windows遠程桌面函數無效和RDS報錯的典型案例分析

• 2019 年 10 月 29 日
• 筆記

windows遠程桌面是大家用的比較多的一個服務，經常會遇到一些這樣那樣的錯誤，下面我們就2個典型案例分析一下。 一、遠程桌面，身份驗證錯誤：要求的函數不受支援 報錯現象如下圖所示：

因windows10的更新，最近很多朋友會遇到mstsc遠程連接桌面的報錯。函數提供的標誌無效，和網路沒有關係，從ping和telnet的結果回饋也確實和網路沒有問題。所以問題出在本地電腦。 這是因為由於CredSSP 的未修補版本中存在遠程程式碼執行漏洞，成功利用此漏洞的×××者可以在目標系統上中繼用戶憑據以執行程式碼， 任何依賴 CredSSP 進行身份驗證的應用程式都可能容易受到此類×××。 解決辦法： 微軟給出的解決方案：

https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 具體解決方法：

　　運行 gpedit.msc，找到電腦配置>管理模板>系統>憑據分配>加密Oracle修正

　　選擇啟用並選擇易受×××。

    補充：本地組策略配置好後，還需要刷新策略： 選擇開始，通過搜索打開運行窗口。輸入cmd，單擊確定，在命令行對話框中運行gpupdate。

設置好之後我們再連接試試。 如果是Win10 家庭版，則需要卸載這個更新，在控制面板中找到」卸載程式「，選擇」查看已安裝的更新「，卸載最新安裝的修補程式即可（用與Microsoft Windows 的安全更新KB410****）

第二次更新於 2018 年 5 月 8 日發布，會將默認行為從「易受×××」更改為「緩解」選項。相關的 Microsoft 知識庫編號已在 CVE-2018-0886 中列出。

注意： 對加密 Oracle 修正的任何更改都需要重啟。

 二、RDS組件造成無法遠程   報錯現象如圖：

RDS是Remote Desktop Service的簡稱，遠程桌面服務加快並擴展了到任何設備的桌面和應用程式部署。 遠程桌面服務啟用虛擬機基礎結構 (VDI)、基於會話的桌面以及應用程式，允許用戶想在哪兒工作就在哪兒工作. 因為是安裝完該組件後遠程桌面無法訪問的，因此先卸載該組件以確認是由它造成的。 卸載後，發現遠程桌面可以正常訪問。 具體分析： 這主要是因為安裝了RDS後，RDS會生成6個角色服務： 1、遠程桌面Web訪問：RD Web Access 遠程桌面 Web 訪問（RD Web 訪問）允許用戶通過運行 Windows的電腦上的「開始」菜單或通過網頁瀏覽器訪問 RemoteApp 和桌面連接。 RemoteApp 和「桌面連接」提供了會話集合中 RemoteApp 程式和基於會話的電腦的自定義視圖，以及虛擬機集合中 RemoteApp 程式和虛擬機的自定義視圖。 2、遠程桌面網關：RD Gateway 遠程桌面網關（RD 網關）讓獲得授權的用戶可以從任何連接到 Internet 的設備連接到企業內部網路中的虛擬機、RemoteApp 程式和基於會話的電腦。 3、遠程桌面授權：RD Licensing 遠程桌面授權（RD 授權）管理連接到遠程桌面會話主機伺服器或虛擬機所需的許可證。 你可以使用 RD 授權來安裝、頒發和跟蹤許可證的可用性。 4、遠程桌面連接代理：RD Connection Broker 遠程桌面連接代理（RD 連接代理）： 允許用戶重新連接到其現有的虛擬機、RemoteApp 程式和基於會話的電腦。 讓你可以在會話集合中的 RD 會話主機伺服器之間或在共用虛擬機集合的共用虛擬機之間平均分配負載。 提供了對虛擬機集合中虛擬機的訪問許可權。 5、遠程桌面虛擬化主機：RD Virtualization Host 遠程桌面虛擬化主機（RD 虛擬化主機）與 Hyper-V 集成，可以在組織內部署虛擬機集合池或個人虛擬機集合。 6、遠程桌面會話主機：RD Session Host 遠程桌面會話主機（RD 會話主機）讓伺服器可以託管 RemoteApp 程式或基於會話的電腦。 用戶可以連接到會話集合中的 RD 會話主機伺服器，從而在這些伺服器上運行程式、保存文件和使用資源。

注意這個遠程桌面會話主機角色，此功能是免費使用 120 天，之後需要付費。如果沒有付費會造成遠程連接失敗。    正常情況下，Windows 伺服器默認提供兩個用戶的免費遠程桌面管理授權。如果有更高的連接需求，則需要配置遠程桌面會話主機伺服器角色，同時購買和配置相應的授權後，才可以使用更多的遠程桌面管理並發。而在安裝配置遠程桌面會話主機角色後，會同時取消原有默認的 2 個免費連接授權。所以，在沒有正確配置相關授權的時候，會導致遠程桌面無法連接，並出現上述錯誤提示。        解決辦法：      安裝遠程桌面會話主機角色後，導致的無法遠程的解決辦法有二種：

1、在配置遠程桌面會話主機伺服器後，在微軟官網購買和配置相應的證書授權，相關操作方法可以參閱微軟官方文檔。 2、刪除遠程桌面會話主機角色，使用默認的 2 個免費連接授權。 示例： Windows 2012 系統操作方法：

1、 使用控制台遠程連接功能登錄到 Windows 實例。

2、選擇開始，通過搜索打開運行窗口。輸入servermanager.msc，單擊確定。    3、在伺服器管理器頁面右上角，選擇管理>刪除角色。 

    4、在刪除功能和角色窗口，單擊下一步，然後再單擊下一步。     5、在嚮導第三步，取消勾選遠程桌面服務，其它默認配置。

     6、在實例內部重啟實例。         其他版本的可參考網上相應文章示例。         補充：另一種方法     Windows_Server_2012_2016 遠程桌面120天授權過期後，可以這樣來解決  1、 可嘗試刪除如下註冊表，然後卸載重裝、激活遠程桌面服務：

HKEY_LOCAL_MACHINESoftwareMicrosoftMSLicensing HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerRCMGrace Period

如果在刪除註冊表的時候遇到無法刪除的報錯，可滑鼠左鍵點擊Grace Period，然後右鍵「許可權」，添加Adminsitrator許可權完全控制，確定之後再刪除試試。      2、還有一種刪除註冊表會報拒絕訪問的    可滑鼠左鍵點擊GracePeriod，然後右鍵並選擇「許可權」選項，並在「許可權」對話框單擊「高級」按鈕-單擊「所有者」選項卡，將所有者改為當前用戶並複選「替換子容器和對象的所有者」後單擊「確定」按鈕。  然後滑鼠左鍵點擊GracePeriod，右鍵「許可權」，添加everyone許可權完全控制，確定之後再刪除試試。