Użytkownik nie może się uwierzytelnić lub musi uwierzytelnić się dwukrotnie

W tym artykule opisano kilka problemów, które mogą powodować problemy wpływające na uwierzytelnianie użytkowników.

Odmowa dostępu, ograniczony typ logowania

W takiej sytuacji użytkownik systemu Windows 10 próbujący nawiązać połączenie z komputerami z systemem Windows 10 lub Windows Server 2016 nie ma dostępu z następującym komunikatem:

Podłączanie pulpitu zdalnego: administrator systemu ograniczył typ logowania (sieć lub interakcyjny), którego można użyć. Aby uzyskać pomoc, skontaktuj się z administratorem systemu lub pomocą techniczną.

Ten problem występuje, gdy uwierzytelnianie na poziomie sieci (NLA) jest wymagane dla połączeń RDP, a użytkownik nie jest członkiem grupy Użytkownicy pulpitu zdalnego. Może się to również zdarzyć, jeśli grupa Użytkownicy pulpitu zdalnego nie została przypisana do dostępu do tego komputera z prawa użytkownika sieciowego .

Aby rozwiązać ten problem, wykonaj jedną z następujących czynności:

• Zmodyfikuj członkostwo użytkownika w grupie lub przypisanie praw użytkownika.
• Wyłącz funkcję NLA (niezalecane).
• Użyj klientów pulpitu zdalnego innych niż Windows 10. Na przykład klienci systemu Windows 7 nie mają tego problemu.

Modyfikowanie członkostwa w grupie użytkownika lub przypisywania praw użytkownika

Jeśli ten problem dotyczy pojedynczego użytkownika, najprostszym rozwiązaniem tego problemu jest dodanie użytkownika do grupy Użytkownicy pulpitu zdalnego.

Jeśli użytkownik jest już członkiem tej grupy (lub jeśli wielu członków grupy ma ten sam problem), sprawdź konfigurację praw użytkownika na zdalnym komputerze z systemem Windows 10 lub Windows Server 2016.

1. Otwórz Edytor obiektów zasad grupy (GPE) i połącz się z lokalnymi zasadami komputera zdalnego.

2. Przejdź do pozycji Konfiguracja\komputera Ustawienia zabezpieczeń Ustawienia\ustawień\lokalnych Zasady lokalne\Przypisanie praw użytkownika, kliknij prawym przyciskiem myszy dostęp do tego komputera z sieci, a następnie wybierz pozycję Właściwości.

3. Sprawdź listę użytkowników i grup dla użytkowników pulpitu zdalnego (lub grupy nadrzędnej).

4. Jeśli lista nie zawiera użytkowników pulpitu zdalnego lub grupy nadrzędnej, takiej jak Wszyscy, musisz dodać ją do listy. Jeśli we wdrożeniu znajduje się więcej niż jeden komputer, użyj obiektu zasad grupy.

   Na przykład domyślne członkostwo w programie Access this computer from the network (Dostęp do tego komputera z sieci ) obejmuje wszystkie osoby. Jeśli wdrożenie używa obiektu zasad grupy do usunięcia wszystkich, może być konieczne przywrócenie dostępu przez zaktualizowanie obiektu zasad grupy w celu dodania użytkowników pulpitu zdalnego.

Odmowa dostępu— zdalne wywołanie bazy danych SAM zostało odrzucone

To zachowanie najprawdopodobniej wystąpi, jeśli na kontrolerach domeny jest uruchomiony system Windows Server 2016 lub nowszy, a użytkownicy próbują nawiązać połączenie przy użyciu dostosowanej aplikacji połączenia. W szczególności aplikacje, które uzyskują dostęp do informacji o profilu użytkownika w usłudze Active Directory, zostaną odrzucone.

To zachowanie powoduje zmianę w systemie Windows. W systemie Windows Server 2012 R2 i starszych wersjach, gdy użytkownik loguje się do pulpitu zdalnego, remote Menedżer połączeń (RCM) kontaktuje się z kontrolerem domeny (DC) w celu wykonywania zapytań dotyczących konfiguracji specyficznych dla pulpitu zdalnego na obiekcie użytkownika w usługach domena usługi Active Directory (AD DS). Te informacje są wyświetlane na karcie Profil usług pulpitu zdalnego właściwości obiektu użytkownika w przystawce programu MMC Użytkownicy i komputery usługi Active Directory.

Począwszy od systemu Windows Server 2016, narzędzie RCM nie wysyła już zapytań do obiektu użytkownika w usługach AD DS. Jeśli potrzebujesz narzędzia RCM do wykonywania zapytań dotyczących usług AD DS, ponieważ używasz atrybutów usług pulpitu zdalnego, musisz ręcznie włączyć zapytanie.

