Azure VM'ye RDP kullanarak bağlandığınızda karşılaştığınız kimlik doğrulaması hatalarını giderme

2024-03-27

Şunlar için geçerlidir: ✔️ Windows VM'leri

Bu makale, Bir Azure sanal makinesine (VM) bağlanmak için Uzak Masaüstü Protokolü (RDP) bağlantısı kullandığınızda oluşan kimlik doğrulama hatalarını gidermenize yardımcı olabilir.

Not

Bu makale yardımcı oldu mu? Girdileriniz bizim için önemlidir. Bu makalenin sizin için ne kadar iyi çalıştığını veya nasıl geliştirebileceğimizi bize bildirmek için lütfen bu sayfadaki Geri Bildirim düğmesini kullanın.

Belirtiler

Hoş Geldiniz ekranını gösteren ve işletim sisteminin çalıştığını gösteren bir Azure VM'nin ekran görüntüsünü yakalarsınız. Ancak, Uzak Masaüstü Bağlantısı'nı kullanarak VM'ye bağlanmaya çalıştığınızda aşağıdaki hata iletilerinden birini alırsınız:

Kimlik doğrulama hatası oluştu. Yerel Güvenlik Yetkilisi ile iletişim kurulamıyor.
Bağlanmaya çalıştığınız uzak bilgisayar Ağ Düzeyinde Kimlik Doğrulaması (NLA) gerektiriyor, ancak NLA gerçekleştirmek için Windows etki alanı denetleyicinizle bağlantı kurulamıyor. Uzak bilgisayarda yöneticiyseniz Sistem Özellikleri iletişim kutusunun Uzak sekmesindeki seçenekleri kullanarak NLA'yı devre dışı bırakabilirsiniz.
Bu bilgisayar uzak bilgisayara bağlanamıyor. Bağlanmayı yeniden deneyin; sorun devam ederse uzak bilgisayarın sahibiyle veya ağ yöneticinizle iletişim kurun.

Neden

NLA'nın bir VM'ye RDP erişimini engellemesinin birden çok nedeni vardır:

VM, etki alanı denetleyicisi (DC) ile iletişim kuramıyor. Bu sorun, etki alanı kimlik bilgilerini kullanarak RDP oturumlarının vm'ye erişmesini engelleyebilir. Ancak Yine de Yerel Yönetici kimlik bilgilerini kullanarak oturum açabilirsiniz. Bu sorun aşağıdaki durumlarda oluşabilir:
- Bu VM ile DC arasındaki Active Directory Güvenlik Kanalı bozuk.
- VM'de hesap parolasının eski bir kopyası ve DC'nin daha yeni bir kopyası vardır.
- Bu VM'nin bağlanıyor olduğu DC iyi durumda değil.
VM'nin şifreleme düzeyi, istemci bilgisayar tarafından kullanılandan daha yüksektir.
TLS 1.0, 1.1 veya 1.2 (sunucu) protokolleri VM'de devre dışı bırakılır. VM, etki alanı kimlik bilgileri kullanılarak oturum açmayı devre dışı bırakmak için ayarlanmış ve Yerel Güvenlik Yetkilisi (LSA) yanlış ayarlanmış.
VM, yalnızca Federal Bilgi İşleme Standardı (FIPS) uyumlu algoritma bağlantılarını kabul etmek üzere ayarlanmıştır. Bu genellikle Active Directory ilkesi kullanılarak yapılır. Bu nadir bir yapılandırmadır, ancak FIPS yalnızca Uzak Masaüstü bağlantıları için zorunlu kılınabilir.

Sorun gidermeye başlamadan önce

Yedekleme anlık görüntüsü oluşturma

Yedekleme anlık görüntüsü oluşturmak için Diskin anlık görüntüsünü alma bölümünde yer alan adımları izleyin.

VM'ye uzaktan bağlanma

VM'ye uzaktan bağlanmak için Azure VM sorunlarını gidermek için uzak araçları kullanma bölümündeki yöntemlerden birini kullanın.

