Udostępnij za pośrednictwem

"Wystąpił błąd wewnętrzny" podczas nawiązywania połączenia z maszyną zdalną

Ten artykuł pomaga rozwiązać problem z błędem "Wystąpił błąd wewnętrzny" podczas nawiązywania połączenia z maszyną zdalną.

W przypadku używania bezpośredniego połączenia protokołu RDP (Remote Desktop Protocol) do nawiązywania połączenia z maszyną z systemem Windows połączenie kończy się niepowodzeniem z powodu błędu "Wystąpił błąd wewnętrzny". Błąd występuje przed wprowadzeniem poświadczeń w aplikacji podłączania pulpitu zdalnego lub po nim.

Uwaga

Jeśli połączenie przestanie odpowiadać przez maksymalnie jedną minutę przed wyświetleniem błędu, a następnie zakończy się powodzeniem w drugiej próbie, przyczyną może być możliwość otwarcia dźwięku w celu pobrania ustawień.

W takim przypadku wywołanie blokujące uniemożliwia klientowi wysyłanie wymaganych informacji do serwera. Po około jednej minucie połączenie powiedzie się, ponieważ maszyna zdalna resetuje połączenie.

Aby rozwiązać ten problem, wyłącz usługę Audio systemu Windows na maszynie zdalnej i opcjonalnie na maszynie źródłowej w razie potrzeby.

Wykonaj następujące kroki, aby sprawdzić, czy można nawiązać połączenie z serwerem za pośrednictwem konsoli sieci Web (na przykład funkcji Hyper-V):

  1. Wpisz mstsc w polu Uruchom .
  2. W aplikacji Podłączanie pulpitu zdalnego wpisz localhost w polu Komputer i wybierz pozycję Połącz.

Jeśli błąd już nie występuje, jest on powiązany z siecią. Skontaktuj się z pomoc techniczna firmy Microsoft, aby uzyskać dalszą pomoc.

Jeśli błąd będzie się powtarzać, problem dotyczy serwera. Przejdź do następnego kroku rozwiązywania problemów.

Problem zwykle występuje, gdy maszyny źródłowe i docelowe negocjują protokoły zabezpieczeń, szyfry lub inne konfiguracje szyfrowania. Aby sprawdzić, czy błąd jest związany z negocjowaniem szyfrowania, uruchom następujące polecenia, aby dostosować UserAuthentication wartości i SecurityLayer na 0 maszynie, której dotyczy problem:

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. W celu ochrony utwórz kopię zapasową rejestru przed zmodyfikowaniem go, aby można było przywrócić go w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v SecurityLayer /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v UserAuthentication /t REG_DWORD /d 0 /f

Ważne

Na końcu sesji rozwiązywania problemów skonfiguruj te ustawienia do zalecanych wartości przy użyciu następujących poleceń:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v SecurityLayer /t REG_DWORD /d 2 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v UserAuthentication /t REG_DWORD /d 1 /f

Jeśli możesz nawiązać połączenie z maszyną zdalną po uruchomieniu poleceń, problem może być związany z jedną z następujących kwestii:

  • Odnawianie certyfikatu z podpisem własnym pulpitu zdalnego
  • Negocjowanie protokołu zabezpieczeń

Aby zawęzić możliwe przyczyny, sprawdź, czy możesz ponownie utworzyć certyfikat z podpisem własnym pulpitu zdalnego, wykonując następujące kroki:

  1. Otwórz przystawkę Microsoft Management Console (MMC) Certyfikaty. Po wyświetleniu monitu o wybranie magazynu certyfikatów do zarządzania wybierz pozycję Konto komputera, a następnie wybierz komputer, którego dotyczy problem.
  2. W folderze Certyfikaty w obszarze Pulpit zdalny usuń certyfikat z podpisem własnym protokołu RDP.
  3. Uruchom ponownie usługę usług pulpitu zdalnego na komputerze, którego dotyczy problem.
  4. Odśwież przystawkę Certyfikaty.
  5. Jeśli certyfikat z podpisem własnym protokołu RDP nie został utworzony ponownie, przejdź do certyfikatu z podpisem własnym pulpitu zdalnego.
  6. Jeśli certyfikat z podpisem własnym protokołu RDP został utworzony ponownie, przejdź do tematu Negocjowanie protokołu zabezpieczeń.

Certyfikat z podpisem własnym pulpitu zdalnego

Jeśli problem jest związany z odnawianiem certyfikatu z podpisem własnym pulpitu zdalnego, skorzystaj z poniższych metod, aby rozwiązać ten problem.

Sprawdzanie konfiguracji rejestru

Otwórz Edytor rejestru i upewnij się, że te klucze są ustawione w następujący sposób:

  • Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
    Nazwa SelfSignedCertStore wartości zawiera Remote Desktop dane wartości.
  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    Nazwa ProgramData wartości zawiera %SystemDrive%\ProgramData dane wartości.

