошибки и подключиться к вашему RDP серверу?

1. Самый правильный способ решения проблемы – установка последних кумулятивных обновлений безопасности Windows на компьютере / сервере, к которому вы подключаетесь по RDP;
2. Временный способ 1. Можно отключить проверку подлинности на уровне сети (NLA) на стороне RDP сервера (описано ниже);
3. Временный способ 2. Вы можете на стороне клиента разрешить подключение к RDP серверам с небезопасной версией CredSSP, как описано в статье по ссылке выше. Для этого нужно изменить ключ реестра AllowEncryptionOracle (команда
   REG ADD
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2
   ) или изменить настройки локальной политики Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула), установив ее значение = Vulnerable / Оставить уязвимость).

   Это единственный способ доступа к удаленному серверу по RDP, если у вас отсусвует возможность локального входа на сервер (через консоль ILO, виртуальной машины, облачный интерфейс и т.д.). В этом режиме вы сможете подключиться к удаленному серверу и установить обновления безопасности, таким образом перейдете к рекомендуемому 1 способу. После обновления сервера не забудьте отключить политику или вернуть значение ключа AllowEncryptionOracle = 0 :
   REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Отключение NLA для протокола RDP в Windows

Если на стороне RDP сервера, которому вы подключаетесь, включен NLA, это означает что для преаутентификации RDP пользователя используется CredSPP. Отключить Network Level Authentication можно в свойствах системы на вкладке Удаленный доступ (Remote), сняв галку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети / Allow connection only from computers running Remote Desktop with Network Level Authentication (recommended)» (Windows 10 / Windows 8).

В Windows 7 эта опция называется по-другому. На вкладке Удаленный доступ нужно выбрать опцию «Разрешить подключения от компьютеров с любой версией удаленного рабочего стола (опасный) / Allow connections from computers running any version of Remote Desktop (less secure)».

Также можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики — gpedit.msc (в Windows 10 Home редактор политик gpedit.msc можно запустить так) или с помощью консоли управления доменными политиками – GPMC.msc. Для этого перейдите в разделе Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security), отключите политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети (Require user authentication for remote connections by using Network Level Authentication).

Также нужно в политике «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP.

Для применения новых настроек RDP нужно обновить политики (gpupdate /force) или перезагрузить компьютер. После этого вы должны успешно подключиться к удаленному рабочему столу сервера.

Удаленный компьютер требует проверки подлинности на уровне сети [решено]

При правильной настройке Windows 10 можно использовать для подключения к другому удаленному компьютеру через локальное подключение или через Интернет. Однако многие пользователи сообщают об ошибке, когда они не могут подключиться к удаленным компьютерам по сети, получая сообщение об ошибке:

«Удаленный компьютер требует проверки подлинности на уровне сети, которую ваш компьютер не поддерживает. Для получения помощи обратитесь к системному администратору или в службу технической поддержки.»

«Удаленный компьютер, к которому вы пытаетесь подключиться, требует проверки подлинности на уровне сети, но ваш контроллер домена Windows не может связаться для выполнения NLA. Если вы являетесь администратором на удаленном компьютере, вы можете отключить NLA, используя параметры на вкладке «Удаленное» диалогового окна «Свойства системы».»

Здесь я расскажу, как вы можете решить проблему, если вы получите проверка подлинности на уровне сети ошибка в вашей системе.

Исправления для удаленного компьютера требует проверки подлинности на уровне сети

Вот некоторые шаги, которые вы можете выполнить, чтобы временно отключить проверка подлинности на уровне сети, для того, чтобы решить проверка подлинности на уровне сети требуемая ошибка. В конце я расскажу о более постоянном и безопасном решении, которое позволит вам подключаться к удаленным устройствам, не беспокоясь о аутентификация на уровне сети удаленного рабочего стола Сообщения об ошибках.

Решение 1. Измените настройки удаленного рабочего стола

Вот простой шаг, который вы можете выполнить, чтобы отключить проверка подлинности на уровне сети с легкостью. Это делается с помощью диалогового окна «Свойства системы». Следуйте этим шагам тщательно, чтобы решить ‘удаленный компьютер требует проверки подлинности на уровне сети‘ сообщение об ошибке.

1. Открыть Бегать диалог, нажав Win + R.
2. Тип sysdm.cpl и нажмите Войти запустить окно свойств системы.
3. Перейти к Удаленный
4. В подразделе «Удаленный рабочий стол» снимите флажок рядом с ‘Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)»
5. Нажмите на Подать заявление с последующим Ok.
6. Перезагрузите вашу систему.

Теперь проверьте, можете ли вы подключиться к удаленному компьютеру, если этот параметр отключен. Это должно устранить ошибку на вашем устройстве. Есть несколько других способов отключить проверка подлинности на уровне сети в вашей системе.

Решение 2. Используйте PowerShell

Один из самых простых способов отключения NLA состоит в использовании команд PowerShell для выполнения желаемого действия. PowerShell позволяет вам подключиться к удаленному компьютеру и после нацеливания на компьютер выполнить команду для отключения NLA.