Grup ilkesi istemci hizmeti

Bu etki alanına katılmış bir VM ise, herhangi bir Active Directory İlkesinin değişikliklerin üzerine yazılmasını önlemek için önce Grup İlkesi İstemci hizmetini durdurun. Bunu yapmak için aşağıdaki komutu çalıştırın:

REM Disable the member server to retrieve the latest GPO from the domain upon start
REG add "HKLM\SYSTEM\CurrentControlSet\Services\gpsvc" /v Start /t REG_DWORD /d 4 /f

Sorun düzeltildikten sonra, bu VM'nin etki alanından en son GPO'nun alınması için etki alanıyla iletişim kurma becerisini geri yükleyin. Bunu yapmak için aşağıdaki farklı komutu çalıştırın:

sc config gpsvc start= auto
sc start gpsvc

gpupdate /force

Değişiklik geri döndürülürse, soruna bir Active Directory ilkesi neden oluyor demektir.

Geçici çözüm

VM'ye bağlanmak ve nedenini çözmek için geçici bir çözüm olarak, NLA'yı geçici olarak devre dışı bırakabilirsiniz. NLA'yı devre dışı bırakmak için lütfen aşağıdaki komutları kullanın veya Komut Çalıştır'daki betiği kullanınDisableNLA.

REM Disable the Network Level Authentication
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0

Ardından VM'yi yeniden başlatın ve sorun giderme bölümüne geçin.

Sorunu çözdükten sonra, aşağıdaki komutları çalıştırıp VM'yi yeniden başlatarak NLA'yı yeniden etkinleştirin:

REG add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds /t REG_DWORD /d 0 /f
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f

Sorun giderme

Etki alanına katılmış VM'lerde sorun giderme.
Tek başına VM'lerde sorun giderme.

Etki alanına katılmış VM'lerle ilgili sorunları giderme

Bu sorunu gidermek için:

VM'nin bir DC'ye bağlanıp bağlanamadığını denetleyin.
DC'nin durumunu denetleyin.

Not

DC durumunu test etmek için aynı sanal ağda, alt ağda bulunan ve aynı oturum açma sunucusunu kullanan başka bir VM kullanabilirsiniz.

Vm'ye uzaktan bağlanma bölümündeki adımlara göre Seri konsol, uzak CMD veya uzak PowerShell kullanarak sorunu olan VM'ye bağlanın.

VM'nin bağlanmaya çalıştığı DC'yi belirleyin. konsolunda aşağıdaki komutu çalıştırın:
```
set | find /i "LOGONSERVER"
```
VM ile DC arasındaki güvenli kanalın durumunu test edin. Bunu yapmak için komutunu yükseltilmiş bir PowerShell örneğinde çalıştırın Test-ComputerSecureChannel . Bu komut, güvenli kanalın etkin olup olmadığını gösteren True veya False döndürür:
```
Test-ComputerSecureChannel -verbose
```
Kanal bozuksa, onarmak için aşağıdaki komutu çalıştırın:
```
Test-ComputerSecureChannel -repair
```

Active Directory'deki bilgisayar hesabı parolasının VM'de ve DC'de güncelleştirildiğinden emin olun:

Reset-ComputerMachinePassword -Server "<COMPUTERNAME>" -Credential <DOMAIN CREDENTIAL WITH DOMAIN ADMIN LEVEL>

DC ile VM arasındaki iletişim iyiyse ancak DC bir RDP oturumu açacak kadar iyi durumda değilse, DC'yi yeniden başlatmayı deneyebilirsiniz.

