Compartilhar via

O usuário não consegue se autenticar ou deve se autenticar duas vezes

Este artigo aborda várias questões que podem causar problemas que afetam a autenticação do usuário.

Acesso negado, tipo de logon restrito

Nessa situação, o acesso é negado a um usuário do Windows 10 tentando se conectar a computadores Windows 10 ou Windows Server 2016, com a seguinte mensagem:

Conexão de Área de Trabalho Remota: O administrador do sistema restringiu o tipo de logon (rede ou interativo) que você pode usar. Para obter assistência, entre em contato com o administrador do sistema ou o suporte técnico.

Esse problema ocorre quando a NLA (Autenticação em Nível de Rede) é necessária para conexões RDP e o usuário não é membro do grupo Usuários da Área de Trabalho Remota. Isso também pode ocorrer se o grupo Usuários da Área de Trabalho Remota não tiver sido atribuído ao direito de usuário Acessar este computador da rede.

Para resolver esse problema, siga um destes procedimentos:

Modifique a associação do grupo do usuário ou a atribuição de direitos de usuário

Se esse problema afeta um único usuário, a solução mais simples para esse problema é adicionar o usuário ao grupo Usuários de Área de Trabalho Remota.

Se o usuário já for um membro desse grupo (ou se vários membros do grupo tiverem o mesmo problema), verifique a configuração de direitos de usuário no computador remoto executando Windows 10 ou Windows Server 2016.

  1. Abra o GPE (Editor de Objeto de Política de Grupo) e conecte-se à política local do computador remoto.

  2. Vá para Configuração\do Computador, Configurações\do Windows, Configurações\de Segurança, Políticas Locais\, Atribuição de Direitos do Usuário, clique com o botão direito do mouse em Acessar este computador da rede e selecione Propriedades.

  3. Verifique a lista de usuários e grupos para Usuários da Área de Trabalho Remota (ou um grupo pai).

  4. Se a lista não incluir Usuários da Área de Trabalho Remota ou um grupo pai como Todos, você deverá adicioná-lo à lista. Se você tiver mais de um computador em sua implantação, use um objeto de política de grupo.

    Por exemplo, a associação padrão para Acessar este computador da rede inclui Todas as pessoas. Se a implantação usa um objeto de política de grupo para remover Todas as pessoas, talvez você precise restaurar o acesso ao atualizar o objeto de política de grupo para adicionar Usuários da Área de Trabalho Remota.

Acesso negado, uma chamada remota para o banco de dados SAM foi negada

Esse comportamento tem mais chance de ocorrer se os controladores de domínio estão executando o Windows Server 2016 ou posterior e os usuários tentam se conectar por meio de um aplicativo de conexão personalizada. Em particular, aplicativos que acessam informações de perfil do usuário no Active Directory terão o acesso negado.

Esse comportamento resulta de uma alteração no Windows. No Windows Server 2012 R2 e versões anteriores, quando um usuário entra em uma área de trabalho remota, o RCM (Gerenciador de Conexão Remota) contata o DC (controlador de domínio) para consultar as configurações que são específicas da Área de Trabalho Remota no objeto de usuário nos AD DS (Active Directory Domain Services). Essas informações são exibidas na guia Perfil de Serviços de Área de Trabalho Remota das propriedades do objeto de um usuário no snap-in do MMC de Usuários e Computadores do Active Directory.

No Windows Server 2016 e versões posteriores, o RCM não consulta mais o objeto do usuário no AD DS. Se precisar que o RCM consulte o AD DS porque está usando os atributos de Serviços de Área de Trabalho Remota, você deverá habilitar manualmente a consulta.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para maior proteção, faça backup do Registro antes de modificar, para poder restaurar se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

Para activar o comportamento do RCM herdado num servidor Anfitrião da Sessão da Área de Trabalho Remota, configure as seguintes entradas de registo e, em seguida, reinicie o serviço de Serviços de Ambiente de Trabalho Remoto:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
    • Nome: fQueryUserConfigFromDC
    • Tipo: Reg_DWORD
    • Valor: 1 (Decimal)

Para activar o comportamento do RCM herdado num servidor que não seja um servidor anfitrião da sessão da área de trabalho remota, configure estas entradas de registo e a seguinte entrada de registo adicional (e reinicie o serviço):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Para obter mais informações sobre esse comportamento, consulte Alterações no Gerenciador de Conexões Remotas no Windows Server 2016.