1. Откройте окно PowerShell с повышенными правами. Для этого используйте Win + S чтобы открыть диалоговое окно поиска, введите PowerShell, щелкните правой кнопкой мыши по результату и выберите Запустить от имени администратора.
2. Выполните следующую команду, чтобы подключиться к целевому компьютеру:
   $ TargetMachine = «Target-Machine-Name»
   Заметка: Замените Target-Machine-Name на имя вашего компьютера
3. Введите следующую команду, чтобы удалить аутентификацию с сетевого компьютера:
   (Get-WmiObject -class «Win32_TSGeneralSetting» -Namespace root cimv2 Terminalservices -ComputerName $ TargetMachine -Filter «TerminalName =’ RDP-tcp ’»). SetUserAuthenticationRequired (0)

Решение 3. Используйте редактор групповой политики

Редактор групповой политики — это мощный инструмент, который может помочь вам настроить многие важные параметры Windows без необходимости редактирования реестра. Отключение NLA с помощью редактора групповой политики может быть очень полезным, особенно если вы отключаете все файлы. Выполните следующие действия, чтобы отключить ‘аутентификация на уровне сети удаленного рабочего столаС помощью редактора локальной групповой политики.

1. Открыть Бегать диалог, нажав Win + R.
2. Тип gpedit.msc и нажмите Войти запустить редактор локальной групповой политики.
3. Перейдите по следующему пути, чтобы получить доступ к соответствующему файлу настроек:
   Конфигурация компьютера >Административные шаблоны >Компоненты Windows >Службы удаленных рабочих столов >Узел сеансов удаленных рабочих столов >Безопасность
4. В разделе «Настройки безопасности» на правой панели найдите следующую запись:
   Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на уровне сети
5. Дважды щелкните эту запись, чтобы изменить значение.
6. Нажмите на Отключено переключатель.

Проверьте, была ли ошибка устранена на вашем устройстве, попытавшись подключиться к удаленному рабочему столу с помощью отключенного NLA.

Решение 4. Используйте редактор реестра

Вы также можете использовать реестр для решения theудаленный компьютер требует проверки подлинности на уровне сетиОшибка в вашей сетевой системе. Выполните следующие шаги, чтобы решить ошибка аутентификации удаленного рабочего стола на вашем удаленном рабочем столе.

Замечания: Реестр является одним из самых мощных и важных инструментов в Windows, и внесение любых изменений без знания последствий может привести к поломке устройства. Обязательно подготовьте резервную копию, прежде чем вносить какие-либо изменения в ваше устройство, и точно следуйте приведенным инструкциям.

1. Откройте диалоговое окно «Выполнить», нажав Win + R.
2. Тип смерзаться и нажмите Войти запустить редактор реестра. Нажмите на да в приглашении контроля учетной записи пользователя.
3. Перейдите в следующую папку, вставив путь в адресную строку редактора реестра:
   Компьютер HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa
4. На правой панели найдите и дважды щелкните Пакеты безопасности многострочное значение для изменения значения.
5. В поле данных значения для записи введите tspkg и нажмите Ok.

1. Далее перейдите к следующему разделу реестра:
   Компьютер HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders
2. На правой панели дважды щелкните, чтобы изменить значение SecurityProviders строковое значение.
3. В поле Значение для записи введите credssp.dll и нажмите Ok.

1. Закройте редактор реестра и перезагрузите устройство.

Теперь проверьте, если проверка подлинности на уровне сети ошибка устранена на вашем устройстве.

Завершение

Удаленные рабочие столы могут быть очень полезны для совместного использования и взаимодействия с компьютерами в других местах на местном уровне. Однако ‘удаленный компьютер требует проверки подлинности на уровне сетиОшибка ’может помешать удаленным соединениям и предотвратить совместное использование ресурсов. Теперь вы знаете, как решить эту проблему, используя решения, представленные выше. Комментарий ниже, если вы нашли это полезным, и обсудить далее то же самое.

Не удается подключиться по rdp «Ошибка проверки подлинности»

При подключение к удаленному компьютеру по RDP возникают различные проблемы и ошибки. Их достаточно много и решаются все они по разному. Сегодня разберем наверно самую популярную ошибку которая связанная с проверкой подлинности.

Как исправить ошибку

И так при попытке подключения к удаленному рабочему столу вы видите сообщение.

Произошла ошибка при проверки подлинности

Указанная функция не поддерживается

Удаленный компьютер 192.168.0.0

Причиной ошибки может быть исправление шифрования CredSSP

Дополнительную информацию смотрите в статье …

Для её решение необходим на компьютере к которому не удается подключиться изменить групповую политику. Для этого нажимаем Win + R вводим gpedit.msc.

Откроется редактор групповой политики. В нем необходимо открыть раздел «Безопасность». Путь до него такой «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов удаленных рабочих столов» — «Безопасность».

Тут открываем политику «Требовать проверку подлинности пользователя …»

Дальше открывает политику «Требовать использования специального уровня…», включаем и в пункте «Уровень безопасности выбираем» RDP.

Пробуем подключиться к удаленному рабочему столу. Если вы все сделали правильно то должны без проблем подключиться.

Ошибка проверки подлинности при подключении к Wi-Fi

Всем привет! Сегодня разбор очередной проблемы на устройствах с Android: «Произошла ошибка проверки подлинности Wi-Fi». В основном у людей, столкнувшихся с этой проблемой, смартфоны от Samsung Galaxy. Но на самом деле ошибка свойственна всем устройствам (смартфоны и планшеты) на базе операционной системы Android. Предлагаю узнать что делать и устранить эту ошибку!

