如何修复 Windows Server 2012 上的 RDP？

Question

这是 RDP 状态的快照。看起来挺好的：

当我从远程机器连接时，出现错误：

"This computer can't connect to the remote computer. 
Try connecting again. If the problem continues..."

我已经远程测试了端口 3389，它是开放的。我已经用 netstat 测试过了。

TCP    0.0.0.0:3389           hostname:0                LISTENING

• 没有 Windows 防火墙
• 无网络防火墙
• 全新的自签名证书
• 机器最近重新启动，在那之前工作过
• 终端服务正在运行
• 当我检查 SSL 证书时，它显示了所有详细信息，看起来不错，2014 年到期
• hklm:\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections 为 0
• C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys 管理员拥有所有权限

更新：

现在我在管理事件下的事件日志中找到了这个：

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

我不确定如何解决上述错误。我也不确定这是我导入的 RD 证书，尽管我知道当我尝试从我的机​​器上进行 RDP 时会发生这种情况。

更新二：

我尝试使用 powershell 生成带有私钥的证书。没运气。在这里和这里使用了技术，但没有运气。每次我在 MMC 证书管理单元中为系统用户将证书添加到受信任的根和个人。

更新三：

很烦人

此论坛表明 Windows 可能在重新启动期间更新，导致安装远程桌面连接代理角色时出现不可恢复的错误（显然需要生成私钥 pfx 文件以导入 MMC）。该错误与 2013 年 6 月 KB2821895 的修补程序有关。这可以用这个来补救吗？http://support.microsoft.com/kb/2871777

所以我运行了最新的 Windows 更新并尝试安装远程桌面连接代理，以便我可以生成 pfx 文件。没运气。它表示未安装一项或多项父功能——即使 Hyper-V 等已安装。并且它没有说要添加什么其他角色......

更新摘要问题！

因此，从理论上讲，从理论上讲，让 RD 连接代理安装（以生成私钥）可能会解决我的加密错误吗？

Answer 1

在将 SSL 证书（和关联的私钥）导入 Windows Server 2012 后进行连接时，您可能会遇到此错误：

This computer can't connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. 

此外，在 Windows 事件日志中，您会看到：

"A fatal error occurred when attempting to access the SSL server credential 
private key. The error code returned from the cryptographic module is 0x8009030D. 
The internal error state is 10001." 

解决方案：

引自 Microsoft KB2001849：

“远程桌面主机服务服务运行在NETWORK SERVICE帐户下。因此，需要设置RDS使用的密钥文件的ACL（由SSLCertificateSHA1Hash注册表值中命名的证书引用）以将NETWORK SERVICE包含在“读取”中权限。要修改权限，请按照以下步骤操作：

打开本地计算机的证书管理单元：

1. 单击开始，单击运行，键入 mmc，然后单击确定。

2. 在文件菜单上，单击添加/删除管理单元。

3. 在“添加或删除管理单元”对话框的“可用管理单元”列表中，单击“证书”，然后单击“添加”。

4. 在“证书管理单元”对话框中，单击“计算机帐户”，然后单击“下一步”。

5. 在“选择计算机”对话框中，单击“本地计算机：”（运行此控制台的计算机），然后单击“完成”。

6. 在“添加或删除管理单元”对话框中，单击“确定”。

7. 在证书管理单元的控制台树中，展开证书（本地计算机），展开个人，然后导航到要使用的 SSL 证书。

8. 右键单击证书，选择所有任务，然后选择管理私钥。

9. 在“权限”对话框中，单击“添加”，键入 NETWORK SERVICE，单击“确定”，在“允许”复选框下选择“读取”，然后单击“确定”。

来源：https : //support.microsoft.com/en-us/kb/2001849

Answer 2

我假设您导入了自签名证书，对吗？如果是这种情况，您很可能将证书标记为不可导出，这将解释错误...请查看http://blogs.msdn.com/b/kaushal/archive/2012/10/07/error -hresult-0x80070520-when-adding-ssl-binding-in-iis.aspx了解更多详细信息。如果我是对的，您需要删除并重新导入设置了“允许导出”标志的证书。