问题
在Windows 2019上使用远程桌面远程到 Windows 2008 服务器时遇到“发生身份验证错误。(代码:0x80004005)”。在Windows 2008上使用远程桌面远程到 Windows 2019 服务器时也是一样。
环境
服务器 Windows 2019
目标服务器 Windows 2008 r2
原因
2019和2008服务器不支持相同级别的加密。
在2019 加固过程中,会禁用低于 TLS 1.2 的加密。但是某些操作系统(例如 Windows 2008)默认不支持 TLS 1.2,因此在握手过程中连接失败。
解决问题
方法 1:在 2019 服务器上使用iis工具直接修改启用 TLS 1.0
IISCrypto工具
官方网站地址:https://www.nartac.com/Products/IISCrypto/
下载地址:https://www.nartac.com/Products/IISCrypto/Download
下载地址:window服务器禁用默认的ssl2.0和ssl3.0只启用启用tls1.2保证安全IISCrypto.zip
安装好之后,启用client中的tls1.0,这样就能从2019远程2008,并且不需要重启电脑,漏扫也能通过(因为service中的tls1.0没有打开,不影响漏扫)
方法2,在2008上使用iis工具直接修改启用 TLS 1.2
安装好IISCrypto工具后,启用client中的tls1.2,这样就能从2008远程2019,也不需要重启电脑,漏扫也能通过。
方法3,在2008上使用iis工具直接修改启用slient的 TLS 1.2和service的 TLS 1.2
如果允许重启电脑的话,就在2008安装好IISCrypto工具后,启用client和service中的tls1.2,然后重启电脑生效。
iis工具界面如下图:
方法4:以下方法通过注册表的方式(不推荐使用)
- 转到注册表编辑器
- HKLM SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols
- 在服务器和客户端子项中将 DisabledByDefault 设置为 0 并启用为 1
- 退出注册表并重新启动您的服务器
方法5:在目标 Windows 服务器(2008)上启用 TLS 1.2。
- 请确保 Windows server 2008R2、2012 或 Windows 7 已打补丁 kb3140245
- 打开注册表编辑器 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols
- 右键单击右侧窗格中的空白区域侧并选择 New > Key
- 将新密钥命名为 TLS 1.2
- 再次右键单击右侧的空白区域并添加两个名为 Client 和 Server 的新密钥
- 选择 Client 密钥,在右侧单击鼠标右键,然后选择 New -> DWORd (32-bit) Value
将 DWORD DisabledByDefault 命名为 DisabledByDefault,右键单击它,然后选择 Modify。基数应设置为十六进制,并将值设置为 0: - 创建一个名为 Enabled 的新 DWORD。基数应设置为十六进制,值设置为 1
- 对 Server 键重复该过程,创建具有相同值的相同 DWORDS
- 退出注册表并重新启动服务器
