Этот объект отслеживает конфигурацию сервера шлюза удаленных рабочих столов.
Для успешного подключения удаленных клиентов к внутренним ресурсам сети (компьютерам) через сервер шлюза удаленных рабочих столов этот сервер необходимо правильно настроить. Сервер шлюза удаленных рабочих столов следует настроить с использованием подходящего SSL-сертификата X.509; также следует правильно задать параметры политики авторизации. Политики авторизации подключений удаленных рабочих столов (RD CAP) указывают, кто может подключиться к серверу шлюза удаленных рабочих столов. Политики авторизации ресурсов удаленных рабочих столов (RD RAP) указывают внутренние сетевые ресурсы, к которым клиенты могут подключаться через сервер шлюза удаленных рабочих столов.
Для устранения этой проблемы проверьте код события и ознакомьтесь с соответствующей ему информацией об устранении неполадок, приведенной в дальнейших разделах.
Шаги решения для следующих кодов события: 563, 564, 565
Проверка правильности настройки групп безопасности и групп, управляемых шлюзом удаленных рабочих столов
Для устранения этой неполадки выполните следующие действия.
Убедитесь, что группы безопасности и, если применимо, группы, управляемые шлюзом удаленных рабочих столов, правильно настроены, проверив параметры групп безопасности и групп компьютеров, управляемых шлюзом удаленных рабочих столов, в политике авторизации ресурсов удаленных рабочих столов (RD RAP).
Если проблема сохранится, убедитесь в наличии необходимых разрешений на доступ к файлу rap.xml.
Если проблема сохранится, убедитесь, что для раздела реестра RAPStore задано верное значение и предоставлены необходимые разрешения.
Проверка параметров групп безопасности и групп компьютеров, управляемых шлюзом удаленных рабочих столов, в политике RD RAP
Примечание. Помимо соответствия требованиям политики авторизации ресурсов удаленных рабочих столов пользователи на клиентах должны иметь право локального входа на компьютер, к которому они пытаются подключиться.
Для выполнения данной процедуры необходимо быть членом локальной группы Администраторы либо являться обладателем соответствующих делегированных полномочий.
Для проверки параметров групп безопасности и групп компьютеров, управляемых шлюзом удаленных рабочих столов, в политике RD RAP выполните следующие действия.
1. Откройте диспетчер шлюза удаленных рабочих столов. Чтобы открыть диспетчер шлюза удаленных рабочих столов, нажмите кнопку Пуск, а затем выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер шлюза удаленных рабочих столов.
2. В дереве консоли диспетчера шлюза удаленных рабочих столов выделите узел, представляющий локальный сервер шлюза удаленных рабочих столов, имя которого совпадает с именем компьютера, на котором работает сервер шлюза удаленных рабочих столов.
3. В дереве консоли разверните узел Политики и щелкните пункт Политики авторизации ресурсов.
4. В области результатов в списке политик авторизации ресурсов удаленных рабочих столов щелкните правой кнопкой мыши политику авторизации ресурсов удаленных рабочих столов, которую необходимо проверить, и выберите команду Свойства.
5. На вкладке Сетевой ресурс проверьте, выбран ли параметр Разрешить подключение пользователей к любому сетевому ресурсу. Если он выбран, перейдите к процедуре «Проверка предоставления необходимых разрешений на доступ к файлу rap.xml», описанной далее в этом разделе. Если нет, выполните одно из следующих действий.
6. Если выбран параметр Выбрать существующую группу сетевых ресурсов доменных служб Active Directory, запомните имя группы безопасности, чтобы проверить, имеется ли эта группа безопасности в доменных службах Active Directory или оснастке «Локальные пользователи и компьютеры». Затем проверьте, является ли учетная запись компьютера, к которому пытается подключиться клиент, членом этой группы.