O usuário não consegue entrar usando um cartão inteligente

Esta seção aborda três cenários comuns em que um usuário não consegue entrar em uma área de trabalho remota usando um cartão inteligente.

Não é possível entrar com um cartão inteligente em uma filial com um RODC (controlador de domínio somente leitura)

Esse problema ocorre em implantações que incluem um servidor RDSH em um site de filial que usa um RODC. O servidor de RDSH é hospedado no domínio raiz. Os usuários do site de filial pertencem a um domínio filho e usam cartões inteligentes para autenticação. O RODC está configurado para armazenar senhas de usuário no cache (o RODC pertence ao Grupo de Replicação de Senha RODC Permitido). Quando os usuários tentarem entrar em sessões no servidor RDSH, eles receberão mensagens como "A tentativa de logon é inválida. Isso é devido a uma informação de autenticação ou nome de usuário inválida".

Esse problema é causado pela maneira como o DC raiz e o RDOC gerenciam a criptografia de credenciais de usuário. O DC raiz usa uma chave de criptografia para criptografar as credenciais e o RODC fornece ao cliente a chave de descriptografia. Quando um usuário recebe o erro "inválido", o que significa que as duas chaves não correspondem.

Para solucionar esse problema, experimente seguir um destes procedimentos:

  • Altere a topologia do DC desativando o cache de senha no RODC ou implante um DC gravável no site da filial.
  • Migre o servidor RDSH para o mesmo domínio filho que os usuários.
  • Permita que os usuários entrem sem cartões inteligentes.

Saiba que todas essas soluções exigem comprometimentos no nível do desempenho ou da segurança.

O usuário não consegue entrar em um computador com Windows Server 2008 SP2 usando um cartão inteligente

Esse problema ocorre quando os usuários entram em um computador executando Windows Server 2008 SP2 que foi atualizado com KB4093227 (2018.4B). Quando os usuários tentam entrar usando um cartão inteligente, o acesso é negado com mensagens como "Nenhum certificado válido encontrado. Verifique se o cartão está inserido corretamente e se encaixa perfeitamente". Ao mesmo tempo, o computador com Windows Server registra o evento de aplicativo "Ocorreu um erro ao recuperar um certificado digital do cartão inteligente inserido. Assinatura inválida."

Para resolver esse problema, atualize o computador com Windows Server com o relançamento 2018.06 B do KB 4093227, Descrição da atualização de segurança para a vulnerabilidade de negação de serviço do protocolo RDP no Windows Server 2008: 10 de abril de 2018.

Não é possível permanecer conectado com um cartão inteligente e o serviço de Serviços de Área de Trabalho Remota trava

Esse problema ocorre quando os usuários entram em um computador executando Windows ou Windows Server que foi atualizado com KB 4056446. Primeiro, o usuário poderá conseguir entrar no sistema usando um cartão inteligente, mas, em seguida, receberá uma mensagem de erro "SCARD_E_NO_SERVICE". O computador remoto poderá parar de responder.

Para contornar esse problema, reinicie o computador remoto.

Para resolver esse problema, atualize o computador remoto com a correção apropriada:

Se o computador remoto estiver bloqueado, o usuário precisará inserir uma senha duas vezes

Esse problema pode ocorrer quando um usuário tenta se conectar a uma área de trabalho remota que está executando o Windows 10 versão 1709 em uma implantação em que as conexões RDP não exigem NLA. Sob essas condições, se a Área de Trabalho Remota tiver sido bloqueada, o usuário precisará inserir suas credenciais duas vezes ao se conectar.

Para resolver esse problema, atualize o computador Windows 10 versão 1709 com KB 4343893, 30 de agosto de 2018-KB4343893 (Compilação 16299.637 do SO).

Um usuário não consegue entrar e recebe as mensagens "erro de autenticação" e "correção do oráculo de criptografia CredSSP"

Quando os usuários tentam entrar usando qualquer versão do Windows do Windows Vista SP2 e versões posteriores ou do Windows Server 2008 SP2 e versões posteriores, o acesso é negado e recebe mensagens como estas:

Ocorreu um erro de autenticação. A função solicitada não é compatível. ... Isso pode ser devido à correção do oráculo de criptografia CredSSP ...

