Перейти к основному контенту

RDP Соединение

Сбой подключения по RDP. Ошибка шифрования и отсутствие TLS-сертификата

Категория: Администрирование Windows • Актуально для: Windows 10 / Server

Описание💡 проблемы.Важно: КомпьютерКорпоративный сотрудникаантивирус пингуется,Касперский порт 3389 открыт, статус службы LISTENING. При попытке подключения по RDP возникает стандартная ошибка сети. Подключение сразу сбрасывается.

Причина поломки. Встроенная служба TermService не(KES) может автоматическиблокировать сгенерироватьсоздание самоподписанныйсистемных TLS-сертификатключей. дляВременно проверкиприостанови подлинности.защиту Безна файлапроблемном ключаПК шифрованиеперед сессиивыполнением невозможно.инструкции.

Шаг

1. Диагностика поломки
проблемы

Подключись к удаленному компьютеру через утилиту управления Aspia. Открой PowerShell от имени администратора ина выполниудаленном ПК. Выполни команду проверки сертификатов:

Get-ChildItem "Cert:\LocalMachine\Remote Desktop"

Если в ответ ты видишь ошибку ObjectNotFound, значит папка пуста. АвтоматическийСлужба механизмRDP генерациине ключейможет сломался.сама создать нужный сертификат.

Шаг

2. БыстроеНастройка решениеправ (Скриптдля автоматическогопапки исправления)
MachineKeys

Службе требуются системные права для записи файла ключа на жесткий диск. Включи отображение скрытых папок и перейди по пути:

C:\ProgramData\Microsoft\Crypto\RSA\

Нажми правой кнопкой мыши на папку MachineKeys. Открой «Свойства», перейди на вкладку «Безопасность» и настрой доступы:

  • Группа «Все»: разреши чтение и запись.
  • Пользователь «СИСТЕМА»: выдай полный доступ.

3. Создание сертификата скриптом

Скопируй этоткод код,ниже, вставь в окно PowerShell на проблемном компьютере и нажми Enter. Скрипт создастсгенерирует новый валидный ключ, принудительно пропишетпривяжет его вк настройки терминального сервераRDP и перезапустит нужныезависшую компоненты.службу.

# 1. Создаем новый самоподписанный сертификат в личном хранилище системы
$Cert = New-SelfSignedCertificate -DnsName $env:COMPUTERNAME -CertStoreLocation "Cert:\LocalMachine\My"
# 2. Получаем доступ к конфигурации RDP через WMI
$Wmi = Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2	erminalservicescimv2\terminalservices -Filter "TerminalName='RDP-tcp'"

# 3. Привязываем отпечаток нового сертификата к службе
$Wmi.SSLCertificateSHA1Hash = $Cert.Thumbprint
$Wmi.Put()
# 4. Жестко перезапускаем службу удаленных рабочих столов
Restart-Service TermService -Force

Шаг
3.

4. Финальная проверка

ПовторноПовтори выполниначальную командукоманду:

проверки

Get-ChildItem из"Cert:\LocalMachine\Remote ШагаDesktop"

1.

В консоли должна появитьсяпоявится таблица с заполненнымиготовым полямиотпечатком Thumbprintключа.

и
Subject.

✅ Успешно: Сертификат TLS установлен. Теперь ты можешь штатно подключаться к пользователюкомпьютеру сотрудника по RDP.RDP без ошибок.

Важные сноски и примечания

Сноска 1. Блокировка со стороны антивируса. Корпоративный антивирус Касперский (KES) может заблокировать создание ключей в системных каталогах. Если скрипт выдает ошибку доступа, временно отключи сетевой экран или компоненты защиты KES на 5 минут, после чего повтори процедуру.
Сноска 2. Проверка прав на папку MachineKeys. Файлы сертификатов физически пишутся в каталог C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Учетная запись СИСТЕМА (SYSTEM) и группа «Все» должны иметь полные права на чтение и запись в свойствах безопасности этой папки.
Сноска 3. Проверка удаленного порта. Перед началом работы всегда проверяй доступность порта 3389 со своего рабочего места через команду Test-NetConnection -ComputerName [IP_адрес] -Port 3389. Значение TcpTestSucceeded должно быть True.