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. W celu ochrony utwórz kopię zapasową rejestru przed zmodyfikowaniem go, aby można było przywrócić go w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Aby włączyć starsze zachowanie RCM na serwerze hosta sesji usług pulpitu zdalnego, skonfiguruj następujące wpisy rejestru, a następnie uruchom ponownie usług pulpitu zdalnego:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
  • Nazwa: fQueryUserConfigFromDC
  • Typ: Reg_DWORD
  • Wartość: 1 (dziesiętna)

Aby włączyć starsze zachowanie RCM na serwerze innym niż serwer hosta sesji usług pulpitu zdalnego, skonfiguruj te wpisy rejestru i następujący dodatkowy wpis rejestru (a następnie uruchom ponownie usługę):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Aby uzyskać więcej informacji na temat tego zachowania, zobacz Zmiany w zdalnym Menedżer połączeń w systemie Windows Server 2016.

Użytkownik nie może zalogować się przy użyciu karty inteligentnej

W tej sekcji opisano trzy typowe scenariusze, w których użytkownik nie może zalogować się do pulpitu zdalnego przy użyciu karty inteligentnej.

Nie można zalogować się za pomocą karty inteligentnej w oddziale z kontrolerem domeny tylko do odczytu (RODC)

Ten problem występuje we wdrożeniach obejmujących serwer RDSH w lokacji gałęzi, która używa kontrolera RODC. Serwer RDSH jest hostowany w domenie głównej. Użytkownicy w lokacji gałęzi należą do domeny podrzędnej i używają kart inteligentnych do uwierzytelniania. Kontroler RODC jest skonfigurowany do buforowania haseł użytkowników (kontroler RODC należy do dozwolonej grupy replikacji haseł kontrolera RODC). Gdy użytkownicy próbują zalogować się do sesji na serwerze RDSH, otrzymują komunikaty, takie jak "Próba logowania jest nieprawidłowa. Jest to spowodowane nieprawidłową nazwą użytkownika lub informacjami o uwierzytelnianiu".

Ten problem jest spowodowany tym, jak główny kontroler domeny i RDOC zarządzają szyfrowaniem poświadczeń użytkownika. Główny kontroler domeny używa klucza szyfrowania do szyfrowania poświadczeń, a kontroler RODC nadaje klientowi klucz odszyfrowywania. Gdy użytkownik otrzymuje błąd "nieprawidłowy", co oznacza, że dwa klucze nie są zgodne.

Aby obejść ten problem, spróbuj wykonać jedną z następujących czynności:

• Zmień topologię kontrolera domeny, wyłączając buforowanie haseł na kontrolerze RODC lub wdróż zapisywalny kontroler domeny w lokacji gałęzi.
• Przenieś serwer RDSH do tej samej domeny podrzędnej co użytkownicy.
• Zezwalaj użytkownikom na logowanie się bez kart inteligentnych.

Należy pamiętać, że wszystkie te rozwiązania wymagają naruszenia zabezpieczeń na poziomie wydajności lub zabezpieczeń.

Użytkownik nie może zalogować się do komputera z systemem Windows Server 2008 z dodatkiem SP2 przy użyciu karty inteligentnej

Ten problem występuje, gdy użytkownicy loguje się do komputera z systemem Windows Server 2008 z dodatkiem SP2, który został zaktualizowany przy użyciu KB4093227 (2018.4B). Gdy użytkownicy próbują zalogować się przy użyciu karty inteligentnej, odmawiają dostępu z komunikatami takimi jak "Nie znaleziono prawidłowych certyfikatów. Sprawdź, czy karta jest poprawnie wstawiona i pasuje mocno". Jednocześnie komputer z systemem Windows Server rejestruje zdarzenie Aplikacji "Wystąpił błąd podczas pobierania certyfikatu cyfrowego z wstawionej karty inteligentnej. Nieprawidłowy podpis".

Aby rozwiązać ten problem, zaktualizuj komputer z systemem Windows Server przy użyciu ponownej wersji 2018.06 B kb 4093227, Opis aktualizacji zabezpieczeń dla luki w zabezpieczeniach protokołu RDP (Remote Desktop Protocol) systemu Windows w systemie Windows Server 2008: 10 kwietnia 2018.

