Verificatiefouten oplossen als u RDP gebruikt om verbinding te maken met Azure-VM's

Van toepassing op: ✔️ Windows-VM's

Dit artikel kan u helpen bij het oplossen van verificatiefouten die optreden wanneer u een RDP-verbinding (Remote Desktop Protocol) gebruikt om verbinding te maken met een virtuele Azure-machine (VM).

Notitie

Was dit artikel nuttig? Uw input is belangrijk voor ons. Gebruik de knop Feedback op deze pagina om ons te laten weten hoe goed dit artikel voor u heeft gewerkt of hoe we het kunnen verbeteren.

Symptomen

U maakt een schermopname van een Virtuele Azure-machine met het welkomstscherm en geeft aan dat het besturingssysteem wordt uitgevoerd. Wanneer u echter verbinding probeert te maken met de virtuele machine via verbinding met extern bureaublad, ontvangt u een van de volgende foutberichten:

• Er is een verificatiefout opgetreden. Er kan geen contact worden opgenomen met de lokale beveiligingsprovider.
• De externe computer waarmee u verbinding probeert te maken om Netwerkniveauverificatie (NLA) te vereisen, maar er kan geen contact worden gemaakt met uw Windows-domeincontroller om NLA uit te voeren. Als u een beheerder op de externe computer bent, kunt u NLA uitschakelen met de opties op het tabblad Extern van het dialoogvenster Systeemeigenschappen.
• Deze computer kan geen verbinding maken met de externe computer. Probeer opnieuw verbinding te maken. Als het probleem zich blijft voordoen, neemt u contact op met de eigenaar van de externe computer of uw netwerkbeheerder.

Oorzaak

Er zijn meerdere redenen waarom NLA de RDP-toegang tot een VM kan blokkeren:

• De VIRTUELE machine kan niet communiceren met de domeincontroller (DC). Dit probleem kan verhinderen dat een RDP-sessie toegang krijgt tot een VIRTUELE machine met behulp van domeinreferenties. U kunt zich echter nog steeds aanmelden met behulp van de referenties van de lokale beheerder. Dit probleem kan zich voordoen in de volgende situaties:
  • Het Active Directory-beveiligingskanaal tussen deze VIRTUELE machine en de domeincontroller is verbroken.
  • De VIRTUELE machine heeft een oude kopie van het accountwachtwoord en de domeincontroller heeft een nieuwere kopie.
  • De domeincontroller waarmee deze VIRTUELE machine verbinding maakt, is niet in orde.
• Het versleutelingsniveau van de virtuele machine is hoger dan het niveau dat door de clientcomputer wordt gebruikt.
• De PROTOCOLLEN TLS 1.0, 1.1 of 1.2 (server) zijn uitgeschakeld op de virtuele machine. De VM is ingesteld om logboekregistratie uit te schakelen met behulp van domeinreferenties en de LSA (Local Security Authority) is onjuist ingesteld.
• De VM is zo ingesteld dat alleen fips-compatibele algoritmen (Federal Information Processing Standard) worden geaccepteerd. Dit wordt meestal gedaan met behulp van Active Directory-beleid. Dit is een zeldzame configuratie, maar FIPS kan alleen worden afgedwongen voor verbindingen met extern bureaublad.

Voordat u problemen ops los

Een back-upmomentopname maken

Als u een back-upmomentopname wilt maken, volgt u de stappen in Momentopname van een schijf.

Verbinding maken met de virtuele machine op afstand

Als u extern verbinding wilt maken met de virtuele machine, gebruikt u een van de methoden in Externe hulpprogramma's gebruiken om problemen met azure-VM's op te lossen.

