Windows XP no puede acceder remoto RDP a Windows 10 / Server 2012R2 / 2016 RDS

A pesar de que la compatibilidad con el sistema operativo Windows XP es de hace más de 4 años, muchos clientes continúan usando este sistema operativo, y parece que nada cambiará drásticamente en el futuro cercano :(. Recientemente encontré un problema: los clientes de Windows XP RDP no pueden conectarse a través del escritorio remoto a la granja de servicios de escritorio remoto recientemente implementada en Windows Server R2 de 2012. Un problema similar ocurre cuando se conecta a través de RDP desde Windows XP a Windows 10 1803.

No se puede conectar el escritorio remoto desde Windows XP a Windows Server 2016 / 2012R2 y Windows 10

Los usuarios de Windows XP se han quejado de errores de cliente RDP como:

Debido a un error de seguridad, el cliente no pudo conectarse a la computadora remota. Verifique que haya iniciado sesión en la red y luego intente volver a conectarse

La sesión remota se desconectó porque la computadora remota recibió un mensaje de licencia no válida de esta computadora

La computadora remota requiere autenticación de nivel de red, que su computadora no admite. Para obtener ayuda, comuníquese con el administrador del sistema o con el soporte técnico.

La computadora remota requiere autenticación de nivel de red, que su computadora no admite.

Para resolver este problema, verifique si la última versión del cliente RDP está instalada en computadoras que ejecutan Windows XP. Actualmente, la versión máxima del cliente RDP que se puede instalar en Windows XP es RDP 7.0 (KB969084 – https://blogs.msdn.microsoft.com/scstr/2012/03/16/download-remote-desktop-client-rdc-7-0-or-7-1-download-remote-desktop-protocol-rdp- 7-0-o-7-1 /). Puede instalar esta actualización solo en Windows XP SP3. La instalación del cliente RDP versión 8.0 o posterior no es compatible con Windows XP. El problema se resolvió después de instalar esta actualización para la mitad de los clientes XP. La segunda mitad de los clientes todavía enfrentaba el problema….

Deshabilitar la autenticación de nivel de red (NLA) RDP en RDS Windows Server 2016/2012 R2

Después de estudiar los problemas del servidor RDS basado en Windows 2012 R2, hemos descubierto que Windows Server 2012 (y superior) requiere soporte obligatorio de NLA (Autenticación de nivel de red). Si el cliente no es compatible con NLA, no podrá conectarse al servidor RDS. Del mismo modo, NLA está habilitado de forma predeterminada cuando enciende el Escritorio remoto en Windows 10.

Hay dos conclusiones de lo anterior: para permitir que el resto de los clientes WinXP se conecten a la granja de RDS en Windows Server 2016/2012 R2 o Windows 10 a través de RDP, debe:

  • Desactive la verificación NLA en los servidores de la granja de servicios de escritorio remoto 2012 R2 / 2016 o en la estación de trabajo Windows 10;
  • O habilite la compatibilidad con NLA en los clientes de Windows XP.

Para deshabilitar el uso obligatorio de NLA por parte de los clientes en Windows Server 2012 R2 RDS, abra la consola del Administrador del servidor y vaya a Servicios de escritorio remoto -> Colecciones -> QuickSessionCollection, luego seleccione Tareas -> Editar propiedades, haga clic en Seguridad y desmarque APermite conexiones solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red.

deshabilitar nla en windows server 2012 r2 RDS

En Windows 10, puede deshabilitar la autenticación de nivel de red en las propiedades del sistema (Sistema -> Configuración remota). Desmarque “Permitir conexiones solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red (recomendado)”.

windows 10 deshabilitar nla

Por supuesto, debe comprender que deshabilitar NLA en el nivel del servidor reduce la seguridad del sistema y, por lo general, no se recomienda. Es preferible utilizar el segundo método.

Habilitación de NLA en clientes con Windows XP SP3

Debe instalar el Service Pack 3 en Windows XP para que funcione correctamente como cliente RDP. De lo contrario, debe descargar e instalar esta actualización. El Service Pack 3 es un requisito obligatorio para actualizar el cliente RDP de la versión 6.1 a 7.0 y admitir todos los componentes necesarios, incluido el Proveedor de servicios de seguridad de credenciales (CredSS), que se describe a continuación.

Sin compatibilidad con CredSSP y NLA para la conexión RDP desde Windows XP a las nuevas versiones de Windows, habrá un error:

Se ha producido un error de autenticación, 0x80090327

win xp Se ha producido un error de autenticación, Código: 0x80090327

La compatibilidad con NLA apareció en Windows XP a partir de SP3, pero está deshabilitada de forma predeterminada. Puede habilitar el soporte de autenticación NLA y CredSSP solo a través del registro. Para hacerlo:

  • En la clave de registro HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders editar el valor de Proveedores de seguridad atributo agregando credssp.dll al final (separado de su valor actual por coma); Windows xp NLA Support SecurityProviders clave
  • Entonces en clave HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa agrega la línea cucharadita al valor de Paquetes de seguridad atributo;tspkg en windows xp
  • Después de realizar estos cambios, reinicie su computadora.

Después de realizar estas acciones, una computadora con Windows XP SP3 debería conectarse fácilmente a la granja de terminales en Windows Server 2016/2012 oa Windows a través del Escritorio remoto. Sin embargo, no puede guardar la contraseña para la conexión RDP en el cliente de Windows XP (debe ingresar la contraseña cada vez que se conecte).

 

Propina. Junto con eso, apareció otro problema con la impresión a través de Easy Print. Para permitir que las computadoras con Windows XP en RDS 2012 impriman usando Easy Print, los clientes deben cumplir con los siguientes requisitos:

 

En 2018, se encontró una vulnerabilidad grave en el protocolo CredSSP (boletín CVE-2018-0886), que se corrigió en las actualizaciones de seguridad de Microsoft. En mayo de 2018, Microsoft lanzó una actualización adicional que prohíbe a los clientes conectarse a computadoras y servidores RDP con una versión vulnerable de CredSSP (consulte el artículo: http://woshub.com/unable-connect-rdp-credssp-encryption-oracle- remediación /). Después de instalar esta actualización, cuando se conecta a RDP a equipos remotos sin esta actualización, recibe un error: Se ha producido un error de autenticación. La función solicitada no es compatible.

Debido al hecho de que Microsoft no publica actualizaciones de seguridad para Windows XP y Windows Server 2003, no podrá conectarse a versiones compatibles de Windows de estos sistemas operativos obsoletos.

Para habilitar las conexiones RDP desde Windows XP a Windows 10 / 8.1 / 7 actualizado y Windows Server 2012/2012 R2 / 2012/2008 R2, debe habilitar la política de corrección de cifrado de Oracle en el lado del servidor RDP (Configuración de la computadora -> Plantillas administrativas -> Sistema -> Delegación de credenciales). Cambie el valor de la póliza a Mitigado, que no es seguro como usted entiende.

Artículos Interesantes