Mặc dù thực tế là hệ điều hành Windows XP đã được hỗ trợ hơn 4 năm trước, nhiều khách hàng vẫn tiếp tục sử dụng hệ điều hành này và có vẻ như sẽ không có gì thay đổi đáng kể trong tương lai gần nhất :(. Gần đây tôi đã phát hiện ra một vấn đề:máy khách Windows XP RDP không thể kết nối thông qua màn hình từ xa đến trang trại Dịch vụ Máy tính Từ xa mới được triển khai trên Windows Server 2012 R2. Sự cố tương tự xảy ra khi kết nối qua RDP từ Windows XP đến Windows 10 1803.

Không thể kết nối Máy tính Từ xa từ Windows XP với Windows Server 2016 / 2012R2 và Windows 10

Người dùng Windows XP đã phàn nàn về các lỗi máy khách RDP như:

Để giải quyết vấn đề này, hãy xác minh xem phiên bản mới nhất của máy khách RDP có được cài đặt trên máy tính chạy Windows XP hay không. Hiện tại, phiên bản tối đa của ứng dụng khách RDP có thể được cài đặt trên Windows XP là RDP 7.0 (KB969084 - https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol -rdp-7-0-hoặc-7-1 /). Bạn chỉ có thể cài đặt bản cập nhật này trên Windows XP SP3. Cài đặt ứng dụng khách RDP phiên bản 8.0 trở lên không được hỗ trợ trên Windows XP. Sự cố đã được giải quyết sau khi cài đặt bản cập nhật này cho một nửa số máy khách XP. Nửa sau của các khách hàng vẫn đang đối mặt với vấn đề….

Tắt xác thực mức mạng RDP (NLA) trên RDS Windows Server 2016/2012 R2

Sau khi nghiên cứu các vấn đề của máy chủ RDS dựa trên Windows 2012 R2, chúng tôi nhận thấy rằng Windows Server 2012 (và cao hơn) yêu cầu hỗ trợ bắt buộc của NLA (Xác thực cấp độ mạng). Nếu ứng dụng không hỗ trợ NLA, ứng dụng sẽ không thể kết nối với máy chủ RDS. Tương tự, NLA được bật theo mặc định khi bạn bật Remote Desktop trong Windows 10.

Có hai kết luận ở trên - để cho phép các máy khách WinXP còn lại kết nối với trang trại RDS trên Windows Server 2016/2012 R2 hoặc Windows 10 thông qua RDP, bạn phải:

• Tắt kiểm tra NLA trên các máy chủ của trang trại Dịch vụ Máy tính Từ xa 2012 R2 / 2016 hoặc trong máy trạm Windows 10;
• Hoặc bật hỗ trợ NLA trên máy khách Windows XP.

Để vô hiệu hóa việc sử dụng NLA bắt buộc của máy khách trên Windows Server 2012 R2 RDS, hãy mở bảng điều khiển Trình quản lý máy chủ và đi tới Dịch vụ máy tính từ xa -> Bộ sưu tập -> QuickSessionCollection , sau đó chọn Công việc -> Chỉnh sửa thuộc tính , nhấp vào Bảo mật và bỏ chọn A chỉ kết nối chậm từ các máy tính chạy Máy tính Từ xa với Xác thực Cấp độ Mạng .

Trên Windows 10, bạn có thể tắt Xác thực cấp độ mạng trong thuộc tính hệ thống (Hệ thống -> Cài đặt từ xa). Bỏ chọn “Chỉ cho phép kết nối từ các máy tính chạy Máy tính Từ xa với Xác thực Cấp độ Mạng (được khuyến nghị)”.

Tất nhiên, bạn cần hiểu rằng việc vô hiệu hóa NLA ở cấp máy chủ sẽ làm giảm tính bảo mật của hệ thống và nói chung là không nên. Tốt hơn là sử dụng phương pháp thứ hai.