7. Если выбран параметр Выбрать существующую управляемую шлюзом удаленных рабочих столов группу компьютеров или создать новую, убедитесь, что имя управляемой шлюзом удаленных рабочих столов группы компьютеров указано правильно, а также что компьютеры в этой группе существуют и доступны в сети.
8. Нажмите кнопку ОК для закрытия диалогового окна Свойства политики авторизации ресурсов удаленных рабочих столов.
9. Если задана неправильная группа безопасности или управляемая шлюзом удаленных рабочих столов группа компьютеров неправильно настроена, измените параметры имеющейся политики авторизации ресурсов удаленных рабочих столов или создайте новую такую политику. Сведения о создании политики RD RAP см. в разделе «Создание политики авторизации ресурсов удаленных рабочих столов» в справке диспетчера шлюза удаленных рабочих столов в технической библиотеке Windows Server 2008 R2 ( http://technet.microsoft.com/en-us/library/cc772397.aspx).
Для выполнения этих процедур не обязательно быть членом локальной группы Администраторы. Поэтому рекомендуется выполнять эти задачи как пользователь без административных учетных данных.
Проверка существования группы безопасности Active Directory, заданной в политике авторизации ресурсов удаленных рабочих столов, и членства в этой группе учетной записи клиента
Чтобы проверить, существует ли группа безопасности Active Directory, заданная в политике авторизации ресурсов удаленных рабочих столов, выполните следующие действия.
1. На компьютере, где работает оснастка Active Directory - пользователи и компьютеры, нажмите кнопку Пуск, выберите команду Выполнить, введите «dsa.msc» и нажмите кнопку ОК.
2. В дереве консоли разверните узел «Пользователи и компьютеры Active Directory/УзелДомена/», где «УзелДомена» — домен, к которому принадлежит группа безопасности.
3. Щелкните правой кнопкой мыши домен и выберите команду Найти. В диалоговом окне Поиск пользователей, контактов и групп введите имя группы безопасности, заданной в политике авторизации ресурсов удаленных рабочих столов, и нажмите кнопку Начать поиск.
4. Если группа существует, она появится среди результатов поиска.
5. Закройте диалоговое окно Поиск пользователей, контактов и групп.
Чтобы проверить членство учетной записи клиента в этой группе безопасности, выполните следующие действия.
1. На компьютере, где работает оснастка Active Directory - пользователи и компьютеры, нажмите кнопку Пуск, выберите команду Выполнить, введите «dsa.msc» и нажмите кнопку ОК.
2. В дереве консоли разверните узел «Пользователи и компьютеры Active Directory/УзелДомена/Компьютеры», где «УзелДомена» — домен компьютера, к которому пытается подключиться клиент.
3. В области сведений щелкните правой кнопкой мыши имя компьютера и выберите команду Свойства.
4. На вкладке Член групп убедитесь, что одна из указанных в списке групп соответствует одной из групп, заданных в политике авторизации ресурсов удаленных рабочих столов.
Проверка существования локальной группы безопасности, заданной в политике авторизации ресурсов удаленных рабочих столов, и членства в этой группе учетной записи клиента
Чтобы проверить существование локальной группы безопасности, заданной в политике авторизации ресурсов удаленных рабочих столов, и членство в этой группе учетной записи клиента, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов откройте оснастку «Управление компьютером». Чтобы открыть оснастку «Управление компьютером», нажмите кнопку Пуск, а затем выберите пункты Администрирование и Управление компьютером.
2. В дереве консоли разверните узел Локальные пользователи и группы и щелкните пункт Группы.
3. В области результатов найдите локальную группу безопасности, содержащую компьютеры, к которым клиент имеет доступ через сервер шлюза удаленных рабочих столов (имя или описание этой группы должно указывать на то, что она создана для этой цели).
4. Щелкните правой кнопкой мыши имя группы и выберите команду Свойства.
5. На вкладке Общие диалогового окна Свойства группы убедитесь, что учетная запись пользователя является членом этой группы, а сама она принадлежит к числу групп, заданных в политике авторизации подключений удаленных рабочих столов.
