Как отключить проверку подлинности сети
Вы можете включить или отключить проверку подлинности отправителей сообщений для одного или нескольких правил.
Перед тем как включить проверку подлинности отправителей сообщений для правила, убедитесь, что как минимум одна проверка подлинности отправителей сообщений включена в параметрах Kaspersky Secure Mail Gateway (Включение и отключение SPF-проверки подлинности отправителей, Включение и отключение DKIM-проверки подлинности отправителей, Включение и отключение DMARC-проверки подлинности отправителей).
Чтобы включить или отключить проверку подлинности отправителей сообщений для правила, выполните следующие действия:
- В главном окне веб-интерфейса программы в дереве консоли управления выберите раздел Правила .
- В списке правил по ссылке с названием правила откройте правило, для которого вы хотите включить или отключить проверку подлинности отправителей сообщений.
- Выберите блок Проверка подлинности отправителей сообщений .
- Выполните одно из следующих действий:
- Включите переключатель рядом с названием блока параметров Проверка подлинности отправителей сообщений , если вы хотите включить проверку подлинности отправителей сообщений.
- Выключите переключатель рядом с названием блока параметров Проверка подлинности отправителей сообщений , если вы хотите отключить проверку подлинности отправителей сообщений.
- В нижней части рабочей области нажмите на кнопку Применить .
Устранение ошибок проверки подлинности при использовании RDP для подключения к виртуальной машине Azure
Эта статья поможет устранить ошибки проверки подлинности, возникающие при использовании подключения по протоколу удаленного рабочего стола (RDP) для подключения к виртуальной машине Azure.
Эта статья оказалась полезной? Ваш вклад важен для нас. Используйте кнопку Отзыв на этой странице, чтобы сообщить нам, насколько хорошо эта статья работает для вас или как мы можем ее улучшить.
Симптомы
Вы запечатлеете снимок экрана виртуальной машины Azure, на котором отображается экран приветствия и указано, что операционная система запущена. Однако при попытке подключиться к виртуальной машине с помощью подключения к удаленному рабочему столу появляется одно из следующих сообщений об ошибке:
- Произошла ошибка определения подлинности. С локальным центром безопасности не удается связаться.
- Удаленный компьютер, к которому вы пытаетесь подключиться, требует проверки подлинности на уровне сети (NLA), но с контроллером домена Windows невозможно связаться для выполнения NLA. Если вы являетесь администратором удаленного компьютера, вы можете отключить NLA с помощью параметров на вкладке Удаленное диалогового окна Свойства системы.
- Этот компьютер не может подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема не исчезнет, обратитесь к владельцу удаленного компьютера или администратору сети.
Причина
Существует несколько причин, по которым NLA может блокировать доступ по протоколу RDP к виртуальной машине:
- Виртуальная машина не может взаимодействовать с контроллером домена (DC). Эта проблема может помешать сеансу RDP получить доступ к виртуальной машине с помощью учетных данных домена. Однако вы по-прежнему сможете войти в систему с помощью учетных данных локального администратора. Эта проблема может возникнуть в следующих ситуациях:
- Канал безопасности Active Directory между этой виртуальной машиной и контроллером домена не работает.
- Виртуальная машина имеет старую копию пароля учетной записи, а контроллер домена — более новую.
- Контроллер домена, к которому подключается эта виртуальная машина, неработоспособен.
Перед устранением неполадок
Создание резервного snapshot
Чтобы создать snapshot резервной копии, выполните действия, описанные в разделе Создание моментального снимка диска.
Удаленное подключение к виртуальной машине
Чтобы подключиться к виртуальной машине удаленно, используйте один из методов, описанных в статье Использование средств удаленного управления для устранения неполадок с виртуальной машиной Azure.
Клиентская служба групповой политики
Если это виртуальная машина, присоединенная к домену, сначала остановите службу клиента групповая политика, чтобы предотвратить перезапись изменений политикой Active Directory. Для этого выполните следующую команду.
REM Disable the member server to retrieve the latest GPO from the domain upon start REG add "HKLM\SYSTEM\CurrentControlSet\Services\gpsvc" /v Start /t REG_DWORD /d 4 /f
После устранения проблемы восстановите возможность связи этой виртуальной машины с доменом для получения последнего объекта групповой политики из домена. Для этого введите указанные ниже команды:
sc config gpsvc start= auto sc start gpsvc gpupdate /force
Если изменение отменено, это означает, что проблема вызывается политикой Active Directory.