Clientservice voor groepsbeleid

Als dit een vm is die lid is van een domein, stopt u eerst de clientservice voor groepsbeleid om te voorkomen dat Active Directory-beleid de wijzigingen overschrijft. Voer hiervoor de volgende opdracht uit:

REM Disable the member server to retrieve the latest GPO from the domain upon start
REG add "HKLM\SYSTEM\CurrentControlSet\Services\gpsvc" /v Start /t REG_DWORD /d 4 /f

Nadat het probleem is opgelost, herstelt u de mogelijkheid van deze VIRTUELE machine om contact op te maken met het domein om het meest recente groepsbeleidsobject op te halen uit het domein. Voer hiervoor de volgende opdrachten uit:

sc config gpsvc start= auto
sc start gpsvc

gpupdate /force

Als de wijziging wordt teruggedraaid, betekent dit dat een Active Directory-beleid het probleem veroorzaakt.

Tijdelijke oplossing

Als tijdelijke oplossing om verbinding te maken met de VIRTUELE machine en de oorzaak op te lossen, kunt u NLA tijdelijk uitschakelen. Als u NLA wilt uitschakelen, gebruikt u de onderstaande opdrachten of gebruikt u het DisableNLA script in De opdracht Uitvoeren.

REM Disable the Network Level Authentication
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0

Start vervolgens de VIRTUELE machine opnieuw op en ga verder met de sectie probleemoplossing.

Nadat u het probleem hebt opgelost, schakelt u NLA opnieuw in door de volgende opdrachten uit te voeren en vervolgens de VM opnieuw op te starten:

REG add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds /t REG_DWORD /d 0 /f
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f

Probleemoplossing

1. Problemen met aan een domein gekoppelde VM's oplossen.
2. Problemen met zelfstandige VM's oplossen.

Problemen met aan een domein gekoppelde VM's oplossen

Ga als volgt te werk om dit probleem op te lossen:

1. Controleer of de VIRTUELE machine verbinding kan maken met een DC.
2. Controleer de status van de domeincontroller.

Notitie

Als u de DC-status wilt testen, kunt u een andere VIRTUELE machine gebruiken die zich in hetzelfde VNET, subnet bevindt en dezelfde aanmeldingsserver gebruikt.

Maak verbinding met de virtuele machine die het probleem ondervindt met behulp van seriële console, externe CMD of externe PowerShell, volgens de stappen in de sectie Verbinding maken met de VM op afstand.

1. Bepaal de domeincontroller waarmee de VIRTUELE machine verbinding probeert te maken. voer de volgende opdracht uit in de console:

   set | find /i "LOGONSERVER"
   

2. Test de status van het beveiligde kanaal tussen de VIRTUELE machine en de DC. Voer hiervoor de Test-ComputerSecureChannel opdracht uit in een PowerShell-exemplaar met verhoogde bevoegdheid. Met deze opdracht wordt Waar of Onwaar geretourneerd die aangeeft of het beveiligde kanaal actief is:

   Test-ComputerSecureChannel -verbose
   

   Als het kanaal is verbroken, voert u de volgende opdracht uit om het te herstellen:

   Test-ComputerSecureChannel -repair
   

3. Zorg ervoor dat het wachtwoord van het computeraccount in Active Directory is bijgewerkt op de virtuele machine en de domeincontroller:

   Reset-ComputerMachinePassword -Server "<COMPUTERNAME>" -Credential <DOMAIN CREDENTIAL WITH DOMAIN ADMIN LEVEL>
   

Als de communicatie tussen de DC en de VM goed is, maar de DC niet in orde is om een RDP-sessie te openen, kunt u proberen de DC opnieuw op te starten.

Als met de voorgaande opdrachten het communicatieprobleem met het domein niet is opgelost, kunt u deze VIRTUELE machine opnieuw toevoegen aan het domein. Hiervoor volgt u deze stappen:

1. Maak een script met de naam Unjoin.ps1 met behulp van de volgende inhoud en implementeer het script vervolgens als een aangepaste scriptextensie in Azure Portal:

   cmd /c "netdom remove <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10 /Force"
   

   Met dit script wordt de VIRTUELE machine geforceerd uit het domein verwijderd en wordt de VM 10 seconden later opnieuw opgestart. Vervolgens moet u het computerobject aan de domeinzijde opschonen.