6. Нажмите кнопку OK.
Если это не решило проблему, убедитесь, что файлу rap.xml предоставлены верные разрешения.
Проверка наличия необходимых разрешений для файла rap.xml
Для выполнения данной процедуры необходимо быть членом локальной группы Администраторы либо являться обладателем соответствующих делегированных полномочий.
Чтобы проверить наличие необходимых разрешений для файла rap.xml, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов перейдите к файлу «%windir%\System32\tsgateway\rap.xml», где «%windir%» — диск, на котором установлена операционная система Windows.
2. Щелкните правой кнопкой мыши файл rap.xml.
3. В диалоговом окне Свойства rap.xml перейдите на вкладку Безопасность.
4. Нажмите кнопку Изменить и выполните следующие действия.
5. В диалоговом окне Разрешения для группы "rap" в области Группы или пользователи щелкните система. В области Разрешения для группы "система" установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен.
6. В области Группы или пользователи щелкните пункт Администраторы. В области Разрешения для "Администраторы", установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен.
7. В области Группы или пользователи щелкните пункт Пользователи. Если операции Чтение и выполнение и Чтение не разрешены в области Разрешения для "Пользователи", установите флажок Разрешить рядом с этими двумя разрешениями.
8. В области Группы или пользователи щелкните пункт Network Service. Если Чтение не разрешено в области Разрешения для "Network Service", установите флажок Разрешить рядом с пунктом Чтение.
9. Нажмите кнопку OK.
Переименование файла rap.xml и запуск диспетчера шлюза удаленных рабочих столов
Если предоставление необходимых разрешений файлу rap.xml не решает проблему, попробуйте переименовать файл rap.xml в rapbak.xml и затем запустить диспетчер шлюза удаленных рабочих столов. При запуске консоли будет создан новый файл rap.xml.
Чтобы переименовать файл rename rap.xml, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов перейдите к файлу «%windir%\System32\tsgateway\rap.xml», где «%windir%» — диск, на котором установлена операционная система Windows.
2. Щелкните правой кнопкой мыши файл rap.xml, введите rapbak.xml и нажмите клавишу ВВОД.
Примечание. После переименования файла rap.xml и перезапуска диспетчера шлюза удаленных рабочих столов политики RD RAP не появятся при открытии консоли (чтобы убедиться, что политики RD RAP не появляются, откройте диспетчер шлюза удаленных рабочих столов, разверните узел, представляющий сервер шлюза удаленных рабочих столов, разверните узел Политики и щелкните пункт Политики авторизации ресурсов).
Для запуска сервера шлюза удаленных рабочих столов выполните следующие действия.
На сервере шлюза удаленных рабочих столов нажмите кнопку Пуск, а затем выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер шлюза удаленных рабочих столов.
Если проблема сохранится, убедитесь, что для раздела реестра RAPStore задано верное значение и предоставлены необходимые разрешения.
Проверка того, что для раздела реестра RAPStore задано верное значение и предоставлены необходимые разрешения
Для выполнения данной процедуры необходимо быть членом локальной группы «Администраторы» либо являться обладателем соответствующих делегированных полномочий.
Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
Чтобы задать верное значение для раздела реестра RAPStore и предоставить для него необходимые разрешения, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите клавишу ВВОД.
2. Перейдите к подразделу «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core\», щелкните его правой кнопкой мыши и выберите команду Разрешения.
3. В диалоговом окне Разрешения для "Core" в области Группы или пользователи щелкните пункт система. В области Разрешения для группы "система" установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен.
4. В том же диалоговом окне в области Группы или пользователи щелкните Администраторы. В области Разрешения для "Администраторы", установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен, и нажмите кнопку ОК.
5. Щелкните подраздел реестра Core.
6. В области сведений щелкните правой кнопкой мыши пункт RAPStore и выберите команду Изменить.
