Ich habe rdesktopv1.9.0. Ich versuche, eine Verbindung zum Remote-Win10-Host herzustellen.
rdesktopDer Vorgang wird mit folgendem Fehler abgebrochen:
rdesktop -v -x -z -E -d domain -u user user.domain.com
Autoselecting keyboard map 'en-us' from locale
is_wm_active(): WM name: awes
Connecting to server using NLA...
Core(warning): Certificate received from server is NOT trusted by this system, an exception has been added by the user to trust this specific certificate.
TLS Session info: (TLS1.2)-(ECDHE-X25519)-(RSA-SHA256)-(AES-256-GCM)
Failed to initialize NLA, do you have correct Kerberos TGT initialized ?
Failed to connect using NLA, trying with SSL
Failed to connect, CredSSP required by server (check if server has disabled old TLS versions, if yes use -V option).
Die Verbindung verläuft durch einen verschlüsselten VPN-Tunnel. Der Remote-Host ist definitiv verfügbar und ich bin absolut sicher, dass das Remote-Zertifikat vertrauenswürdig ist (aber möglicherweise abgelaufen ist).
Ich kann mithilfe der Windows-Remotedesktopanwendung eine Verbindung zu derselben Maschine herstellen (mir wird dieselbe Warnung angezeigt, aber ich habe die Option, das Zertifikatsproblem zu ignorieren und die Verbindung fortzusetzen).
Ich habe man rdesktopein paar Mal gelesen und verschiedene Optionen in Bezug auf Verschlüsselung und Zertifikate ausprobiert (z. B. -E), nichts scheint zu helfen. Auch die Internetsuche hilft nicht.
Wie erzwinge ich, rdesktopdass dem Remote-Zertifikat vertraut wird, und halte die Verbindung zum Remote-Host aufrecht?
Antwort1
Nein, rdesktop bricht aus Gründen ab, dienichts zu tunmit dem Zertifikat. (Es merkt sich einzelne Zertifikate und „vertraut“ ihnen, wie es andere Clients tun, und Ihre Ausgabe besagt, dass bereits eine Ausnahme hinzugefügt wurde.)
Das Problem hierbei ist, dass rdesktop NLA (CredSSP) nicht vollständig unterstützt – es unterstützt nicht den NTLM-Authentifizierungsmechanismus, der für passwortbasierte Anmeldungen erforderlich ist, und kann Sie daher vor der Verbindung nicht zur Eingabe von Anmeldeinformationen auffordern, wie dies bei Windows MSTSC der Fall ist. (Und seine Kerberos-Unterstützung ist ebenfalls etwas fehlerhaft.)
Mit anderen Worten: rdesktop funktioniert nur mit dem älteren XP/2003-Anmeldevorgang, bei dem Sie zuerst eine Verbindung herstellen und anschließend den Anmeldebildschirm des Servers sehen. FreeRDP ist ein besser geeigneter Client für die Verbindung mit modernen Hosts (Windows 7/8/10):
xfreerdp /bpp:32 /gfx +aero +fonts /d:domain /u:user /v:user.domain.com [/cert-...]
Mit FreeRDP können Sie die Option hinzufügen, /cert-tofudie Zertifikatsprüfung „Vertrauen bei der ersten Verbindung“ (wie in MSTSC) zu implementieren, oder Sie können /cert-ignoredie Zertifikatsprüfung vollständig deaktivieren.
Wenn dumussWenn Sie rdesktop verwenden, müssen Sie die NLA-Anforderung („Network Level Authentication“) auf dem Windows 10-Host deaktivieren – obwohl dies aufgrund der viel größeren Angriffsfläche im Allgemeinen nicht empfohlen wird.