O usuário não pode autenticar ou deve autenticar duas vezes

  • Artigo

Este artigo aborda vários problemas que podem causar problemas que afetam a autenticação do usuário.

Acesso negado, tipo restrito de logon

Nessa situação, um usuário Windows 10 que tenta se conectar a computadores Windows 10 ou Windows Server 2016 tem acesso negado com a seguinte mensagem:

Conexão de Área de Trabalho Remota: o administrador do sistema restringiu o tipo de logon (rede ou interativo) que você pode usar. Para obter assistência, entre em contato com o administrador do sistema ou suporte técnico.

Esse problema ocorre quando a NLA (Autenticação de Nível de Rede) é necessária para conexões RDP e o usuário não é membro do grupo Usuários de Área de Trabalho Remota . Também pode ocorrer se o grupo Usuários da Área de Trabalho Remota não tiver sido atribuído ao Acessar este computador pelo usuário de rede direito.

Para resolver esse problema, faça uma das seguintes coisas:

Modificar a atribuição de direitos de usuário ou associação de grupo do usuário

Se esse problema afetar um único usuário, a solução mais simples para esse problema será adicionar o usuário ao grupo Usuários de Área de Trabalho Remota .

Se o usuário já for membro desse grupo (ou se vários membros do grupo tiverem o mesmo problema), marcar a configuração de direitos de usuário no computador Windows 10 ou Windows Server 2016 remoto.

  1. Abra Política de Grupo GPE (object Editor) e conecte-se à política local do computador remoto.

  2. Acesse Configuração\ do ComputadorConfigurações do Windows Configurações\de Segurança Atribuiçãode Direitos\ do Usuáriopolíticas\ locais, clique com o botão direito do mouse em Acessar este computador na rede e selecione Propriedades.

  3. Verifique a lista de usuários e grupos para Usuários de Área de Trabalho Remota (ou um grupo pai).

  4. Se a lista não incluir usuários da Área de Trabalho Remota ou um grupo pai como Todos, você deverá adicioná-la à lista. Se você tiver mais de um computador em sua implantação, use um objeto de política de grupo.

    Por exemplo, a associação padrão para Acessar este computador da rede inclui Todos. Se sua implantação usar um objeto de política de grupo para remover Todos, talvez seja necessário restaurar o acesso atualizando o objeto de política de grupo para adicionar Usuários da Área de Trabalho Remota.

Acesso negado, uma chamada remota para o banco de dados SAM foi negada

Esse comportamento provavelmente ocorrerá se os controladores de domínio estiverem executando Windows Server 2016 ou posterior, e os usuários tentarem se conectar usando um aplicativo de conexão personalizado. Em particular, os aplicativos que acessam as informações de perfil do usuário no Active Directory terão acesso negado.

Esse comportamento resulta de uma alteração no Windows. Em Windows Server 2012 R2 e versões anteriores, quando um usuário entra em uma área de trabalho remota, o RCM (remote Gerenciador de Conexões) entra em contato com o controlador de domínio (DC) para consultar as configurações específicas da Área de Trabalho Remota no objeto do usuário no Active Directory Domain Services (AD DS). Essas informações são exibidas na guia Perfil dos Serviços de Área de Trabalho Remota das propriedades de objeto de um usuário no snap-in Usuários e Computadores do Active Directory MMC.

A partir de Windows Server 2016, o RCM não consulta mais o objeto do usuário no AD DS. Se você precisar do RCM para consultar o AD DS porque está usando atributos dos Serviços de Área de Trabalho Remota, você deve habilitar manualmente a consulta.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para maior proteção, faça backup do Registro antes de modificar, para poder restaurar se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Para habilitar o comportamento herdado do RCM em um servidor host de sessão RD, configure as seguintes entradas de registro e reinicie o serviço de Serviços de Área de Trabalho Remota :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
    • Nome: fQueryUserConfigFromDC
    • Tipo: Reg_DWORD
    • Valor: 1 (Decimal)

Para habilitar o comportamento herdado do RCM em um servidor diferente de um servidor host de sessão RD, configure essas entradas de registro e a seguinte entrada adicional do registro (e reinicie o serviço):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Para obter mais informações sobre esse comportamento, consulte Alterações no Gerenciador de Conexões Remoto em Windows Server 2016.