7. В диалоговом окне Изменение строкового параметра убедитесь, что в поле Значение задано msxml://%SystemRoot%\System32\rap.xml. Если значение иное, измените его на указанное и нажмите кнопку ОК.
Шаги решения для следующих кодов события: 2002
Проверьте, связаны ли параметры с локальными группами безопасности на другом сервере шлюза удаленных рабочих столов
Для устранения этой проблемы убедитесь, что параметры, импортируемые на сервер шлюза удаленных рабочих столов, не связаны с локальными группами безопасности на сервере шлюза удаленных рабочих столов, с которого импортируются эти параметры. Если параметры не связаны с локальными группами безопасности на сервере шлюза удаленных рабочих столов, с которого они импортируются, попробуйте экспортировать и затем снова импортировать файл, содержащий эти параметры.
При экспорте политик с сервера шлюза удаленных рабочих столов, содержащего ссылку на локальные группы безопасности (группы пользователей или компьютеров в оснастке «Локальные пользователи и компьютеры»), определенные на этом сервере, импортировать эти параметры на другой сервер шлюза удаленных рабочих столов не удастся, поскольку локальные группы безопасности могут не существовать на сервере шлюза удаленных рабочих столов, куда импортируются параметры. Например, если экспортировать параметры с сервера шлюза удаленных рабочих столов 1 и затем попытаться импортировать их на сервер шлюза удаленных рабочих столов 2, то в случае, если эти параметры связаны с локальными группами безопасности на сервере шлюза удаленных рабочих столов 1, попытка их импорта завершится неудачей.
Для выполнения данных процедур необходимо быть членом локальной группы Администраторы либо являться обладателем соответствующих делегированных полномочий.
Проверка того, связаны ли параметры политики сервера шлюза удаленных рабочих столов с локальными группами пользователей или компьютеров на другом сервере шлюза удаленных рабочих столов
Чтобы проверить, связаны ли параметры политики сервера шлюза удаленных рабочих столов с локальными группами пользователей или компьютеров на другом сервере шлюза удаленных рабочих столов, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов, откуда экспортируются параметры политики и конфигурации, откройте диспетчер шлюза удаленных рабочих столов. Чтобы открыть диспетчер шлюза удаленных рабочих столов, нажмите кнопку Пуск, а затем выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер шлюза удаленных рабочих столов.
2. В дереве консоли диспетчера шлюза удаленных рабочих столов выделите узел, представляющий локальный сервер шлюза удаленных рабочих столов, имя которого совпадает с именем компьютера, на котором работает сервер шлюза удаленных рабочих столов.
3. В дереве консоли разверните узел Политики и щелкните Политики авторизации подключений.
4. В области результатов в списке политики авторизации подключений удаленных рабочих столов для каждой политики авторизации подключений удаленных рабочих столов проверьте локальные группы безопасности. Для этого проверьте на вкладке Требования следующее.
5. Проверьте, отображается ли локальная группа пользователей в разделе Членство в группе пользователей (обязательно). Если это так, параметры политики и конфигурации невозможно импортировать на другой сервер шлюза удаленных рабочих столов.
6. Проверьте, отображается ли локальная группа компьютеров в разделе Членство в группе клиентских компьютеров (необязательно). Если это так, параметры политики и конфигурации невозможно импортировать на другой сервер шлюза удаленных рабочих столов.
7. В дереве консоли разверните узел Политики и щелкните пункт Политики авторизации ресурсов.
8. В области результатов в списке политики авторизации ресурсов удаленных рабочих столов для каждой политики авторизации ресурсов удаленных рабочих столов проверьте локальные группы безопасности. Для этого проверьте следующее.
9. На вкладке Группы пользователей проверьте, отображается ли локальная группа пользователей в разделе Группы пользователей. Если это так, параметры политики и конфигурации невозможно импортировать на другой сервер шлюза удаленных рабочих столов.