Если раньше все работало нормально, а теперь не подключается – перезагрузите и роутер, и смартфон. Обычно это решает все беды без лишних манипуляций. Попробуйте подключиться около роутера, не отходя далеко!

Основная причина

Основная причина такой ошибки – неправильно введенный пароль.

В английском варианте эта ошибка может звучать «Authentification Error» – как раз про ввод пароля.

Да, обычно именно банальная ошибка вызывает проблему. Так что уточнили правильный пароль – у владельца точки доступа, или самостоятельно в настройках своего роутера (если не знаете как, найдите вашу модель в поиске на нашем сайте), ввели его и спокойно подключились. Нередко это случается, когда на роутере пароль изменили, а телефон пытается подключиться к нему по старым данным.

Т.е. обычно все на поверхности и решается просто. Но бывают и отдельные уникальные случаи, когда проблема значит другое:

• Алгоритмы шифрования в роутере – может включиться сторонний алгоритм, тип которого не будет поддерживать ваш телефон.
• Каналы связи – неверно выбранный канал очень редко тоже способен создать проблему.

Но бывают и аппаратные проблемы:

Разберемся чуть подробнее.

Смена пароля

Для смены пароля на роутере воспользуйтесь поиском на нашем сайте. Вбейте туда свою модель, найдите к ней инструкцию и воспользуйтесь пошаговой инструкцией. Здесь же я покажу общий алгоритм смены на все случаи жизни.

1. Заходим в настройки роутера – обычно имеет адрес 192.168.0.1 или 192.168.1.1 . Обычный логин для входа – admin, пароль – admin или пустой.
2. Ищем настройки сети Wi-Fi и параметры ее безопасности. Там будет расположен наш пароль. Можно просто посмотреть (он открыт) или изменить. На примере моего TP-Link:

1. На телефоне интерфейсы могут различаться – версий Андроидом развелось не мало, да и производители вносят свои корректировки. Так что пытаетесь подключиться как всегда к своей сети – если требует пароль, вводим его заново. Иногда можно вызвать меню, где отдельно изменяется пароль. Смотрите под свою модель, пробуйте.

Шифрование

Бывает, что выставлены странные настройки шифрования при первичной настройке. Обычный правильный вариант – установить WPA2 Personal и алгоритм AES. Вот так это выглядит на моем роутере:

На телефоне же рекомендуется удалить сеть и заново подключиться к ней. Иначе будет и дальше выдавать сообщение про неизвестный тип безопасности.

Каналы

Тут нужно понимать, что двухдиапазонные роутеры уже плотно входят в наш дом. Но поддерживает ли телефон 5 ГГц? Если нет – то настройки нужно будет выполнять над сетью 2,4 ГГц. Это к тому, что роутер создает 2 сети, и к каждой из них можно задать собственные настройки. Так что не потеряйтесь!

Что касается каналов работы. Они могут быть просто забиты соседскими сетями, и это создает помехи для вашего подключения. Мы уже много мусолили в других статьях эту тему, обсуждая и ширину, и подбор незагруженного, и просто распределение в частотном диапазоне. Но наш вывод остается прежним – установите канал роутера в режим Авто. Если возникает какая-то проблема, просто перезагрузите его, и все должно заработать.

Смена канала происходит обычно в тех же настройках, что и пароля или шифрования, но на TP-Link он попал в соседнюю вкладку:

Другие варианты

Если уж совсем ничего не помогает, то предсказать что-то сложно – причин проблем всегда больше чем самих проблем. Про перезагрузку роутера и телефона я уже написал в самом начале – вы это точно сделали?

Не помогло? Нужно идти на крайние меры – сделайте полный сброс роутера на заводские установки и настройте его заново (обычно на задней панели есть кнопка Reset – удерживайте ее около 10 секунд до перезагрузки маршрутизатора). И это не помогло? Сбросьте на заводские настройки и телефон. Только не забудьте перед этим сохранить все свои данные! Искренне надеюсь, что до этого не дойдет.

Вот и все! Решили проблему? Напишите об этом в комментариях. Нашли интересное решение – расскажите об этом нашим читателям там же. А на этом все, увидимся в следующих статьях!

Sometimes Windows won’t let you connect to a remote computer, citing an issue with NLA. Fortunately, it’s an easy fix.

Windows’ remote access technology is quite incredible. It allows you to easily troubleshoot issues, download files, or configure settings on your remote PC.

However, it’s frustrating when you encounter issues while trying to connect to a remote PC. Just when you’re about to get connected, you see an error message that reads, “The remote computer requires Network Level Authentication (NLA).”

Lucky for you, we’ve got all the solutions to this issue. So, let’s dive in and fix your remote connection problems.

1. Check Your Internet Connection

In most cases, «The remote computer that you are trying to connect to requires NLA» error might stem from your PC (and not the remote machine). So, resolving it will involve configuring a few settings on your device.

To get started, ensure that there aren’t any issues with your internet connection. Here are some quick fixes that could help:

1. Check all your network cables and ensure there are no loose connections.
2. Ensure your internet connection is active and stable. Start by testing your Wi-Fi speed with a speed test tool. If the internet speed is okay, consider resetting your router and refreshing your connection.

