Per risolvere questo problema, controllare le impostazioni di crittografia e autenticazione nel server terminal per assicurarsi che siano compatibili e appropriati per i requisiti di protezione e il livello di protezione supportato dai computer client.
Nota: per determinare il livello massimo di crittografia supportato dalla versione di Connessione desktop remoto in esecuzione nel computer, avviare Connessione desktop remoto, fare clic sull'icona nell'angolo superiore sinistro della finestra di dialogo Connessione desktop remoto, quindi scegliere Informazioni su. Cercare la frase "Massimo livello di crittografia" nella finestra di dialogo Informazioni su Connessione desktop remoto. Connessione desktop remoto 5.2 e le versioni successive supportano la crittografia a 128 bit.
Per eseguire queste procedure, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Configurare le impostazioni di autenticazione e crittografia del server per una connessione tramite Configurazione Servizi terminal
Tenere presente che alcune impostazioni di autenticazione e crittografia non sono compatibili. Se ad esempio si seleziona il livello di protezione SSL (TLS 1.0) e un livello di crittografia Basso e si tenta di applicare queste impostazioni, verrà visualizzato un messaggio di errore. Nel messaggio di errore verrà segnalato che il livello di crittografia è troppo basso per il livello di protezione in uso.
Per configurare le impostazioni di autenticazione e crittografia del server per una connessione tramite Configurazione Servizi terminal:
Aprire Configurazione Servizi terminal. Per aprire Configurazione Servizi terminal, fare clic sul pulsante Start, scegliere Strumenti di amministrazione, Servizi terminal, quindi fare clic su Configurazione Servizi terminal.
In Connessioni fare clic con il pulsante destro del mouse sulla connessione (ad esempio RDP-tcp), quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà per la connessione, fare clic sulla scheda Generale.
Selezionare le impostazioni di crittografia e autenticazione appropriate per l'ambiente in uso, in base ai requisiti di protezione e al livello di protezione supportato dai computer client.
Se si seleziona SSL (TLS 1.0), selezionare un certificato installato nel server terminal o fare clic su Predefinito per generare un certificato autofirmato. Per selezionare un certificato installato nel server terminal, fare clic su Seleziona e nella finestra di dialogo Selezione Certificato , selezionare il certificato che si desidera utilizzare, quindi scegliere OK.
Se si utilizza un certificato autofirmato, il nome del certificato verrà visualizzato come Generato automaticamente.
Scegliere OK.
Configurare le impostazioni di autenticazione e crittografia del server per una connessione tramite Criteri di gruppo
È inoltre possibile configurare le impostazioni di autenticazione e crittografia del server applicando le impostazioni di Criteri di gruppo seguenti:
Imposta livello di crittografia connessione client
Richiedi l'utilizzo di un livello di protezione specificato per le connessioni remote (RDP)
Modello di certificato di autenticazione Server
Richiedi autenticazione utente per le connessioni remote tramite Autenticazione a livello di rete
Queste impostazioni di Criteri di gruppo si trovano in Configurazione computer\Modelli amministrativi\Componenti di Windows\Servizi terminal\Terminal Server\Protezione e possono essere configurate tramite l'Editor Criteri di gruppo locali o la Console Gestione Criteri di gruppo. Si noti che queste impostazioni di Criteri di gruppo hanno la precedenza sulle impostazioni configurate in Configurazione Servizi terminal, fatta eccezione per l'impostazione di Criteri di gruppo Modello di certificato di autenticazione Server.
Per ulteriori informazioni sulla configurazione delle impostazioni di Criteri di gruppo, vedere la Guida dell'Editor Criteri di gruppo locali all'indirizzo http://go.microsoft.com/fwlink/?LinkId=101633 oppure la Guida della Console Gestione Criteri di gruppo all'indirizzo http://go.microsoft.com/fwlink/?LinkId=101634 nella Raccolta di documentazione tecnica su Windows Server 2008 (le informazioni potrebbero essere in lingua inglese).
È possibile configurare il server terminal per l'utilizzo del livello di crittografia compatibile con FIPS applicando l'impostazione di Criteri di gruppo Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma. Questa impostazione di Criteri di gruppo si trova in Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni di protezione e possono essere configurate tramite l'Editor Criteri di gruppo locali o la Console Gestione Criteri di gruppo. Si noti che questa impostazione di Criteri di gruppo ha la precedenza sull'impostazione selezionata in Configurazione di Servizi terminal e sull'impostazione di Criteri di gruppo Imposta livello di crittografia connessione client.
Target | Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 1050 | ||
Event Source | Microsoft-Windows-TerminalServices-RemoteConnectionManager | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1050" Enabled="onStandardMonitoring" Target="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">1050</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-TerminalServices-RemoteConnectionManager</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertName/>
<AlertDescription/>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1050.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>