Nie można pozostać zalogowanym za pomocą karty inteligentnej i zawiesza się usługa usług pulpitu zdalnego

Ten problem występuje, gdy użytkownicy loguje się do komputera z systemem Windows lub Windows Server, który został zaktualizowany przy użyciu bazy wiedzy 4056446. Na początku użytkownik może być w stanie zalogować się do systemu przy użyciu karty inteligentnej, ale następnie otrzymuje komunikat o błędzie "SCARD_E_NO_SERVICE". Komputer zdalny może nie odpowiadać.

Aby obejść ten problem, uruchom ponownie komputer zdalny.

Aby rozwiązać ten problem, zaktualizuj komputer zdalny przy użyciu odpowiedniej poprawki:

• Windows Server 2008 z dodatkiem SP2: 4090928 KB, przecieki dojścia systemu Windows w procesie lsm.exe i aplikacje kart inteligentnych mogą wyświetlać błędy "SCARD_E_NO_SERVICE"
• Windows Server 2012 R2: KB 4103724, 17 maja 2018-KB4103724 (wersja zapoznawcza comiesięcznego zestawienia)
• Windows Server 2016 i Windows 10, wersja 1607: KB 4103720, 17 maja 2018-KB4103720 (kompilacja systemu operacyjnego 14393.2273)

Jeśli komputer zdalny jest zablokowany, użytkownik musi dwukrotnie wprowadzić hasło

Ten problem może wystąpić, gdy użytkownik próbuje nawiązać połączenie z pulpitem zdalnym z systemem Windows 10 w wersji 1709 we wdrożeniu, w którym połączenia RDP nie wymagają nla. W tych warunkach, jeśli pulpit zdalny został zablokowany, użytkownik musi wprowadzić swoje poświadczenia dwa razy podczas nawiązywania połączenia.

Aby rozwiązać ten problem, zaktualizuj komputer z systemem Windows 10 w wersji 1709 przy użyciu 4343893 KB, 30 sierpnia 2018-KB4343893 (kompilacja systemu operacyjnego 16299.637).

Użytkownik nie może się zalogować i odbiera komunikaty "błąd uwierzytelniania" i "Korygowanie wyroczni szyfrowania CredSSP"

Gdy użytkownicy próbują zalogować się przy użyciu dowolnej wersji systemu Windows z systemu Windows Vista z dodatkiem SP2 lub nowszym lub Windows Server 2008 z dodatkiem SP2 lub nowszym, nie mają dostępu i odbierają komunikaty podobne do następujących:

Wystąpił błąd uwierzytelniania. Żądana funkcja nie jest obsługiwana. ... Może to być spowodowane korygowaniem wyroczni szyfrowania CredSSP ...

"Korygowanie wyroczni szyfrowania CredSSP" odnosi się do zestawu aktualizacji zabezpieczeń wydanych w marcu, kwietniu i maju 2018 r. CredSSP to dostawca uwierzytelniania, który przetwarza żądania uwierzytelniania dla innych aplikacji. 13 marca 2018 r. "3B" i kolejne aktualizacje rozwiązały problem polegający na wykorzystaniu luki, w której osoba atakująca może przekazać poświadczenia użytkownika w celu wykonania kodu w systemie docelowym.

Początkowe aktualizacje dodały obsługę nowego obiektu zasad grupy, szyfrowania Oracle Remediation, który ma następujące możliwe ustawienia:

• Podatne na zagrożenia: aplikacje klienckie korzystające z programu CredSSP mogą wrócić do niezabezpieczonych wersji, ale takie zachowanie naraża pulpity zdalne na ataki. Usługi korzystające z protokołu CredSSP akceptują klientów, którzy nie zostali zaktualizowani.

• Rozwiązano problem: aplikacje klienckie korzystające z dostawcy CredSSP nie mogą wrócić do niezabezpieczonych wersji, ale usługi korzystające z protokołu CredSSP akceptują klientów, którzy nie zostali zaktualizowani.

• Wymuś zaktualizowanie klientów: aplikacje klienckie korzystające z dostawcy CredSSP nie mogą wrócić do niezabezpieczonych wersji, a usługi korzystające z protokołu CredSSP nie będą akceptowały nieprzyznanych klientów.

  Uwaga

  To ustawienie nie powinno być wdrażane, dopóki wszystkie hosty zdalne nie będą obsługiwać najnowszej wersji.

Aktualizacja z 8 maja 2018 r. zmieniła domyślne ustawienie korygowania szyfrowania Oracle z Podatne na zagrożenia na Złagodzone. Dzięki tej zmianie klienci pulpitu zdalnego, którzy mają aktualizacje, nie mogą łączyć się z serwerami, które ich nie mają (lub zaktualizować serwerów, które nie zostały uruchomione ponownie). Aby uzyskać więcej informacji na temat aktualizacji credSSP, zobacz KB 4093492.