2. Nadat het opschonen is voltooid, moet u deze VIRTUELE machine opnieuw toevoegen aan het domein. Hiervoor maakt u een script met de naam JoinDomain.ps1 met behulp van de volgende inhoud en implementeert u het script vervolgens als een aangepaste scriptextensie in Azure Portal:

   cmd /c "netdom join <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10"
   

Notitie

Hiermee wordt de virtuele machine aan het domein gekoppeld met behulp van de opgegeven referenties.

Als het Active Directory-kanaal in orde is, wordt het computerwachtwoord bijgewerkt en werkt de domeincontroller zoals verwacht, voert u de volgende stappen uit.

Als het probleem zich blijft voordoen, controleert u of de domeinreferentie is uitgeschakeld. Hiervoor opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u vervolgens de volgende opdracht uit om te bepalen of de VIRTUELE machine is ingesteld om domeinaccounts uit te schakelen voor aanmelding bij de VIRTUELE machine:

REG query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds

Als de sleutel is ingesteld op 1, betekent dit dat de server niet is ingesteld om domeinreferenties toe te staan. Wijzig deze sleutel in 0.

Problemen met zelfstandige VM's oplossen

MinEncryptionLevel controleren

Voer in een CMD-exemplaar de volgende opdracht uit om een query uit te voeren op de registerwaarde MinEncryptionLevel :

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Voer de volgende stappen uit op basis van de registerwaarde:

• 4 (FIPS): Controleer verbindingen die compatibel zijn met FIPs.

• 3 (128-bits versleuteling): Stel de ernst in op 2 door de volgende opdracht uit te voeren:

  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2 /f
  

• 2 (Hoogst mogelijke versleuteling, zoals bepaald door de client): U kunt proberen de versleuteling in te stellen op de minimumwaarde van 1 door de volgende opdracht uit te voeren:

  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 1 /f
  

Start de VIRTUELE machine opnieuw op zodat de wijzigingen in het register van kracht worden.

TLS-versie

Afhankelijk van het systeem gebruikt RDP het PROTOCOL TLS 1.0, 1.1 of 1.2 (server). Als u wilt opvragen hoe deze protocollen zijn ingesteld op de VIRTUELE machine, opent u een CMD-exemplaar en voert u vervolgens de volgende opdrachten uit:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled

Als de geretourneerde waarden niet alle 1 zijn, betekent dit dat het protocol is uitgeschakeld. Voer de volgende opdrachten uit om deze protocollen in te schakelen:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f

Voor andere protocolversies kunt u de volgende opdrachten uitvoeren:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled

Notitie

Haal de SSH/TLS-versie x.x op uit de logboeken van het gastbesturingssystemen op de SCHANNEL-fouten.

Fip-compatibele algoritmen voor verbindingen controleren

Extern bureaublad kan worden afgedwongen om alleen FIPs-compatibele algoritmeverbindingen te gebruiken. Dit kan worden ingesteld met behulp van een registersleutel. Hiervoor opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u een query uit op de volgende sleutels:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled

Als de opdracht 1 retourneert, wijzigt u de registerwaarde in 0.

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled /t REG_DWORD /d 0

Controleer wat het huidige MinEncryptionLevel is op de virtuele machine:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Als de opdracht 4 retourneert, wijzigt u de registerwaarde in 2

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2

Start de VIRTUELE machine opnieuw op zodat de wijzigingen in het register van kracht worden.

Volgende stappen

• Methode SetEncryptionLevel van de klasse Win32_TSGeneralSetting
• Serververificatie- en versleutelingsniveaus configureren
• Win32_TSGeneralSetting-klasse

Contact met ons opnemen voor ondersteuning

Als u vragen hebt of hulp nodig hebt, maakt u een ondersteuningsaanvraag of stelt u ondersteuning voor de Azure-community. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.