10. На вкладке Группа компьютеров проверьте, отображается ли локальная группа компьютеров. Если это так, параметры политики и конфигурации невозможно импортировать на другой сервер шлюза удаленных рабочих столов.
Если никакие группы пользователей, связанные с политиками авторизации подключений или политиками авторизации ресурсов удаленных рабочих столов не являются локальными группами пользователей или компьютеров, попытайтесь экспортировать параметры с данного сервера шлюза удаленных рабочих столов и затем импортировать их на другой сервер шлюза удаленных рабочих столов. В таком случае может оказаться, что XML-файл с параметрами политики, экспортированный с другого сервера шлюза удаленных рабочих столов, поврежден. Повторный экспорт и последующий импорт файла, содержащего эти параметры, может помочь решить проблему.
Экспорт параметров с локального сервера шлюза удаленных рабочих столов и последующий их импорт на другой сервер шлюза удаленных рабочих столов
Внимание! Импорт параметров политики на сервер шлюза удаленных рабочих столов приведет к переопределению существующих на этом сервере параметров политики. Если нужно сохранить параметры политики, имеющиеся на сервере шлюза удаленных рабочих столов, рекомендуется создать резервную копию этих параметров, прежде чем пытаться импортировать на сервер новые параметры политики.
Для экспорта параметров с локального сервера шлюза удаленных рабочих столов и последующего их импорта на другой сервер шлюза удаленных рабочих столов выполните следующие действия.
1. Откройте диспетчер шлюза удаленных рабочих столов. Чтобы открыть диспетчер шлюза удаленных рабочих столов, нажмите кнопку Пуск, а затем выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер шлюза удаленных рабочих столов.
2. В дереве консоли диспетчера шлюза удаленных рабочих столов щелкните правой кнопкой мыши локальный сервер шлюза удаленных рабочих столов, имя которого совпадает с именем компьютера, на котором работает сервер шлюза удаленных рабочих столов, и выберите команду Экспорт параметров политики и конфигурации.
3. Укажите имя и расположение файла, а затем нажмите кнопку ОК.
4. Появится сообщение об успешном экспорте параметров в заданное расположение.
5. Нажмите кнопку OK.
6. Закройте диспетчер шлюза удаленных рабочих столов.
7. На целевом сервере шлюза удаленных рабочих столов (куда требуется импортировать параметры) откройте диспетчер шлюза удаленных рабочих столов.
8. В дереве консоли диспетчера шлюза удаленных рабочих столов щелкните правой кнопкой мыши локальный сервер шлюза удаленных рабочих столов и выберите команду Импорт параметров политики и конфигурации.
9. В диалоговом окне Импорт параметров политики и конфигурации укажите файл, который следует импортировать, и нажмите кнопку ОК.
10. Появится сообщение о том, что импорт этого файла приведет к переопределению существующих параметров политики и конфигурации для сервера шлюза удаленных рабочих столов. Чтобы продолжить, нажмите кнопку Да и перейдите к шагу 11. Для отмены процедуры нажмите кнопку Нет.
11. По завершении операции импорта появится сообщение об успешном импорте параметров на локальный сервер шлюза удаленных рабочих столов из указанного расположения.
12. Нажмите кнопку OK.
Шаги решения для следующих кодов события: 509, 517, 515
Убедитесь, что разделу реестра Core предоставлены необходимые разрешения.
Для устранения этой проблемы убедитесь, что разделу реестра Core предоставлены необходимые разрешения.
Для выполнения данной процедуры необходимо быть членом локальной группы Администраторы либо являться обладателем соответствующих делегированных полномочий.
Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
Чтобы предоставить необходимые разрешения разделу реестра Core, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите клавишу ВВОД.
2. Перейдите к подразделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core, щелкните его правой кнопкой мыши и выберите команду Разрешения.
3. В диалоговом окне Разрешения для "Core" в области Группы или пользователи щелкните пункт система. В области Разрешения для группы "система" установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен.
