domingo, 15 de febrero de 2009

De vueltas con el RDP de las narices...

De vez en cuando Microsoft complica las cosas de manera soberana, aunque si tienes suerte y sabes buscar quizás encontrarás la solución.

Desde Win Vista y Win 2008 Server, Microsoft ha actualizado el Escritorio Remoto (Remote Desktop Protocol, en adelante RDP) a la versión 6, la cual mejora sustanciamente (un 40%) el rendimiento y mejora la seguridad con el Network Level Authentication, en adelante NLA.
Si actualizas un XP al SP3 te instala el RDP6 aunque parcialmente, como veremos.

Explico la problemática: al acceder via RDP a un Servidor Windows 2008 Controlador de Dominio (esto último importante), en adelante AD, y con las opciones por defecto desde un Windows XP SP3 resulta que aunque pongas el user/pass correcto no te permite el logon, resultando un error de usuario/contraseña erróneos cuando no lo son (esta es mi queja principalmente).

La resolución es cambiar el registro de la máquina Windows XP3 y reiniciar.

Concretamente esto es lo que se tiene que cambiar en el registro:

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
2. En Security Packages, añadir "tspkg".
3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
4. En SecurityProviders, añadir "credssp.dll".


El tema está en que un 2008 AD requiere por defecto (supongo que en alguna de las miles de plantillas de seguridad se podría cambiar, pero encuéntrala...) NLA para las RDP y un Windows XP SP3 no lo lleva por defecto y se tiene que cambiar a mano.

Remarco que existe una opción para activar el NLA (adjunto imagen), así estava en el 2008 AD, pero de todas formas el XP SP3 no podia logearse. En cambio sí que podía en un 2008 Server que no fuera AD (de ahí la dificultad para encontrar la solución).


Es decir, la plantilla de seguridad debe pasar por encima de la opción de la imagen, y el mensaje de "usuario/password incorrecto" que es la respuesta que te da el 2008 AD y que lleva a engaño, Microsoft la podría cambiar por el mensaje "el equipo remoto requiere NLA y tu máquina no lo soporta", por ejemplo, y así no te vuelves loco...

En Windows Vista no sucede porque ya lo lleva nativo el NLA y bien configurado.

Añado un chorrada pero que no habia caído, cuando estás en el RDP para poder hacer el "Ctl+Alt+Spr/Del" en el equipo remoto y no en el tuyo propio, la combinación es "Ctrl+Alt+Fin/End".

Hasta la próxima.

No hay comentarios:

Publicar un comentario en la entrada