none
LSA (LsaSrv) 6041 RRS feed

  • Общие обсуждения

  • Имеется сервер шлюза доступа к удаленным виртуальным столам. Работает под управлением Windows Server 2012.

    На сервере постоянно регистрируется ошибка.

    Источник: LSA (LsaSrv)

    ID: 6041

    Во время проверки подлинности с использованием CredSSP на TERMSRV/vm-filippov1.moscow.smt.com не удалось согласовать общую версию протокола. Удаленный узел предложил версию 3, которую не разрешается использовать согласно политике "Исправление уязвимости шифрующего оракула".

    Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?linkid=866660.

    В статье по приведенной ссылке расположена статья CredSSP обновления для CVT-2018-0886, в которой рассказывается об изменениях в протоколе RDP.

    На сервере шлюза установлены все последние обновления безопасности и критические, в том числе и те, что указаны в статье.

    Что еще необходимо сделать, чтобы ошибка не появлялась?

    17 сентября 2018 г. 9:31

Все ответы


  • На сервере шлюза установлены все последние обновления безопасности и критические, в том числе и те, что указаны в статье.

    Что еще необходимо сделать, чтобы ошибка не появлялась?

    Возможно поставить соответсвующее обновления на клиенты.
    17 сентября 2018 г. 10:02
    Модератор
  • ... или в групповых политиках для клиентов внести ключик реестра

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters]
    "AllowEncryptionOracle"=dword:00000002

    17 сентября 2018 г. 10:53
  • Клиентские компьютера - это домашние компьютеры. На них они из дома могут подключаться к виртуальным рабочим столам на работе. Так что принудить пользователей установить все критические обновления затруднительно.

    По этой же причине не могу и групповую политику на эти компьютеры распространить.

    20 сентября 2018 г. 15:09
  • Клиентские компьютера - это домашние компьютеры. На них они из дома могут подключаться к виртуальным рабочим столам на работе. Так что принудить пользователей установить все критические обновления затруднительно.

    Другого выхода нет. Как минимум, создайте reg файл, и отправьте пользователям. Они в одни клик и перезагрузку всё настроят сами.
    20 сентября 2018 г. 16:06
    Модератор
  • Интересно, что не смотря на регистрацию ошибки, пользователи все-таки подключаются к своим удаленным рабочим столам. Разве сообщение не говорит о невозможности такого подключения?

    Для этого достаточно изменить локальную политику на клиенте, с которого происходит подключение.

    Однако, я встретился с такой проблемой. На клиенте и на системе, к которой происходит подключение RDP установлены все исправления безопасности. Однако клиент подключиться не может. В журнале событий клиента регистрируется ошибка LSA (LsaSrv) с ID 6041.

    Попытка вручную установить обновления из статьи https://go.microsoft.com/fwlink/?linkid=866660 неуспешна. Выдается ошибка: Обновление неприменимо к вашему компьютеру.

    Так как привести системы к безопасному состоянию?

    • Изменено MikAndr 4 октября 2018 г. 10:24
    24 сентября 2018 г. 8:29
  • На терминальных серверах Windows Server 2008 в журнале событий стала регистрироваться ошибка.

    Источник: LsaSrv

    ID: 6041

    A CredSSP authentication to TERMSRV/172.16.200.98 failed to negotiate a common protocol version.  The remote host offered version 2 which is not permitted by Encryption Oracle Remediation.

    See https://go.microsoft.com/fwlink/?linkid=866660 for more information.

    По ссылке в статье объясняются причины появления данной ошибки. На сервере установлены все актуальные критические исправления и исправления безопасности.

    При попытке вручную установить обновления из статьи https://go.microsoft.com/fwlink/?linkid=866660 выдается ошибка: Обновление неприменимо к вашему компьютеру.

    Однако я вижу, что пользователи подключаются к терминальному серверу.

    На сервере политика безопасности не менялась. Непонятно, если подключение по протоколу версии 2 запрещено, то каким образом происходит подключение?

    И вообще непонятно, как исправить ситуацию, если вручную исправления безопасности не устанавливаются.

    30 октября 2018 г. 7:50
  • Это еще одно такое же сообщение.

    Источник: LSA (LsaSrv)

    ID: 6041

    Во время проверки подлинности с использованием CredSSP на TERMSRV/vm-tarasova2.moscow.smt.com не удалось согласовать общую версию протокола. Удаленный узел предложил версию 2, которую не разрешается использовать согласно политике "Исправление уязвимости шифрующего оракула".

    Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?linkid=866660.

    Версию 2 предлагает Windows 7. Windows 10 предлагает версию 3.

    23 ноября 2018 г. 12:42