4. В том же диалоговом окне в области Группы или пользователи щелкните Администраторы. В области Разрешения для "Администраторы", установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен.
5. Нажмите кнопку OK.
Шаги решения для следующих кодов события: 628
Ручная отмена исключения фермы серверов шлюзов удаленных рабочих столов в брандмауэре Windows
Для устранения этой проблемы вручную отмените исключение «Ферма серверов шлюзов удаленных рабочих столов» в брандмауэре Windows. Это исключение можно настроить, используя брандмауэр Windows в панели управления, или с помощью групповой политики.
Примечание. Для обеспечения оптимальной безопасности исключение «Ферма серверов шлюзов удаленных рабочих столов» следует отключить на всех серверах шлюзов удаленных рабочих столов, не входящих в состав фермы серверов шлюзов удаленных рабочих столов.
Отмена исключения «Ферма серверов шлюзов удаленных рабочих столов» с использованием брандмауэра Windows в панели управления
Для выполнения данной процедуры необходимо быть членом локальной группы Администраторы либо являться обладателем соответствующих делегированных полномочий.
Для отмены исключения «Ферма серверов шлюзов удаленных рабочих столов» с использованием брандмауэра Windows в панели управления выполните следующие действия.
1. Откройте брандмауэр Windows. Чтобы открыть брандмауэр Windows, нажмите кнопку Пуск, выберите команду Панель управления, затем дважды щелкните значок Брандмауэр Windows.
2. В окне Брандмауэр Windows щелкните Изменить параметры.
3. На вкладке Исключения отмените исключение «Ферма серверов шлюзов удаленных рабочих столов», сняв флажок Ферма серверов шлюзов удаленных рабочих столов. Если этот флажок недоступен, то для управления данным исключением применена групповая политика. Чтобы изменить групповую политику для отмены этого исключения, обратитесь к подразделу «Отмена исключения "Ферма серверов шлюзов удаленных рабочих столов" с использованием групповой политики» далее в этом разделе.
4. Нажмите кнопку OK.
5. Закройте брандмауэр Windows.
Отмена исключения «Ферма серверов шлюзов удаленных рабочих столов» с использованием групповой политики
Для изменения параметров групповой политики для домена или подразделения необходимо войти в систему как член группы Администраторы домена, Администраторы предприятия или Владельцы-создатели групповой политики либо быть обладателем соответственных делегированных полномочий на управление групповой политикой.
Для отмены исключения «Ферма серверов шлюзов удаленных рабочих столов» с использованием групповой политики выполните следующие действия.
1. На том компьютере, где работает консоль управления групповыми политиками, запустите эту консоль. Для этого нажмите кнопку Пуск, выберите команду Администрирование, а затем — Управление групповыми политиками.
2. В области слева найдите подразделение, которое требуется изменить.
3. Для изменения имеющегося объекта групповой политики для подразделения разверните это подразделение и щелкните объект групповой политики.
4. В области справа перейдите на вкладку Параметры.
5. В области слева в разделе Конфигурация компьютера последовательно разверните узлы Параметры Windows, Параметры безопасности, Брандмауэр Windows в режиме повышенной безопасности, Брандмауэр Windows в режиме повышенной безопасности и щелкните пункт Правила для входящих подключений.
6. Поочередно щелкните правой кнопкой мыши все следующие правила («TCP-In», «RPC-EPMAP» и «Служба балансировки нагрузки RPC/HTTP»), выбирая команду Отключить правило.
7. Закройте консоль управления групповыми политиками.
8. Убедитесь, что обновление групповой политики применено, выполнив команду gpupdate /force. Чтобы выполнить команду gpupdate /force, нажмите кнопку Пуск выберите команду Выполнить, введите cmd и нажмите клавишу ВВОД. В командной строке введите команду gpupdate /force и нажмите клавишу ВВОД.