Aby rozwiązać ten problem, zaktualizuj i uruchom ponownie wszystkie systemy. Aby uzyskać pełną listę aktualizacji i więcej informacji o lukach w zabezpieczeniach, zobacz CVE-2018-0886 | Luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu credSSP.

Aby obejść ten problem do czasu ukończenia aktualizacji, sprawdź 4093492 BAZY wiedzy pod kątem dozwolonych typów połączeń. Jeśli nie ma możliwych alternatyw, możesz rozważyć jedną z następujących metod:

• W przypadku komputerów klienckich, których dotyczy problem, ustaw zasady korygowania oracle szyfrowania z powrotem na Podatne na zagrożenia.
• Zmodyfikuj następujące zasady w folderze \Konfiguracja komputera Szablony\administracyjne Składniki\pulpitu zdalnego usług\pulpitu zdalnego Host\grupy zabezpieczeń:

  • Wymagaj użycia określonej warstwy zabezpieczeń dla połączeń zdalnych (RDP): ustaw wartość Włączone i wybierz pozycję RDP.

  • Wymagaj uwierzytelniania użytkownika dla połączeń zdalnych przy użyciu uwierzytelniania na poziomie sieci: ustaw wartość Wyłączone.

    Ważne

    Zmiana tych zasad grupy zmniejsza bezpieczeństwo wdrożenia. Zalecamy ich tymczasowe użycie tylko wtedy, gdy w ogóle.

Aby uzyskać więcej informacji na temat pracy z zasadami grupy, zobacz Modyfikowanie blokującego obiektu zasad grupy.

Po zaktualizowaniu komputerów klienckich niektórzy użytkownicy muszą zalogować się dwa razy

Gdy użytkownicy logują się do pulpitu zdalnego przy użyciu komputera z systemem Windows 7 lub Windows 10 w wersji 1709, natychmiast widzą drugi monit logowania. Ten problem występuje, jeśli komputer kliencki ma następujące aktualizacje:

• Windows 7: kb 4103718, 8 maja 2018 r. KB4103718 (comiesięczny pakiet zbiorczy)
• Windows 10 1709: KB 4103727, 8 maja 2018-KB4103727 (kompilacja systemu operacyjnego 16299.431)

Aby rozwiązać ten problem, upewnij się, że komputery, z którymi użytkownicy chcą się połączyć (a także z serwerami RDSH lub RDVI), są w pełni aktualizowane do czerwca 2018 r. Obejmuje to następujące aktualizacje:

• Windows Server 2016: KB 4284880, 12 czerwca 2018-KB4284880 (kompilacja systemu operacyjnego 14393.2312)
• Windows Server 2012 R2: KB 4284815, 12 czerwca 2018-KB4284815 (comiesięczny pakiet zbiorczy)
• Windows Server 2012: KB 4284855, 12 czerwca 2018-KB4284855 (comiesięczny pakiet zbiorczy)
• Windows Server 2008 R2: KB 4284826, 12 czerwca 2018-KB4284826 (comiesięczny pakiet zbiorczy)
• Windows Server 2008 SP2: KB4056564, Opis aktualizacji zabezpieczeń luki w zabezpieczeniach zdalnego wykonywania kodu CredSSP w systemie Windows Server 2008, Windows Embedded POSReady 2009 i Windows Embedded Standard 2009: 13 marca 2018 r.

Użytkownicy nie mają dostępu do wdrożenia korzystającego z funkcji Remote Credential Guard z wieloma brokerami połączeń usług pulpitu zdalnego

Ten problem występuje we wdrożeniach o wysokiej dostępności, które używają co najmniej dwóch brokerów połączeń pulpitu zdalnego, jeśli jest używana funkcja Windows Defender Remote Credential Guard. Użytkownicy nie mogą logować się do pulpitów zdalnych.

Ten problem występuje, ponieważ funkcja Remote Credential Guard używa protokołu Kerberos do uwierzytelniania i ogranicza protokół NTLM. Jednak w konfiguracji wysokiej dostępności z równoważeniem obciążenia brokerzy połączeń usług pulpitu zdalnego nie mogą obsługiwać operacji Kerberos.

Jeśli musisz użyć konfiguracji wysokiej dostępności z brokerami połączeń usług pulpitu zdalnego z równoważeniem obciążenia, możesz obejść ten problem, wyłączając funkcję Remote Credential Guard. Aby uzyskać więcej informacji na temat zarządzania funkcją Windows Defender Remote Credential Guard, zobacz Ochrona poświadczeń pulpitu zdalnego za pomocą funkcji Windows Defender Remote Credential Guard.