2. Restore the Network Settings to their Default

You’re likely to bump into «The remote computer requires NLA» error based on how you’ve configured your network settings. So, you could resolve the problem by restoring your network settings to their default.

Now, here’s how to restore the network settings via the Command Prompt:

1. Press Win + R to open the Run command dialog box.
2. Type CMD and press Ctrl + Shift + Enter to open an elevated Command Prompt.
3. Type the following command and press Enter:

 netsh int ip set DNS 

From there, type the following command and press Enter:

 netsh winsock reset 

3. Disable and Re-Enable NLA Settings Via System Settings

Disabling and re-enabling the NLA settings on your device could help. Let’s take a look at how you can do this:

1. Press Win + R to open the Run command dialog box.
2. Type sysdm.cpl and press Enter to open the System Properties window.
3. Navigate to the Remote tab.
4. Uncheck the Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended) box.
5. Press Apply and then press OK. From there, restart your PC to save these changes.

Next, re-enable the NLA settings through these steps:

1. Open the System Properties window as per the previous steps.
2. Check the Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended) box.
3. Click Apply, click OK, and then restart your PC to apply these changes.

4. Disable and Re-Enable NLA Settings Via PowerShell

If the system settings didn’t resolve the issue, then PowerShell could help. So, we’ll explore how you can disable and re-enable the NLA settings with this tool.

To disable the NLA settings, follow these steps:

1. Press Win + R to open the Run command dialog box.
2. Type PowerShell and press Ctrl + Shift + Enter to open an elevated PowerShell window.
3. Next, type the following command:

 $TargetMachine = “Target-Machine-Name”
(Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace rootcimv2terminalservices -ComputerName $TargetMachine -Filter “TerminalName=’RDP-tcp'”).SetUserAuthenticationRequired(0) 

Replace the “Target-Machine-Name” command with the name of your device. From there, press Enter to run the command.

Finally, wait for the process to complete and then restart your device.

Now, re-enable the NLA settings through these steps:

1. Open PowerShell as per the previous steps.
2. Enter the same command but replace SetUserAuthenticationRequired(0) with SetUserAuthenticationRequired(1).
3. Press Enter to run the command and then restart your PC when the process is complete.

5. Configure NLA Settings Via the Local Group Policy Editor

Are you still struggling to resolve «The remote computer requires NLA» error? Let’s now disable and re-enable the NLA settings using the Local Group Policy Editor:

To disable the NLA settings, follow these steps:

1. Press Win + R to open the Run command dialog box.
2. Type gpedit.msc and press Enter to open the Local Group Policy Editor.
3. Navigate to Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security.
4. Double-click the Require user authentication for remote connections by using Network Level Authentication option on the right.

In the next window, check the Not Configured or Disabled box. Next, press Apply, press OK, and then restart your PC.

Finally, follow these steps to re-enable the NLA settings:

1. Open the Local Group Policy Editor and navigate to the Security option as per the previous steps.
2. Double-click the Require user authentication for remote connections by using Network Level Authentication option.
3. In the next window, check the Enabled box, press Apply and then press OK. Finally, restart your PC to apply these changes.

6. Update or Reinstall the Network Drivers

This issue might be caused by corrupted or incompatible network drivers. So, you can either update or reinstall these drivers to get rid of this error.

Firstly, update your network drivers by following these steps:

1. Press Win + X and select Device Manager from the options.
2. Double-click the Network adapters option to expand it.
3. Right-click your PC’s network adapter and click Update driver.

Next, select Search automatically for updated driver software. From there, follow the on-screen instructions to complete the process.

If the issue persists, try reinstalling the network adapters through these steps:

1. Open the Device Manager and expand the Network adapters option as per the previous steps.
2. Right-click your PC’s network adapter and select Uninstall device.
3. Navigate to the Action tab and select Scan for hardware changes. Finally, restart your PC to apply these changes.

7. Use Windows’ Built-In Troubleshooters

Windows’ built-in troubleshooters can help resolve this issue. In this case, we’ll tackle the problem by running the Internet Connections troubleshooter, the Network Adapters troubleshooter, and the Incoming Connections troubleshooter.

Let’s start with the Internet Connections troubleshooter:

1. Navigate to Win Start Menu > PC Settings > Update & Security and select Troubleshoot on the left-hand side pane.
2. Click the Internet Connections troubleshooter on the right-hand side pane and press Run the troubleshooter.

From there, you can use the Network Adapters troubleshooter. This will find and fix problems with the network adapters on your device.

To run this tool, follow these steps:

1. Open the Troubleshoot settings window as per the previous steps.
2. Click the Network Adapters troubleshooter on the right-hand side and press the Run the troubleshooter button.

Finally, run the Incoming Connections troubleshooter. This will find and fix incoming computer connection problems.

Here’s how you can run this tool:

1. Open the Troubleshoot settings window as per the previous steps.
2. Click the Incoming Connections troubleshooter on the right and press the Run the troubleshooter button.

Restart your PC to apply all these changes.

Easily Connect to Your Remote Device Using Windows’ Remote Access Technology

“The Remote Computer Requires Network Level Authentication (NLA)” error is quite frustrating. The worst part is that it usually comes in many forms.

For example, the error might read, «the remote computer requires network level authentication which your computer does not support.» Sometimes it reads, «the remote computer that you are trying to connect to requires network level authentication.»