Шаги решения для следующих кодов события: 2004
Убедитесь, что разделу реестра Core предоставлены необходимые разрешения, и при необходимости удалите и заново создайте политики авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов
Для устранения этой проблемы убедитесь, что разделу реестра Core предоставлены необходимые разрешения. Если проблема сохранится, может потребоваться удалить и создать заново политики авторизации подключений и ресурсов удаленных рабочих столов на сервере шлюза удаленных рабочих столов.
Для выполнения данных процедур необходимо быть членом локальной группы Администраторы либо являться обладателем соответствующих делегированных полномочий.
Предоставление необходимых разрешений разделу реестра Core
Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
Чтобы предоставить необходимые разрешения разделу реестра Core, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите клавишу ВВОД.
2. Перейдите к подразделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core, щелкните его правой кнопкой мыши и выберите команду Разрешения.
3. В диалоговом окне Разрешения для "Core" в области Группы или пользователи щелкните пункт система. В области Разрешения для группы "система" установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен.
4. В том же диалоговом окне в области Группы или пользователи щелкните Администраторы. В области Разрешения для "Администраторы", установите флажок Разрешить возле пункта Полный доступ, если Полный доступ не разрешен.
5. Нажмите кнопку OK.
6. Снова попытайтесь экспортировать параметры политики и конфигурации.
7. Если операция экспорта будет выполнена успешно, остальные шаги по устранению проблемы, описанные в этом разделе, не требуются.
Если предоставление необходимых разрешений разделу реестра Core не решает проблему, попробуйте удалить и снова создать политики авторизации ресурсов и подключений удаленных рабочих столов на сервере шлюза удаленных рабочих столов.
Удаление и повторное создание политик авторизации ресурсов удаленных рабочих столов на сервере шлюза удаленных рабочих столов
Примечание. После переименования файла rap.xml и перезапуска диспетчера шлюза удаленных рабочих столов политики авторизации ресурсов удаленных рабочих столов не появятся, поэтому нужно будет заново настроить параметры политики авторизации ресурсов удаленных рабочих столов.
Чтобы создать резервную копию файла rap.xml, удалить его и затем открыть консоль диспетчера шлюза удаленных рабочих столов, выполните следующие действия.
1. Перейдите в каталог «%windir%\System32\tsgateway\rap.xml», где «%windir%» — это папка, где установлена операционная система Windows.
2. Сохраните резервную копию файла rap.xml, переименовав его в rapbak.xml.
3. Удалите файл rap.xml.
4. Откройте диспетчер шлюза удаленных рабочих столов. Чтобы открыть диспетчер шлюза удаленных рабочих столов, нажмите кнопку Пуск, а затем выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер шлюза удаленных рабочих столов.
5. Настройте заново параметры политики авторизации ресурсов удаленных рабочих столов требуемым образом.
6. Снова попытайтесь экспортировать параметры политики и конфигурации.
Удаление и повторное создание политик авторизации подключений удаленных рабочих столов на сервере шлюза удаленных рабочих столов
Если резервное копирование и удаление текущей копии файла Rap.xml и воссоздание параметров политики авторизации ресурсов удаленных рабочих столов не решило проблему, попробуйте переименовать файл IAS.xml в IASbak.xml и снова запустить диспетчер шлюза удаленных рабочих столов. При открытии консоли будет создан новый файл IAS.xml.
Примечание.После переименования файла IAS.xml и перезапуска диспетчера шлюза удаленных рабочих столов политики авторизации подключений удаленных рабочих столов не появятся, поэтому нужно будет заново настроить параметры политики авторизации подключений удаленных рабочих столов.
Чтобы создать резервную копию файла IAS.xml, удалить его и затем открыть диспетчер шлюза удаленных рабочих столов, выполните следующие действия.
1. Перейдите в каталог «%windir%\System32\ias\ias.xml», где «%windir%» — это папка, где установлена операционная система Windows.