O usuário não pode entrar usando uma cartão inteligente

Esta seção aborda três cenários comuns em que um usuário não pode entrar em uma área de trabalho remota usando uma cartão inteligente.

Não é possível entrar com um cartão inteligente em uma filial com um RODC (controlador de domínio somente leitura)

Esse problema ocorre em implantações que incluem um servidor RDSH em um site de branch que usa um RODC. O servidor RDSH está hospedado no domínio raiz. Os usuários no site da ramificação pertencem a um domínio filho e usam cartões inteligentes para autenticação. O RODC está configurado para armazenar em cache senhas de usuário (o RODC pertence ao Grupo de Replicação de Senhas rodc permitido). Quando os usuários tentam entrar em sessões no servidor RDSH, eles recebem mensagens como "A tentativa de logon é inválida. Isso se deve a um nome de usuário ou a uma informação de autenticação incorretas."

Esse problema é causado pela forma como o DC raiz e o RDOC gerenciam a criptografia de credencial do usuário. O DC raiz usa uma chave de criptografia para criptografar as credenciais e o RODC fornece ao cliente a chave de descriptografia. Quando um usuário recebe o erro "inválido", o que significa que as duas chaves não correspondem.

Para contornar esse problema, experimente uma das seguintes coisas:

  • Altere sua topologia DC desativando o cache de senha no RODC ou implante um DC gravável no site da ramificação.
  • Mova o servidor RDSH para o mesmo domínio filho que os usuários.
  • Permitir que os usuários entrem sem cartões inteligentes.

Lembre-se de que todas essas soluções exigem compromissos no nível de desempenho ou de segurança.

O usuário não pode entrar em um computador SP2 do Windows Server 2008 usando uma cartão inteligente

Esse problema ocorre quando os usuários fazem logon em um computador SP2 do Windows Server 2008 que foi atualizado com KB4093227 (2018.4B). Quando os usuários tentam entrar usando um cartão inteligente, é negado acesso com mensagens como "Nenhum certificado válido encontrado. Verifique se a cartão está inserida corretamente e se encaixa firmemente". Ao mesmo tempo, o computador Windows Server registra o evento aplicativo "Ocorreu um erro ao recuperar um certificado digital da cartão inteligente inserida. Assinatura inválida.".

Para resolve esse problema, atualize o computador Windows Server com a relançamento 2018.06 B do KB 4093227, Descrição da atualização de segurança para a vulnerabilidade de negação de serviço rdp (Protocolo de Área de Trabalho Remota) do Windows no Windows Server 2008: 10 de abril de 2018.

Não é possível ficar conectado com um cartão inteligente e travas de serviços de Área de Trabalho Remota

Esse problema ocorre quando os usuários fazem logon em um computador Windows ou Windows Server que foi atualizado com o KB 4056446. No início, o usuário pode ser capaz de entrar no sistema usando uma cartão inteligente, mas depois recebe uma mensagem de erro "SCARD_E_NO_SERVICE". O computador remoto pode ficar sem resposta.

Para resolver esse problema, reinicie o computador remoto.

Para resolve esse problema, atualize o computador remoto com a correção apropriada:

Se o computador remoto estiver bloqueado, o usuário precisará inserir uma senha duas vezes

Esse problema pode ocorrer quando um usuário tenta se conectar a uma área de trabalho remota executando Windows 10 versão 1709 em uma implantação na qual as conexões RDP não exigem NLA. Nessas condições, se a área de trabalho remota tiver sido bloqueada, o usuário precisará inserir suas credenciais duas vezes ao se conectar.

Para resolve esse problema, atualize o computador Windows 10 versão 1709 com 4343893 KB, 30 de agosto de 2018-KB4343893 (Build 16299.637 do sistema operacional).

O usuário não pode entrar e recebe mensagens de "erro de autenticação" e "correção do oráculo de criptografia CredSSP"

Quando os usuários tentam entrar usando qualquer versão do Windows do Windows Vista SP2 e versões posteriores ou windows Server 2008 SP2 e versões posteriores, eles são negados acesso e recebem mensagens como estas:

Ocorreu um erro de autenticação. A função solicitada não tem suporte. ... Isso pode ser devido à correção do oráculo de criptografia CredSSP ...