"Correção do Oráculo de Criptografia CredSSP" refere-se a um conjunto de atualizações de segurança lançado em março, abril e maio de 2018. O CredSSP é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos. A atualização "3B" de 13 de março de 2018 e as atualizações subsequentes resolveram uma exploração em que um invasor podia retransmitir credenciais do usuário para executar o código no sistema de destino.

As atualizações iniciais adicionaram suporte para um novo Objeto de Política de Grupo, Correção do Oracle de Criptografia, que tem as seguintes configurações possíveis:

  • Vulnerável: Aplicativos cliente que usam o CredSSP podem reverter para versões não seguras, mas esse comportamento expõe as Áreas de Trabalho Remotas a ataques. Serviços que usam o CredSSP aceitam clientes que não foram atualizados.

  • Atenuado: aplicativos cliente que usam o CredSSP não podem reverter para versões inseguras, mas os serviços que usam o CredSSP aceitam clientes que não foram atualizados.

  • Forçar Clientes Atualizados: aplicativos cliente que usam o CredSSP não podem reverter para versões inseguras e os serviços que usam o CredSSP não aceitam clientes sem patch.

    Observação

    Essa configuração não deve ser implantada até que todos os hosts remotos sejam compatíveis com a versão mais recente.

A atualização de 8 de maio de 2018 alterou a configuração padrão Correção do Oráculo de Criptografia de Vulnerável para Atenuado. Com essa alteração em vigor, os clientes da Área de Trabalho Remota que têm as atualizações não conseguem se conectar a servidores que não as têm (nem a servidores atualizados que não foram reiniciados). Para saber mais sobre atualizações CredSSP, confira KB 4093492.

Para resolver esse problema, atualize e reinicie todos os sistemas. Para obter uma lista completa de atualizações e obter mais informações sobre vulnerabilidades, confira CVE-2018-0886 | Vulnerabilidade de execução de código remoto de CredSSP.

Para contornar esse problema até as atualizações serem concluídas, confira o KB 4093492 para os tipos permitidos de conexões. Se não houver alternativas viáveis, você pode considerar um dos seguintes métodos:

  • Para computadores cliente afetados, defina a política de Correção do Oráculo de Criptografia de volta como Vulnerável.
  • Modifique as seguintes políticas na pasta de política de grupo de Segurança do Host\da Sessão de Serviços de Área de Trabalho\Remota dos Componentes\\do Windows de Configuração\do Computador:

    • Exigir o uso de camada de segurança específica para conexões remotas (RDP) : defina para Habilitado e selecione RDP.

    • Exigir autenticação de usuário para conexões remotas usando a Autenticação no Nível da Rede: defina para Desabilitado.

      Importante

      A alteração dessas políticas de grupo reduz a segurança da implantação. Recomendamos que você só as use temporariamente, se precisar.

Para obter mais informações sobre como trabalhar com a política de grupo, confira Modificar um GPO de bloqueio.

Depois de você atualizar os computadores cliente, alguns usuários precisam entrar duas vezes

Quando os usuários entram na Área de Trabalho Remota usando um computador que executa o Windows 7 ou o Windows 10, versão 1709, eles imediatamente veem um segundo prompt de conexão. Esse problema acontecerá se o computador cliente tiver as seguintes atualizações:

Para resolver esse problema, verifique se os computadores aos quais os usuários desejam se conectar (bem como os servidores RDSH ou RDVI) estão totalmente atualizados até junho de 2018. Isso inclui as seguintes atualizações:

O acesso é negado aos usuários em uma implantação que usa o Credential Guard remoto com vários agentes de Conexão de Área de Trabalho Remota

Esse problema ocorre em implantações de alta disponibilidade que usam dois ou mais agentes de Conexão de Área de Trabalho Remota se o Credential Guard remoto do Windows Defender está em uso. Os usuários não conseguem entrar em áreas de trabalho remotas.

Esse problema ocorre porque o Credential Guard remoto usa o Kerberos para autenticação e restringe o NTLM. No entanto, em uma configuração de alta disponibilidade com balanceamento de carga, os Agentes de Conexão de Área de Trabalho Remota não podem dar suporte a operações do Kerberos.

Se você precisar usar uma configuração de alta disponibilidade com agentes de Conexão de Área de Trabalho Remota com balanceamento de carga, poderá contornar esse problema desabilitando o Credential Guard remoto. Para obter mais informações sobre como gerenciar o Credential Guard remoto do Windows Defender, confira Proteger credenciais da Área de Trabalho Remota com o Credential Guard remoto do Windows Defender.