2. Сохраните резервную копию файла IAS.xml, переименовав его в IASbak.xml.
3. Удалите файл IAS.xml.
4. Откройте диспетчер шлюза удаленных рабочих столов. Чтобы открыть диспетчер шлюза удаленных рабочих столов, нажмите кнопку Пуск, а затем выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер шлюза удаленных рабочих столов.
5. Настройте заново параметры политики авторизации подключений удаленных рабочих столов требуемым образом.
6. Снова попытайтесь экспортировать параметры политики и конфигурации.
Шаги решения для следующих кодов события: 507, 505
Убедитесь, что разделу реестра LogEvents предоставлены необходимые разрешения и что запущена служба удаленного реестра
Для устранения этой проблемы убедитесь, что разделу реестра LogEvents предоставлены верные разрешения. если это не решит проблему, убедитесь, что служба удаленного реестра выполняется.
Для выполнения данных процедур необходимо быть членом локальной группы Администраторы либо являться обладателем соответствующих делегированных полномочий.
Предоставление необходимых разрешений разделу реестра LogEvents
Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
Чтобы предоставить необходимые разрешения разделу реестра LogEvents, выполните следующие действия.
1. На сервере шлюза удаленных рабочих столов нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите клавишу ВВОД.
2. Перейдите к подразделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core\LogEvents, щелкните его правой кнопкой мыши и выберите команду Разрешения.
3. В диалоговом окне Разрешения для "LogEvents" в области Группы или пользователи щелкните Element properties:
Target Microsoft.Windows.Server.2008R2.RemoteDesktopServicesRole.Service.RDGateway Parent Monitor System.Health.ConfigurationState Category Custom Enabled True Alert Generate True Alert Severity MatchMonitorHealth Alert Priority Normal Alert Auto Resolve True Monitor Type Microsoft.Windows.2SingleEventLogManualReset3StateMonitorType Remotable True Accessibility Public Alert Message Предупреждение конфигурации сервера шлюза удаленных рабочих столов ИД события: {0} -- Описание: {1} RunAs Default Source Code:
<UnitMonitor ID="Microsoft.Windows.Server.RemoteDesktopServices.2008R2.NewUnitMonitor_7" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.Server.2008R2.RemoteDesktopServicesRole.Service.RDGateway" ParentMonitorID="SystemHealth!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLogManualReset3StateMonitorType" ConfirmDelivery="true">
<Category>Custom</Category>
<AlertSettings AlertMessage="Microsoft.Windows.Server.RemoteDesktopServices.2008R2.NewUnitMonitor_7_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDisplayNumber$</AlertParameter1>
<AlertParameter2>$Data/Context/EventDescription$</AlertParameter2>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="UIGeneratedOpStateIdcd71a3bf13bd4c028a651cd3b3b1072a" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
<OperationalState ID="UIGeneratedOpStateId605bfb045a154b08be3363dae67413be" MonitorTypeStateID="SecondEventRaised" HealthState="Warning"/>
<OperationalState ID="UIGeneratedOpStateId174997ff5ffb4977a7c103ea8069f74d" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>Microsoft-Windows-TerminalServices-Gateway/Admin</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">Channel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-TerminalServices-Gateway/Admin</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">505</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">507</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">509</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">511</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">513</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">515</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">517</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">518</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">519</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">523</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">524</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">530</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">532</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">628</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">526</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">528</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">525</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">543</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">544</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">545</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">563</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">564</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">565</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">583</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">584</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">585</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">622</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">623</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">624</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">627</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">630</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">701</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">702</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">2002</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">2004</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">3001</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>Microsoft-Windows-TerminalServices-Gateway/Operational</SecondLogName>
<SecondExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">Channel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-TerminalServices-Gateway/Operational</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<Or>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">402</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">404</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">103</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">102</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</Or>
</Expression>
</And>
</SecondExpression>
</Configuration>
</UnitMonitor>
Home
RUS