Bật NLA trên Máy khách Windows XP SP3

Bạn cần cài đặt Gói Dịch vụ 3 trên Windows XP để hoạt động bình thường như một máy khách RDP. Nếu không, bạn phải tải xuống và cài đặt bản cập nhật này. Gói dịch vụ 3 là yêu cầu bắt buộc để nâng cấp máy khách RDP từ phiên bản 6.1 lên 7.0 và hỗ trợ tất cả các thành phần cần thiết, bao gồm Nhà cung cấp dịch vụ bảo mật thông tin xác thực (CredSS), được mô tả bên dưới.

Nếu không hỗ trợ CredSSP và NLA cho kết nối RDP từ Windows XP sang các phiên bản Windows mới, sẽ xảy ra lỗi:

Hỗ trợ NLA đã xuất hiện trong Windows XP bắt đầu từ SP3, nhưng nó bị tắt theo mặc định. Bạn chỉ có thể bật hỗ trợ xác thực NLA và CredSSP thông qua sổ đăng ký. Để làm điều đó:

• Trong khoá đăng ký HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders chỉnh sửa giá trị của SecurityProviders thuộc tính bằng cách thêm credssp.dll ở cuối (ngăn cách với giá trị hiện tại của nó bằng dấu phẩy);
• Sau đó, trong khóa HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa thêm dòng tspkg đến giá trị của Gói bảo mật thuộc tính;
• Sau khi thực hiện những thay đổi này, hãy khởi động lại máy tính của bạn.

Sau khi các tác vụ này được thực hiện, máy tính chạy Windows XP SP3 sẽ dễ dàng kết nối với terminal farm trên Windows Server 2016/2012 hoặc với Windows thông qua Remote Desktop. Tuy nhiên, bạn không thể lưu mật khẩu cho kết nối RDP trên máy khách Windows XP (bạn phải nhập mật khẩu mỗi khi kết nối).

Mẹo . Cùng với đó, đã xuất hiện một vấn đề khác với việc in qua Easy Print. Để cho phép máy tính Windows XP trên RDS 2012 in bằng Easy Print, máy khách phải đáp ứng các yêu cầu sau:

• Hệ điều hành - Windows XP SP3 trở lên;
• Phiên bản ứng dụng khách RDP - 6.1 trở lên;
• .NET Framework 3.5 (Cách kiểm tra phiên bản .Net Framework đã được cài đặt).

Lỗi:Mã hóa CredSSP Oracle Remediation

Vào năm 2018, một lỗ hổng nghiêm trọng đã được tìm thấy trong giao thức CredSSP (bản tin CVE-2018-0886), đã được sửa trong các bản cập nhật bảo mật của Microsoft. Vào tháng 5 năm 2018, Microsoft đã phát hành một bản cập nhật bổ sung cấm máy khách kết nối với máy tính và máy chủ RDP có phiên bản CredSSP dễ bị tấn công (xem bài viết:https://woshub.com/unable-connect-rdp-credssp-encryption-oracle- khắc phục /). Sau khi cài đặt bản cập nhật này khi bạn kết nối với RDP với các máy tính từ xa mà không có bản cập nhật này, bạn nhận được lỗi:Đã xảy ra lỗi xác thực. Chức năng được yêu cầu không được hỗ trợ.

Do Microsoft không phát hành các bản cập nhật bảo mật cho Windows XP và Windows Server 2003, bạn sẽ không thể kết nối với các phiên bản Windows được hỗ trợ từ các hệ điều hành lỗi thời này.

Để bật kết nối RDP từ Windows XP đến Windows 10 / 8.1 / 7 và Windows Server 2012/2012 R2 / 2012/2008 R2 được cập nhật, bạn phải bật chính sách Mã hóa Oracle Remediation ở bên cạnh máy chủ RDP ( Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Ủy quyền thông tin xác thực ). Thay đổi giá trị chính sách thành Giảm nhẹ , không an toàn như bạn hiểu.