Yukarıdaki komutlar etki alanıyla iletişim sorununu düzeltmediyse, bu VM'yi etki alanına yeniden katılabilirsiniz. Bunun için aşağıdaki adımları izleyin:

Aşağıdaki içeriği kullanarak Unjoin.ps1 adlı bir betik oluşturun ve ardından betiği Azure portalında Özel Betik Uzantısı olarak dağıtın:
```
cmd /c "netdom remove <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10 /Force"
```
Bu betik, VM'yi etki alanından zorla kaldırır ve 10 saniye sonra VM'yi yeniden başlatır. Ardından, etki alanı tarafındaki Bilgisayar nesnesini temizlemeniz gerekir.
Temizleme işlemi tamamlandıktan sonra bu VM'yi etki alanına yeniden ekleyin. Bunu yapmak için aşağıdaki içeriği kullanarak JoinDomain.ps1 adlı bir betik oluşturun ve ardından betiği Azure portalında Özel Betik Uzantısı olarak dağıtın:
```
cmd /c "netdom join <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10"
```

Not

Bu, belirtilen kimlik bilgilerini kullanarak etki alanındaki VM'yi birleştirir.

Active Directory kanalı iyi durumdaysa, bilgisayar parolası güncelleştirilir ve etki alanı denetleyicisi beklendiği gibi çalışıyorsa aşağıdaki adımları deneyin.

Sorun devam ederse etki alanı kimlik bilgilerinin devre dışı bırakılıp bırakılmadığını denetleyin. Bunu yapmak için yükseltilmiş bir Komut İstemi penceresi açın ve vm'nin VM'de oturum açmak üzere etki alanı hesaplarını devre dışı bırakmak üzere ayarlanıp ayarlanmadığını belirlemek için aşağıdaki komutu çalıştırın:

REG query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds

Anahtar 1 olarak ayarlandıysa bu, sunucunun etki alanı kimlik bilgilerine izin vermeyecek şekilde ayarlandığı anlamına gelir. Bu anahtarı 0 olarak değiştirin.

Tek başına VM'lerle ilgili sorunları giderme

MinEncryptionLevel denetimi

Bir CMD örneğinde, MinEncryptionLevel kayıt defteri değerini sorgulamak için aşağıdaki komutu çalıştırın:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Kayıt defteri değerine bağlı olarak şu adımları izleyin:

4 (FIPS): FIP uyumlu algoritma bağlantılarını denetleyin.

3 (128 bit şifreleme): Aşağıdaki komutu çalıştırarak önem derecesini 2 olarak ayarlayın:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2 /f

2 (İstemci tarafından dikte edilen en yüksek şifreleme): Aşağıdaki komutu çalıştırarak şifrelemeyi en düşük 1 değerine ayarlamayı deneyebilirsiniz:
```
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 1 /f
```

Kayıt defterindeki değişikliklerin etkili olması için VM'yi yeniden başlatın.

TLS sürümü

Sisteme bağlı olarak RDP TLS 1.0, 1.1 veya 1.2 (sunucu) protokollerini kullanır. Bu protokollerin VM'de nasıl ayarlandığını sorgulamak için bir CMD örneği açın ve aşağıdaki komutları çalıştırın:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled

Döndürülen değerlerin tümü 1 değilse, bu protokolün devre dışı bırakıldığını gösterir. Bu protokolleri etkinleştirmek için aşağıdaki komutları çalıştırın:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f

Diğer protokol sürümleri için aşağıdaki komutları çalıştırabilirsiniz:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled

Not

SCHANNEL hatalarıyla ilgili Konuk İşletim Sistemi Günlüklerinden SSH/TLS x.x sürümünü alın.

FIP uyumlu algoritma bağlantılarını denetleme

Uzak masaüstü yalnızca FIPs uyumlu algoritma bağlantılarını kullanmak için zorunlu kılınabilir. Bu, bir kayıt defteri anahtarı kullanılarak ayarlanabilir. Bunu yapmak için yükseltilmiş bir Komut İstemi penceresi açın ve aşağıdaki anahtarları sorgulayın:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled

Komut 1 döndürürse, kayıt defteri değerini 0 olarak değiştirin.

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled /t REG_DWORD /d 0

Vm'de geçerli MinEncryptionLevel'in hangisi olduğunu denetleyin:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Komut 4 döndürürse, kayıt defteri değerini 2 olarak değiştirin

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2