Обходной путь
В качестве обходного решения для подключения к виртуальной машине и устранения причины можно временно отключить NLA. Чтобы отключить NLA, используйте приведенные ниже команды или DisableNLA скрипт в разделе Выполнить команду.
REM Disable the Network Level Authentication reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0
Затем перезапустите виртуальную машину и перейдите к разделу об устранении неполадок.
После устранения проблемы повторно включите NLA, выполнив следующие команды, а затем перезапустите виртуальную машину:
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds /t REG_DWORD /d 0 /f REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f
Устранение неполадок
- Устранение неполадок виртуальных машин, присоединенных к домену.
- Устранение неполадок с автономными виртуальными машинами.
Устранение неполадок виртуальных машин, присоединенных к домену
Чтобы устранить эту проблему, выполните приведенные ниже действия.
- Проверьте, может ли виртуальная машина подключаться к контроллеру домена.
- Проверьте работоспособность контроллера домена.
Для проверки работоспособности контроллера домена можно использовать другую виртуальную машину, которая находится в той же виртуальной сети, подсети и использует тот же сервер входа.
Подключитесь к виртуальной машине, на которую возникла проблема, с помощью последовательной консоли, удаленного CMD или удаленного PowerShell в соответствии с инструкциями, описанными в разделе Удаленное подключение к виртуальной машине .
-
Определите контроллер домена, к которому пытается подключиться виртуальная машина. Выполните следующую команду в консоли:
set | find /i "LOGONSERVER"
Test-ComputerSecureChannel -verbose
Если канал не работает, выполните следующую команду, чтобы восстановить его:
Test-ComputerSecureChannel -repair
Reset-ComputerMachinePassword -Server "" -Credential
Если обмен данными между контроллером домена и виртуальной машиной является хорошим, но контроллер домена недостаточно работоспособен для открытия сеанса RDP, можно попробовать перезапустить контроллер домена.
Если предыдущие команды не исправили проблему связи с доменом, вы можете повторно присоединить эту виртуальную машину к домену. Для этого выполните следующие действия:
-
Создайте скрипт с именем Unjoin.ps1, используя следующее содержимое, а затем разверните скрипт в качестве расширения пользовательского скрипта на портал Azure:
cmd /c "netdom remove > /domain:> /userD:> /passwordD:> /reboot:10 /Force"
cmd /c "netdom join > /domain:> /userD:> /passwordD:> /reboot:10"
При этом виртуальная машина в домене присоединяется с использованием указанных учетных данных.
Если канал Active Directory работоспособен, пароль компьютера обновляется, а контроллер домена работает должным образом, попробуйте выполнить следующие действия.
Если проблема не исчезнет, проверка, отключены ли учетные данные домена. Для этого откройте окно командной строки с повышенными привилегиями и выполните следующую команду, чтобы определить, настроена ли виртуальная машина для отключения учетных записей домена для входа в виртуальную машину:
REG query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds
Если для ключа задано значение 1, это означает, что сервер был настроен для запрета учетных данных домена. Измените этот ключ на 0.
Устранение неполадок с автономными виртуальными машинами
Проверьте MinEncryptionLevel
В экземпляре CMD выполните следующую команду, чтобы запросить значение реестра MinEncryptionLevel :
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel
В зависимости от значения реестра выполните следующие действия.
- 4 (FIPS): проверьте подключения, совместимые с алгоритмами FIP.
- 3 (128-разрядное шифрование): задайте для серьезности значение 2, выполнив следующую команду:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 1 /f
Перезапустите виртуальную машину, чтобы изменения реестра вступили в силу.
Версия TLS
В зависимости от системы RDP использует протокол TLS 1.0, 1.1 или 1.2 (сервер). Чтобы запросить настройку этих протоколов на виртуальной машине, откройте экземпляр CMD и выполните следующие команды:
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled
Если возвращаемые значения не являются 1, это означает, что протокол отключен. Чтобы включить эти протоколы, выполните следующие команды:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f
Для других версий протокола можно выполнить следующие команды:
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled
Получите версию X.x SSH/TLS из журналов гостевой ОС об ошибках SCHANNEL.
Проверка подключений к алгоритмам, совместимым с FIP
Удаленный рабочий стол можно принудительно использовать только подключения алгоритма, совместимые с FIP. Это можно задать с помощью раздела реестра. Для этого откройте окно командной строки с повышенными привилегиями и запросите следующие ключи:
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled
Если команда возвращает значение 1, измените значение реестра на 0.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled /t REG_DWORD /d 0
Проверьте текущий minEncryptionLevel на виртуальной машине:
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel
Если команда возвращает значение 4, измените значение реестра на 2.