Regardless of how this error appears on your device, you can fix it using the methods we’ve covered. And if the problem persists, try applying these fixes on the remote device too.

Если при подключении к удалённому рабочему столу у вас появляется окошко:

Удаленный компьютер требует проверки подлинности на уровне сети, которую данный компьютер не поддерживает. Обратитесь за помощью к системному администратору или в службу технической поддержки.

Сообщение немного не верно отображает суть, проверку подлинности на уровне сети (NLA) компьютеры с Windows XP не ниже Service Pack 3 всё-таки поддерживают, но к сожалению по умолчанию этот протокол выключен именно на XP, начиная с Vista NLA работает сразу.

Итак если Вам нужно подключаться к серверам с включённым NLA надо будет сделать несколько несложных шагов.

Для начала проверяем минимальные требования, напоминаю NLA работает только начиная с 3го сервис пака, если он у вас не стоит — устанавливаем, а так же нам потребуется клиент для подключения к удалённому рабочему столу не ниже 6ой версии, скачать можно здесь.

Если интересно инструкция есть на сайте майкрософт,

Вторым этапом для включения NLA на нашей старой доброй XP нам потребуется исправить два ключа в реестре, это не сложно.

Куда же без реестра

Для запуска редактора реестра Пуск -> Выполнить в появившемся окошке набираем regedit жмём Enter. В списке слева находим поочередно HKEY_LOCAL_MACHINE раскрываем находим SYSTEM итд до LSA как написано ниже.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

находим там Security Packages щёлкаем два раза мышкой и добавляем в конце tspkg

Аналогичные операции проделываем и с SecurityProviders

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders

находим параметр SecurityProviders так же двойным щелчком открываем его дописываем в конце после запятой credssp.dll

После внесённых изменений необходимо перезагрузить ПК, после перезагрузки в свойствах клиента для удалённого подключения вы будете видеть поддержку NLA.

Возможно некоторые из читателей задаются вопросом, зачем вообще этот NLA нужен? Более подробно об этом можно прочитать здесь. Вкратце майкрософт заявляет что NLA уменьшает поверхность для проведения DDOS атак, т.е. увеличивает безопасность.

kolper	#1 Оставлено : 26 августа 2020 г. 12:54:24(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз	Ситуация такая. На компьютерах локальной сети (на всех) в свойствах доступа к удаленному рабочему столу выбран чекбокс «Разрешить подключения только… с проверкой NLA». На все компы с любого компа в лок. сети я могу успешно зайти через RDP с помощью смарт-карты. На сервере S-RD установлена роль шлюза RD. И когда я пытаюсь удаленно через шлюз подключиться к какому-либо компу в лок. сети ситуация следующая: 1. с помощью логина-пароля я подключаюсь сначала к шлюзу и далее — к компу. Все ОК. 2. если же использовать смарт-карту — то на шлюз подключаюсь нормально, а вот с компа идет отлуп — «Удаленный компьютер … требует проверки NLA» и т.п. 3. и самое занятное: если пытаюсь удаленно подключиться к самому S-RD (через шлюз, каковым он же и является) — то к шлюзу коннект нормальный, а к компу (то бишь к нему же самому) — та же ошибка NLA. То есть основных вопроса два: — почему ошибка NLA возникает только при подключении со смарт-картой? — почему один и тот же комп одновременно ведет себя по разному?

kolper	#2 Оставлено : 26 августа 2020 г. 16:56:30(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз	Еще один эксперимент поставил. На том же сервере S-RD есть роль веб-доступа к удаленным столам. В RemoteApp публикую приложение mstsc.exe и через https:/…..RDWeb запускаю. Коннект к шлюзу (через смарт-карту) проходит нормально, открывается окошко клиента mstsc. В нем ввожу имя компа в локальной сети — и появляется окно с ошибкой, но другой — «Произошла ошибка проверки подлинности. В пакете безопасности отсутствуют учетные данные. Удаленный комп — ххх». Причем если на втором этапе (при коннекте к локальному компу) использовать логин-пароль — коннект нормальный

two_oceans	#3 Оставлено : 27 августа 2020 г. 10:32:34(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 389 раз в 364 постах	Вставлю 5 копеек, раз уж тема похожа на то с чем сейчас бьюсь — NLA бывает разная. Так, у меня на старый сервер подключаюсь (по паролю, клиент поддерживает протокол 8.1), тупит при подключении примерно минуту, щелкаю на «замочек» пишет «подлинность проверена с помощью Kerberos», а на новый сервер подключаюсь (с того же компьютера, по паролю, чуть быстрее) пишет «подлинность проверена с помощью сертификата и Kerberos». Для полноты картины желательно больше деталей — какой вид NLA срабатывает, какая версия RD протокола на клиенте/шлюзе/опубликованном mstsc и т.д. Так может быть и дойдем до сути. Еще думается могут быть приколы с сертификатами и с тем откуда подключаетесь — извне или изнутри сети (NAT/брандмауэр/антивирус дает и не такие приколы). Что один комп ведет себя по разному также может зависеть от используемого адреса.

kolper	#4 Оставлено : 27 августа 2020 г. 15:25:59(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз	Сама суть мне кажется, в принципе понятна: на всех компах в домене NLA включено. Внутри — подключаюсь ко всем нормально (смарт-картой). Снаружи, через шлюз — к самому шлюзу (смарт-картой) нормально, а в конкретному компу — ошибка NLA. Хотя если через логин-пароль — то все нормально. Выходит, что само по себе NLA работает (раз по логину могу войти) и работает без ошибок, а ошибка только при использовании смарт-карты. В чем разница при выполнении проверки NLA при использовании смарт-карты и при использовании логина? Причем — через шлюз (внутри сети разницы нет)

kolper	#5 Оставлено : 27 августа 2020 г. 17:28:55(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз	Посетила вообще крамольная мысль — а насколько необходимо использовать NLA во внутренней сети, если подключение к компам идет через шлюз RDG? По идее сама тема NLA создана для защиты прямого подключения по RDP… Насколько я не прав?