Sprawdź usługi

Upewnij się, że są uruchomione następujące usługi, ponieważ są one potrzebne do wygenerowania certyfikatu:

  • Usługa propagacji certyfikatu (CertPropSvc)
  • Usługa izolacji kluczy CNG (KeyIso)
  • Usługi kryptograficzne (CryptSvc)
  • Usługa konfiguracji pulpitu zdalnego (SessionEnv)

Uwaga

Jeśli nie można uruchomić żadnej z powyższych usług, sprawdź, czy wystąpił problem z jego zależnościami w dziennikach zdarzeń systemu ze źródła programu Service Control Manager.

Sprawdzanie uprawnień machinekeys

  1. Przejdź do folderu C:\ProgramData\Microsoft\Crypto\RSA\ na komputerze, którego dotyczy problem.

  2. Kliknij prawym przyciskiem myszy pozycję MachineKeys, a następnie wybierz pozycję Właściwości>Zabezpieczenia>zaawansowane.

  3. Upewnij się, że skonfigurowano tylko następujące uprawnienia:

    • Builtin\Administrators: Pełna kontrola
    • Wszyscy: odczyt, zapis

  4. Uruchom ponownie usługę usług pulpitu zdalnego i upewnij się, że certyfikat został ponownie utworzony.

Sprawdzanie uprawnień klucza maszyny RDP

  1. Przejdź do folderu C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys na komputerze, którego dotyczy problem.

  2. Kliknij prawym przyciskiem myszy klucz rozpoczynający się od f686ace6942fb7f7ceb231212eef4a4, a następnie wybierz pozycję Właściwości>Zabezpieczenia>zaawansowane.

  3. Zmień właściciela na osobę z uprawnieniami administracyjnymi na maszynę.

  4. Zamknij i otwórz ponownie okno Ustawienia zabezpieczeń zaawansowanych.

  5. Upewnij się, że skonfigurowano tylko następujące uprawnienia:

    Główne Typ Access Odziedziczone po
    Usługa sieciowa Zezwalaj Przeczytaj Brak
    System Zezwalaj Pełna kontrola Brak

  6. Uruchom ponownie usługę usług pulpitu zdalnego i upewnij się, że certyfikat został ponownie utworzony.

Kontakt z pomocą techniczną firmy Microsoft

Jeśli powyższe kroki nie mogą rozwiązać problemu, skontaktuj się z pomoc techniczna firmy Microsoft, aby uzyskać dalszą pomoc.

Negocjowanie protokołu zabezpieczeń

Jeśli problem jest związany z negocjowaniem protokołu zabezpieczeń, skorzystaj z poniższych metod, aby rozwiązać ten problem.

Sprawdzanie konfiguracji rejestru

Sprawdź następujący klucz rejestru:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  • Sprawdź, SSLCertificateSHA1HashValue czy wartość istnieje i czy dane wartości są zgodne z wartością odcisku palca. Wartość odcisku palca można znaleźć na karcie Szczegóły certyfikatu w obszarze Certyfikaty pulpitu>zdalnego w konsoli certlm.msc. Jeśli nie są one zgodne, usuń SSLCertificateSHA1HashValue wartość, uruchom ponownie system i ponownie przetestuj.

    Ważne

    Nie należy stosować tego kroku, jeśli na serwerze jest zainstalowana rola brokera połączeń usług pulpitu zdalnego.

  • Upewnij się, że wartość jest ustawiona fAllowSecProtocolNegotiation na 1.

  • Upewnij się, że wartość jest ustawiona MinEncryptionLevel na 3. Aby uzyskać więcej informacji, zobacz Poziomy szyfrowania.

Sprawdzanie konfiguracji zasad kolejności szyfrowania SSL

Sprawdź, czy istnieją zasady konfigurowania szyfrowania. Ustaw następujące ustawienie zasad na Wartość Nieskonfigurowane , jeśli istnieje:

Konfiguracja komputera Szablony>administracyjne Ustawienia konfiguracji>protokołu>SSL Konfiguracja - protokołu SSL Kolejność szyfrowania SSL

Uwaga

Po ustawieniu zasad na Nieskonfigurowane usuń następującą wartość rejestru, jeśli istnieje:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 - Functions.

Zamień podklucz SCHANNEL

  1. Wyeksportuj następujący podklucz na działającej maszynie z tą samą wersją systemu Windows: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  2. Tworzenie kopii zapasowej istniejącego klucza na maszynie, której dotyczy problem. Następnie usuń go i zastąp go podkluczem wyeksportowanym z działającej maszyny.

Zastąp podklucz SSL kryptografii

  1. Wyeksportuj następujący podklucz na działającej maszynie z tą samą wersją systemu Windows: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
  2. Tworzenie kopii zapasowej istniejącego klucza na maszynie, której dotyczy problem. Następnie usuń go i zastąp go podkluczem wyeksportowanym z działającej maszyny.

Kontakt z pomocą techniczną firmy Microsoft

Jeśli powyższe kroki nie mogą rozwiązać problemu, skontaktuj się z pomoc techniczna firmy Microsoft, aby uzyskać dalszą pomoc.