"Correção do oráculo de criptografia credSSP" refere-se a um conjunto de atualizações de segurança lançadas em março, abril e maio de 2018. O CredSSP é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos. As atualizações de 13 de março de 2018, "3B" e subsequentes abordaram uma exploração na qual um invasor poderia retransmitir credenciais de usuário para executar código no sistema de destino.

As atualizações iniciais adicionaram suporte para um novo objeto Política de Grupo, Encryption Oracle Remediation, que tem as seguintes configurações possíveis:

  • Vulnerável: aplicativos cliente que usam CredSSP podem voltar a versões inseguras, mas esse comportamento expõe as áreas de trabalho remotas a ataques. Os serviços que usam o CredSSP aceitam clientes que não foram atualizados.

  • Mitigado: os aplicativos cliente que usam o CredSSP não podem voltar a versões inseguras, mas os serviços que usam o CredSSP aceitam clientes que não foram atualizados.

  • Forçar clientes atualizados: os aplicativos cliente que usam CredSSP não podem voltar para versões inseguras, e os serviços que usam CredSSP não aceitarão clientes não corrigidos.

    Observação

    Essa configuração não deve ser implantada até que todos os hosts remotos dêem suporte à versão mais recente.

A atualização de 8 de maio de 2018 alterou a configuração padrão de Criptografia Oracle Remediação de Vulnerável para Atenuada. Com essa alteração em vigor, os clientes da Área de Trabalho Remota que têm as atualizações não podem se conectar a servidores que não os têm (ou servidores atualizados que não foram reiniciados). Para obter mais informações sobre as atualizações do CredSSP, consulte KB 4093492.

Para resolve esse problema, atualize e reinicie todos os sistemas. Para obter uma lista completa de atualizações e mais informações sobre as vulnerabilidades, consulte CVE-2018-0886 | Vulnerabilidade de execução de código remoto credSSP.

Para resolver esse problema até que as atualizações sejam concluídas, marcar 4093492 do KB para tipos permitidos de conexões. Se não houver alternativas viáveis, você poderá considerar um dos seguintes métodos:

  • Para os computadores cliente afetados, defina a política de Correção oracle de criptografia de volta como Vulnerável.
  • Modifique as seguintes políticas na \ pasta de política de grupo desegurança do host dosComponentes\da Área de Trabalho Remota dos Serviços de Área de Trabalho Remota dos Serviços de ÁreadeTrabalho\ Remota dosComponentes\\ do Computador:

    • Exija o uso da camada de segurança específica para conexões remotas (RDP): defina como Habilitado e selecione RDP.

    • Exigir autenticação do usuário para conexões remotas usando a autenticação de nível de rede: definida como Desabilitada.

      Importante

      A alteração dessas políticas de grupo reduz a segurança da implantação. Recomendamos que você só os use temporariamente, se for o caso.

Para obter mais informações sobre como trabalhar com a política de grupo, consulte Modificando um GPO de bloqueio.

Depois de atualizar computadores cliente, alguns usuários precisam entrar duas vezes

Quando os usuários entrarem na Área de Trabalho Remota usando um computador que executa o Windows 7 ou Windows 10, versão 1709, eles imediatamente veem um segundo prompt de entrada. Esse problema ocorrerá se o computador cliente tiver as seguintes atualizações:

Para resolve esse problema, verifique se os computadores aos quais os usuários desejam se conectar (bem como servidores RDSH ou RDVI) estão totalmente atualizados até junho de 2018. Isso inclui as seguintes atualizações:

Os usuários têm acesso negado em uma implantação que usa o Remote Credential Guard com vários Agentes de Conexão RD

Esse problema ocorre em implantações de alta disponibilidade que usam dois ou mais Agentes de Conexão da Área de Trabalho Remota, se Windows Defender o Remote Credential Guard estiver em uso. Os usuários não podem entrar em áreas de trabalho remotas.

Esse problema ocorre porque o Remote Credential Guard usa Kerberos para autenticação e restringe o NTLM. No entanto, em uma configuração de alta disponibilidade com balanceamento de carga, os Agentes de Conexão rd não podem dar suporte a operações Kerberos.

Se você precisar usar uma configuração de alta disponibilidade com agentes de conexão RD balanceados por carga, poderá resolver esse problema desabilitando o Remote Credential Guard. Para obter mais informações sobre como gerenciar Windows Defender Remote Credential Guard, consulte Proteger credenciais de Área de Trabalho Remota com Windows Defender Remote Credential Guard.