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Выбираем Security Packages щёлкаем два раза мышкой и добавляем в конце tspkg.

Аналогичные действия проделываем и с SecurityProviders

По завершению настроек, необходимо перезагрузить ПК для применения изменений.

Источник

Исправлено: Удаленный компьютер требует проверки подлинности на уровне сети —

Пользователи сообщают об ошибке, указанной ниже, в системах, подключенных к домену, при попытке удаленного доступа к компьютерным системам. Это происходит, даже если на компьютере включена проверка подлинности на уровне сети (или NLA). Существуют простые обходные пути для решения этой проблемы. Либо вы можете отключить эту опцию напрямую, используя свойства, либо вы можете внести некоторые изменения в реестр и попытаться перезагрузить систему.

Или это также может произойти:

Замечания: Прежде чем следовать этим решениям, важно сделать резервную копию ваших данных и заранее сделать копию реестра. Перед продолжением убедитесь, что на обоих компьютерах нет текущих задач.

Решение 1. Отключение NLA с помощью свойств

Аутентификация на уровне сети — это хорошо. Он обеспечивает дополнительную безопасность и помогает вам, как сетевому администратору, который может войти в какую систему, просто установив один флажок. Если вы выберете это, убедитесь, что ваш RDP-клиент был обновлен, а целевой объект аутентифицирован. Вы также должны увидеть контроллер домена.

Мы пройдемся по маршруту настройки удаленного рабочего стола и вначале все упростим. Если это не работает, мы также рассмотрели другие решения после этого.

Решение 2. Отключение NLA с использованием реестра

Этот метод также работает, если вы не можете выполнить первый по какой-либо причине. Однако учтите, что для этого потребуется полностью перезагрузить компьютер, что может привести к простоям, если у вас работает рабочий сервер. Убедитесь, что вы сохранили всю свою работу и зафиксировали, если что-то еще осталось в промежуточной среде.

HKLM> SYSTEM> CurrentControlSet> Control> Терминальный сервер> WinStations> RDP-Tcp

Решение 3. Отключение с помощью PowerShell

Один из моих любимых способов отключить NLA, не вдаваясь в подробности, — отключить его с помощью команды PowerShell удаленно. PowerShell позволяет подключиться к удаленному компьютеру, и после нацеливания на компьютер мы можем выполнить команды, чтобы отключить NLA.

Здесь «Target-Machine-Name» — это имя машины, на которую вы нацелены.

В приведенном выше примере имя сервера «member-server».

Решение 4. Использование редактора групповой политики

Еще один способ отключить NLA — использовать редактор групповой политики. Это полезно, если вы отключили все. Обратите внимание, что редактор групповой политики является мощным инструментом, и изменение значений, о которых вы даже не подозреваете, может сделать ваш компьютер бесполезным. Убедитесь, что вы сделали резервную копию всех значений, прежде чем продолжить.

Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Службы удаленных рабочих столов> Узел сеансов удаленных рабочих столов> Безопасность

Замечания: Если даже после всех этих шагов вы не можете подключиться, вы можете попробовать удалить компьютер из вашего домена и затем прочитать его. Это приведет к повторной инициализации всех конфигураций и предоставит их вам.

Источник

Произошла ошибка проверки подлинности. Указанная функция не поддерживается

После установки обновления KB4103718 на моем компьютере с Windows 7 я не могу удаленно подключится к серверу c Windows Server 2012 R2 через удаленный рабочий стол RDP. После того, как я указываю адрес RDP сервера в окне клиента mstsc.exe и нажимаю «Подключить», появляется ошибка:

Произошла ошибка проверки подлинности.

Указанная функция не поддерживается.
Удаленный компьютер: computername

После того, как я удалил обновление KB4103718 и перезагрузил компьютер, RDP подключение стало работать нормально. Если я правильно понимаю, это только временное обходное решение, в следующем месяце приедет новый кумулятивный пакет обновлений и ошибка вернется? Можете что-нибудь посоветовать?

Ответ

Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлений Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывают патчи в данном обновлении.

В своей проблеме вы не одиноки. Данная ошибка может появится в любой операционной системе Windows или Windows Server (не только Windows 7). У пользователей английской версии Windows 10 при попытке подключится к RDP/RDS серверу аналогичная ошибка выглядит так:

The function requested is not supported.

Remote computer: computername

Ошибка RDP “An authentication error has occurred” может появляться и при попытке запуска RemoteApp приложений.

