Перейти к основному контенту

RDP Соединение

Сбой подключения по RDP. Ошибка шифрования и отсутствие TLS-сертификата

Категория: Администрирование Windows • Актуально для: Windows 10 / Server

Описание проблемы. Компьютер сотрудника пингуется, порт 3389 открыт, статус службы LISTENING. При попытке подключения по RDP возникает стандартная ошибка сети. Подключение сразу сбрасывается.

Причина поломки. Встроенная служба TermService не может автоматически сгенерировать самоподписанный TLS-сертификат для проверки подлинности. Без файла ключа шифрование сессии невозможно.

Шаг 1. Диагностика поломки

Подключись к удаленному компьютеру через утилиту управления Aspia. Открой PowerShell от имени администратора и выполни команду проверки сертификатов:

Get-ChildItem "Cert:\LocalMachine\Remote Desktop"

Если в ответ ты видишь ошибку ObjectNotFound, значит папка пуста. Автоматический механизм генерации ключей сломался.

Шаг 2. Быстрое решение (Скрипт автоматического исправления)

Скопируй этот код, вставь в окно PowerShell на проблемном компьютере и нажми Enter. Скрипт создаст новый валидный ключ, принудительно пропишет его в настройки терминального сервера и перезапустит нужные компоненты.

# 1. Создаем новый самоподписанный сертификат в личном хранилище системы
$Cert = New-SelfSignedCertificate -DnsName $env:COMPUTERNAME -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Получаем доступ к конфигурации RDP через WMI
$Wmi = Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2	erminalservices -Filter "TerminalName='RDP-tcp'"

# 3. Привязываем отпечаток нового сертификата к службе
$Wmi.SSLCertificateSHA1Hash = $Cert.Thumbprint
$Wmi.Put()

# 4. Жестко перезапускаем службу удаленных рабочих столов
Restart-Service TermService -Force

Шаг 3. Финальная проверка

Повторно выполни команду проверки из Шага 1. В консоли должна появиться таблица с заполненными полями Thumbprint и Subject. Теперь ты можешь штатно подключаться к пользователю по RDP.

Важные сноски и примечания

Сноска 1. Блокировка со стороны антивируса. Корпоративный антивирус Касперский (KES) может заблокировать создание ключей в системных каталогах. Если скрипт выдает ошибку доступа, временно отключи сетевой экран или компоненты защиты KES на 5 минут, после чего повтори процедуру.
Сноска 2. Проверка прав на папку MachineKeys. Файлы сертификатов физически пишутся в каталог C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Учетная запись СИСТЕМА (SYSTEM) и группа «Все» должны иметь полные права на чтение и запись в свойствах безопасности этой папки.
Сноска 3. Проверка удаленного порта. Перед началом работы всегда проверяй доступность порта 3389 со своего рабочего места через команду Test-NetConnection -ComputerName [IP_адрес] -Port 3389. Значение TcpTestSucceeded должно быть True.