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2
Перезапустите виртуальную машину, чтобы изменения реестра вступили в силу.
Дальнейшие действия
- Метод SetEncryptionLevel класса Win32_TSGeneralSetting
- Настройка уровней проверки подлинности и шифрования сервера
- класс Win32_TSGeneralSetting
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.
Обратная связь
Были ли сведения на этой странице полезными?
Обратная связь
Отправить и просмотреть отзыв по
Как отключить проверку подлинности сети
NLA — Network Level Authentication, проверка подлинности на уровне сети.
RDP сервер без NLA после подключения рисует интерфейс для ввода пароля:
Если на RDP сервере включена обязательная NLA, то до проверки пароля сервер ничего не рисует. Клиенту нужно самостоятельно рисовать интерфейс. Интерфейс ввода пароля WTware выглядит так:
NLA по умолчанию включен на Windows 2012 Server и новее. Что в NLA хорошо:
- + NLA безопаснее. Без NLA сервер договаривается о сжатии графики, позволяет открывать COM-порты, подключать смарт-карты каждому клиенту, который может к нему подключиться по TCP/IP. Чем больше общается клиент с сервером, тем выше вероятность взлома. С NLA сервер до проверки пароля ничего с клиентом не согласовывает.
Что в NLA плохо:
- — Нет никакой возможности заменить пароль, срок действия которого истек. Менять пароль нужно в каком-то другом интерфейсе, не через RDP подключение.
- — Интерфейс ввода пароля без экранной клавиатуры.
- — Диагностика ошибок хуже. Без NLA Windows подробно объяснит, что не так с логином или паролем. С NLA сервер отключает соединение, не объясняя, почему авторизация не удалась.
Чтобы отключить обязательную NLA, надо на сервере запустить Local Group Policy Editor (для сервера, входящего в домен, можно воспользоваться политиками домена):
Нужно изменить одну настройку:
Настройка параметров проверки подлинности IEEE 802.1X
Аппарат может подключаться к сети 802.1X как клиентское устройство. Обычная сеть 802.1X состоит из сервера RADIUS (сервер проверки подлинности), LAN-коммутатора (устройство проверки подлинности) и клиентских устройств с программным обеспечением для проверки подлинности (запрашивающие устройства). При попытке устройства подключиться к сети 802.1X оно должно пройти проверку подлинности пользователя для подтверждения того, что данное подключение выполнено пользователем, имеющим соответствующие права. Данные проверки подлинности отправляются на сервер RADIUS, который после проверки разрешает или запрещает подключение к сети в зависимости от результата проверки подлинности. В случае неудачной проверки подлинности LAN-коммутатор (или точка доступа) блокирует доступ к сети извне.
Метод проверки подлинности IEEE 802.1X
Выберите метод проверки подлинности из вариантов, приведенных ниже. При необходимости установите или зарегистрируйте ключ и сертификат или сертификат CA, прежде чем настраивать проверку подлинности IEEE 802.1X (Регистрация ключа и сертификата для связи с сетью).
TLS
Аппарат и сервер проверки подлинности определяют подлинность друг друга, выполняя взаимную проверку сертификатов. Ключ и сертификат, выданные центром сертификации (CA), нужны для проверки подлинности клиента (при проверке подлинности аппарата). При проверке подлинности сервера в дополнение к сертификату CA, предварительно установленному в системе аппарата, можно использовать сертификат CA, установленный посредством Удаленного ИП.
TTLS
Данный метод проверки подлинности предполагает использование имени пользователя и пароля в качестве учетных данных для проверки подлинности клиента, а сертификат CA — для проверки подлинности сервера. В качестве внутреннего протокола можно выбрать MSCHAPv2 или PAP. TTLS можно использовать одновременно с PEAP. Прежде чем выбирать данный метод проверки подлинности, включите TLS для Удаленного ИП (Задание ключа и сертификата для TLS).
PEAP
Настройки должны быть почти такие же, как и для TTLS. MSCHAPv2 используется в качестве внутреннего протокола. Прежде чем выбирать данный метод проверки подлинности, включите TLS для Удаленного ИП (Задание ключа и сертификата для TLS).
Дополнительные сведения о базовых операциях, которые требуется выполнить при настройке аппарата из Удаленного ИП, см. в разделе Настройка параметров меню с помощью Удаленного ИП.