Почему это происходит? Дело в том, что на вашем компьютере установлены актуальные обновления безопасности (выпущенные после мая 2018 года), в которых исправляется серьёзная уязвимость в протоколе CredSSP (Credential Security Support Provider), использующегося для аутентификации на RDP серверах (CVE-2018-0886) (рекомендую познакомится со статьей Ошибка RDP подключения: CredSSP encryption oracle remediation). При этом на стороне RDP / RDS сервера, к которому вы подключаетесь со своего компьютера, эти обновления не установлены и при этом для RDP доступа включен протокол NLA (Network Level Authentication / Проверку подлинности на уровне сети). Протокол NLA использует механизмы CredSSP для пре-аутентификация пользователей через TLS/SSL или Kerberos. Ваш компьютер из-за новых настроек безопасности, которые выставило установленное у вас обновление, просто блокирует подключение к удаленному компьютеру, который использует уязвимую версию CredSSP.

Что можно сделать для исправления эту ошибки и подключиться к вашему RDP серверу?

Отключение NLA для протокола RDP в Windows

Если на стороне RDP сервера, которому вы подключаетесь, включен NLA, это означает что для преаутентификации RDP пользователя используется CredSPP. Отключить Network Level Authentication можно в свойствах системы на вкладке Удаленный доступ (Remote), сняв галку «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети / Allow connection only from computers running Remote Desktop with Network Level Authentication (recommended)» (Windows 10 / Windows 8).

В Windows 7 эта опция называется по-другому. На вкладке Удаленный доступ нужно выбрать опцию «Разрешить подключения от компьютеров с любой версией удаленного рабочего стола (опасный) / Allow connections from computers running any version of Remote Desktop (less secure)».

Также можно отключить проверку подлинности на уровне сети (NLA) с помощью редактора локальной групповой политики — gpedit.msc (в Windows 10 Home редактор политик gpedit.msc можно запустить так) или с помощью консоли управления доменными политиками – GPMC.msc. Для этого перейдите в разделе Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Безопасность (Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services – Remote Desktop Session Host –> Security), отключите политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети (Require user authentication for remote connections by using Network Level Authentication).

Также нужно в политике «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» (Require use of specific security layer for remote (RDP) connections) выбрать уровень безопасности (Security Layer) — RDP.

Для применения новых настроек RDP нужно обновить политики (gpupdate /force) или перезагрузить компьютер. После этого вы должны успешно подключиться к удаленному рабочему столу сервера.

Источник

Удаленный компьютер требует проверки подлинности на уровне сети

Удаленный компьютер требует проверки подлинности на уровне сети

Варианты сообщения, которое вы можете увидеть:

Удаленный компьютер требует проверки подлинности на уровне сети, которую ваш компьютер не поддерживает. Обратитесь за помощью к системному администратору или в службу технической поддержки.

Удаленный компьютер, к которому вы пытаетесь подключиться, требует проверки подлинности на уровне сети, но ваш контроллер домена Windows не может связаться для выполнения NLA. Если вы являетесь администратором на удаленном компьютере, вы можете отключить NLA, используя параметры на вкладке «Удаленное» диалогового окна «Свойства системы».

Эта статья поможет вам с пошаговым руководством к этому решению. Однако вам может потребоваться более постоянное решение, потому что вы не можете запускать устройство вечно без активно включенного NLA. Так что вам нужно лучшее решение. Эта статья также предложит вам это.

1] Изменить настройки удаленного рабочего стола

Переход по маршруту настройки удаленного рабочего стола является более простым решением. Это будет работать для вас, и вы можете не чувствовать необходимости снова включать NLA. Итак, если вы готовы к этому решению, вот как вы поступите с этим. Следуйте инструкциям внимательно.

1] Перейдите в «Выполнить», введите «sysdm.cpl» и нажмите кнопку «Ввод».

3] Найдите «Разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с аутентификацией на уровне сети (рекомендуется)» и снимите этот флажок.

4] Нажмите «Применить», а затем «ОК» или нажмите «Ввод», чтобы отключить проверку подлинности на уровне сети.

5] Перезагрузите устройство и проверьте, можете ли вы подключать устройства удаленно.

Это исправление должно работать, потому что вы просто удалили единственное, что вызвало проблему. Но на случай, если это не сработало, или вы не хотите идти по этому пути, есть еще один вариант, которому также легко следовать.

2] Изменить реестр

Примечание: пожалуйста, сделайте резервную копию ваших данных перед внесением изменений в реестр системы.

Следуйте инструкциям очень тщательно, и вам будет хорошо идти. Вы уже создали точку восстановления системы, поэтому больше не о чем беспокоиться. Итак, поехали.

1] Перейдите в «Выполнить» и введите «regedit» и нажмите «ОК» или нажмите «Ввод». Это открывает редактор реестра.

2] Посмотрите на левую панель в окне редактора реестра и найдите раздел реестра с именем:

4] Найдите параметр «Изменить несколько строк» ​​и введите «tspkg» в поле «Значение». Это будет единственная ценность.

5] После этого найдите следующий раздел реестра в области навигации: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders

6] Дважды щелкните SecurityProviders на правой панели, чтобы открыть его свойства.

7] Введите credssp.dll в поле «Значение» и пусть оно будет единственным значением.

8] Нажмите «ОК» и закройте редактор реестра.

Хотя второй метод более сложен и требует большего внимания, это рекомендуемое решение. Надеюсь это поможет.

