Remoteunterstützungsverbindung mit Windows Server mit FIPS-Verschlüsselung funktioniert nicht
Dieser Artikel enthält Problemumgehungen für ein Problem, bei dem die Remoteunterstützungsverbindung mit einem Windows Server-basierten Server mit FIPS-Verschlüsselung nicht funktioniert.
Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 811770
Symptome
Microsoft hat die Einstellung FIPS-konform zu den Optionen für Verschlüsselungsstufen der Terminaldienste in Windows Server hinzugefügt. Ein Windows Server-basierter Server, auf dem die Verschlüsselungsebene auf FIPS-kompatibel festgelegt ist, kann keine Remoteunterstützungsverbindungen von einem Computer zulassen, auf dem Windows 10 ausgeführt wird.
Wenn Sie versuchen, eine Verbindung von einem Windows 10-basierten Client mit einem Terminaldiensteserver herzustellen, ist die Verbindung möglicherweise nicht erfolgreich, und Sie erhalten möglicherweise die folgende Fehlermeldung:
Aufgrund eines Sicherheitsfehlers konnte der Client keine Verbindung mit dem Terminalserver herstellen. Wenn Sie genau wissen, dass Sie am Netzwerk angemeldet sind, versuchen Sie erneut, eine Verbindung mit dem Server herzustellen.
Ursache
Dieses Problem tritt auf, weil ein Windows 10-basierter Computer keine Remoteunterstützungsverbindung zu einem Windows Server-basierten Computer bereitstellen kann, der für die FIPS-kompatible Verschlüsselung konfiguriert ist.
Lösung
Installieren Sie Remotedesktopverbindung 6.0, um dieses Problem zu beheben. Weitere Informationen zur Remotedesktopverbindung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
925876 Remotedesktopverbindung (Terminaldiensteclient 6.0)
Problemumgehung
Die Remotedesktopverbindung (Terminaldiensteclient 6.0) kann auf Clientcomputern installiert werden, auf denen Windows 10 ausgeführt wird.
Um dieses Problem in Windows 10 zu umgehen, deaktivieren Sie die FIPS-Verschlüsselungsebene. Um die FIPS-Verschlüsselungsebene zu deaktivieren, können Sie die Einstellung Verschlüsselungsebene im Dialogfeld RDP-Tcp-Eigenschaften ändern, oder Sie können die Gruppenrichtlinie Object verwenden, um die FIPS-Datenverschlüsselung systemweit zu deaktivieren. Verwenden Sie eine der folgenden Methoden, um die FIPS-Verschlüsselungsebene zu deaktivieren.
Hinweis
Es gibt zwei Möglichkeiten, die FIPS-Verschlüsselungsebene zu aktivieren. Wenn Sie die FIPS-Verschlüsselungsebene für Terminaldienste deaktivieren müssen, müssen Sie dazu dieselbe Methode verwenden, die Sie ursprünglich zum Aktivieren der FIPS-Verschlüsselungsebene verwendet haben.
Methode 1
Führen Sie die folgenden Schritte aus, um die FIPS-Verschlüsselungsebene durch Ändern der Einstellung Verschlüsselungsebene im Dialogfeld RDP-Tcp-Eigenschaften zu deaktivieren:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie tscc.msc in das Feld Öffnen ein, und klicken Sie dann auf OK.
Klicken Sie auf Connections, und doppelklicken Sie dann im rechten Bereich auf RDP-Tcp.
Klicken Sie im Feld Verschlüsselungsstufe , um eine andere Verschlüsselungsebene als FIPS-konform auszuwählen.
Hinweis
Wenn die Einstellung Verschlüsselungsebene deaktiviert ist, wenn Sie versuchen, sie zu ändern, wurde die systemweite Einstellung für Systemkryptografie: Fips-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden aktiviert, und Sie müssen diese systemweite Einstellung mithilfe von Methode 2 deaktivieren.
Methode 2
Führen Sie die folgenden Schritte aus, um das Gruppenrichtlinie-Objekt zum systemweiten Deaktivieren der FIPS-Datenverschlüsselung zu verwenden:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc in das Feld Öffnen ein, und klicken Sie dann auf OK.
Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, Erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
Doppelklicken Sie im rechten Bereich auf Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signatur verwenden, klicken Sie auf Deaktivieren, und klicken Sie dann auf OK.
Hinweis
Die Einstellungen der Verschlüsselungsebene im Terminalserver sind nicht verfügbar, wenn FIPS aktiviert ist.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.
Weitere Informationen
Die Einstellung FIPS-Konform erfordert, dass alle Daten zwischen dem Client und dem Server mithilfe von Verschlüsselungsmethoden verschlüsselt werden, die durch den Federal Information Processing Standard 140-1 überprüft werden. Wenn ein Windows 10-basierter Client versucht, eine Verbindung mit einem Windows Server-basierten Computer herzustellen, der FIPS-kompatible Verschlüsselung erfordert, treten die folgenden Fehler auf:
Auf dem Client erhalten Sie die folgende Fehlermeldung von der Remoteunterstützung:
Es konnte keine Remoteunterstützungsverbindung hergestellt werden. Möglicherweise möchten Sie nach Netzwerkproblemen suchen oder feststellen, ob die Einladung abgelaufen ist oder von der Person, die sie gesendet hat, abgebrochen wurde.
Der folgende Fehler wird im Systemprotokoll auf dem Server protokolliert:
Ereignis-ID: 50
Quelle: TermDD
Typ: Fehler
Beschreibung: Die RDP-Protokollkomponente "DATA ENCRYPTION" hat einen Fehler im Protokolldatenstrom erkannt und den Client getrennt.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für