Решения были переданы из обсуждения в Стэнфордском университете и в этом сообщении MSDN.

Источник

Удаленный компьютер к которому вы пытаетесь подключиться требует nla windows 10

Общие обсуждения

Используются сервера от windows 2008 R2 до windows 2016.

DC на 2008 R2, там-же поднят CA, с которого получен сертификат пользователя по шаблону «SmartcardUser» имеет применения:
Защищенная электронная почта (1.3.6.1.5.5.7.3.4)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2)
Ключ имеет длинну 2048

Сертификат создан записан на rutoken S

Клиентом выступает ПК с windows 10 не входящим в домен.
На ПК установлен сертификат доменного CA как корневой доверенный.

Локально по сертификату можно зайти на RDP серверов под управлением windows 2008 R2, 2012 R2, 2016.
При этом на серверах установлены разные сертификаты на RDP, есть сертификаты выпущенные публичным сервером, есть доменным.

Если мы пытаемся зайти из вне, на опубликованный на TMG порт RDP, по логину и паролю, все работает.

В сети поднят шлюз для удаленных рабочих столов, на базе windows 2016.
Если мы пытаемся зайти на сервер находящийся в сети через шлюз по логину и паролю, доступ получаем.
Если мы попытаемся зайти с авторизацией на шлюзе по сертификату, а на сервере по паролю, доступ получаем.

Если мы пытаемся зайти напрямую на опубликованный порт, либо через шлюз только по сертификату, получаем ошибку: «Удаленный компьютер, к которому вы пытаетесь подключится, требует проверки подлинности на уровне сети (NLA), но связаться с контролером домена Windows для ее выполнения не удается. Если вы являетесь администратором на удаленном компьютере, вы можете отключить NLA с помощью параметров на вкладке «Удаленные сеансы» в диалоговом окне «Свойства системы».

В журналах безопасности контролера домена, сервера к которому подключаемся и ПК с которого подключаемся записей о ошибках или отказе в доступе нет.

Ранее в процессе настройки столкнулся с ошибкой прокола Kerbos при проверки сертификата KDC во время входа в систему со смарт-картой.

Проблему решил выписав сертификат контролеру домена с параметром «проверка центра распространения ключей» и дополнительным именем «имя домена». После чего локально по сертификату и NLA с компьютеров не из домена пускать стало.

Подскажите пожалуйста куда копать для решения проблемы.

Все ответы

Если опубликовать 2 сервера
2016 и 2012 R2 на rdweb, на 2016 по сертификату зайти можно, при этом на 2012 не пускает.

Если попытаться зайти на 2016 путем просто указания в свойствах rdp шлюз, ошибка NLA

при этом если зайти из файла вида:
redirectclipboard:i:1
redirectprinters:i:1
redirectcomports:i:1
redirectsmartcards:i:1
devicestoredirect:s:*
drivestoredirect:s:*
redirectdrives:i:1
session bpp:i:32
prompt for credentials on client:i:1
server port:i:3389
allow font smoothing:i:1
promptcredentialonce:i:1
gatewayusagemethod:i:2
gatewayprofileusagemethod:i:1
gatewaycredentialssource:i:1
full address:s:RDS-WEB-ACCESS.DOMAIN.RU
gatewayhostname:s:rds.DOMAIN.ru
workspace id:s:RDS-WEB-ACCESS.DOMAIN.RU
use redirection server name:i:1
use multimon:i:0
где rds адрес опубликованного шлюза, а RDS-WEB-ACCESS внутреннее имя шлюза, то мы без проблем зайдем по смарткарте.

оригинальный файл имеет вид:
redirectclipboard:i:1
redirectprinters:i:1
redirectcomports:i:1
redirectsmartcards:i:1
devicestoredirect:s:*
drivestoredirect:s:*
redirectdrives:i:1
session bpp:i:32
prompt for credentials on client:i:1
server port:i:3389
allow font smoothing:i:1
promptcredentialonce:i:1
gatewayusagemethod:i:2
gatewayprofileusagemethod:i:1
gatewaycredentialssource:i:1
full address:s:RDS-WEB-ACCESS.domain.RU
gatewayhostname:s:rds-web-access.domain.ru
workspace id:s:rds-web-access.domain.ru
use redirection server name:i:1
loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.test
use multimon:i:0
alternate full address:s:RDS-WEB-ACCESS.domain.RU
signscope:s:Full Address,Alternate Full Address,Use Redirection Server Name,Server Port,GatewayHostname,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSource,PromptCredentialOnce,RedirectDrives,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectClipboard,DevicesToRedirect,DrivesToRedirect,LoadBalanceInfo

где test имя опубликованного сервера.

указанными способами пускает с авторизацией только по смарт-карте.

напоминаю что если в свойствах рдп указываем шлюз и внутреннее имя сервера то нужно использовать логин и пароль, либо смарткарту и логин и пароль, то все пустит.

не пускает с ошибкой «сервер требует NLA» когда пытаемся авторизоваться на шлюзе и сервере.

цель добиться авторизации только по смарт-карте.

из наблюдений видно что когда сначала авторизуемся по карте, потом по паролю, в логах NPS записей меньше, чем когда авторизуемся только по карте, но по сути лог удачной авторизации на опубликованном сервере.

Источник