Не удается подключиться к серверу терминалов удаленно (неверное имя пользователя и пароль)

Question

[Александр]

Есть сервер на Windows 2008 R2. Подняли на нем сервер терминалов. Все вроде бы ничего — доступ есть, из локальной сети заходит нормально, но при попытке зайти извне при вводе заведомо правильного логина и пароля юзера (или даже локального администратора сервера) радует надписью «Неверное имя пользователя или пароль».
В чем может быть засада? Перепробовали все варианты, какие только пришли в голову.

Comments

[Александр]

Уточнение: сеть у сервера без домена, просто рабочая группа.

[omnimod]

Уточните — что такое «извне» и как оно подключается к локальной сети?

[Александр]

Уточняю — «извне» — это из другой вообще сети, которая никак не связана с нашей корпоративной. Подключается оно поверх Интернета через стандартный RDP, если я правильно понял суть вопроса.

[pessom]

Вы написали, что из другой сети подключаетесь, а Вы уверены что подключаетесь именно к этому серверу? Что в Вашей сети нет никаких nat'ов. Отключите на этом сервере rdp и попробуйте подключиться.

Answer 1

[Николай Турнавиотов]

во первых. попробовать залогиниться вот так:
%domain%\%login%, если воркгруппа, тогда в место домена надо подставить hostname сервера, к которому подключаетесь, точно так же, как оно указано в поле «имя компьютера» на рдп сервере.

2. проверить, есть ли на конечном рдп сервере маршрут в ту сеть, из которой идет подключение, т.к. пакеты будут доходить, но куда их отправлять — машина может и не знать.

Comments

[vido_streif]

%domain%\%login% - помогло для входа

Answer 2

[smartlight]

1.Сделайте пароль для начала одни цифры.
2. Смотрите логи(Журнал-Безопасность)(хотя они вряд ли помогут )
3. Если пускает вводить логин/пароль, то определенно дело не в фаере.
4. Возможно дело в проверке подлинности, но тоже маловероятно.

Comments

[Александр]

Все пробовали — не идет.

Answer 3

[avstepanov]

Логин и пароль вставляете из буфера обмена?

Пару раз такое было — не пускало. А вот когда ручками вводили — все в порядке.

Магия, не иначе…

Кстати, еще один вариант решения — сохраните RDP-соединение с каким-нибудь сервером (обязательно с сохранением пароля), а потом этот файл отредактируйте блокнотом — поставьте нужные данные «проблемного» сервера. Тоже может помочь.

Comments

[Александр]

пробовали. глухо…

Answer 4

[ZUZ]

Проверьте/обновите версию RDP клиента, попробуйте зайти при помощи одного и того же компьютера (ноут) из локалки по проводу, и тут же по через инет (например, через соседский вайфай).
Проверьте настройки роутера — может там что с форвардинком и т.п.

Answer 5

[kimssster]

Если я правильно понял суть проблемы (разные подсети подключения), то попробуйте включить службу маршрутизации и удаленного доступа (RRAS) на сервере и клиентах. Например, на ОС Windows 7, Windows 8 она отключена по умолчанию, что не позволяет использовать общее подключение к Интернету для подсетей.

Answer 6

[Ilya Evseev]

Вот тут пишут про похожее, с вариантами решений:
serverfault.com/questions/145768/strange-rdp-remote-desktop-problem

Найдено Гуглом по запросу «windows 2008 rdp remote failed password».

Answer 7

[ZardoZAntony]

Еще может быть дело в маршрутизации.
Может помочь кому-то косвенно. У меня тоже сервер на винде, но маршрутизация и фаервол на KERIO
Оказалось в правиле KERIO указал входящий интерфейс - "Любой" (вроде логично). При этом без проблем на сервер попадал, но шел отлуп, что пароль неверный. Что изнутри сети (до добавления правила тут все работало), что с с внешки.
Переставил правило на входящий с "Интернет-интерфейсы" и все заработало.

Answer 8

[llliax]

Получил аналогичную ошибку. Но несколько иные исходные данные.
Есть win server, в нем работает wireguard в качестве vpn. На роутере включена до wireguard перенаправление портов и в брандамауэре правила установлены. Создан ряд конфиг файлов для подключения к VPN по ключам. Захожу извне (с мобильного интернета) со своего ноутбука, успешно цепляюсь к VPN и захожу на конечный сервер по RDP как пользователь домена. Передаю аналогичный конфиг файл коллеге. Человек успешно целпяется к VPN (проверено 100%) получает ошибку что не верные данные вводит. В событиях windows ошибка "4625 неизвестное имя или пароль". Перепроверяли пароли, имена, введено всё правильно (бывало раньше тупили из-за например наличия пробела в конце, но в этот раз явно проблема не в этом). Имя домена тоже вводится верно. По итогу я смог зайти на сервер с помощью локального пользователя (указав понятно вместо домена имя хоста). Пользователи из домена не подключаются. Почему-то сервер не воспринимается пользователей домена. И странность в том что я со своего ноута, подключаясь через мобильный инет билайна, нормально захожу. У коллеги сетевые адаптеры настроены по умолчанию, роутер тоже на банальных настройках. В чем тут секрет?
Дополню, код ошибки в журнале 0xC000006D, подсостояние 0xC000006A - значит верное имя, но неверный пароль. Повторюсь, перепробовали несколько пользователей, проверяли введенные символы. При этом пользователь не в домене заходит нормально, а доменные пользователи не входят. Пароли в обоих случаях с цифрами.
Дополнение. Вычислил что с проблемного ПК нельзя также зайти на хост по открытым портам TCP шлюза удаленных рабочих столов, т.е. шлюз даже не пытается выполнить запрос логина/пароля. Также с проблемного ПК нельзя зайти через мобильного оператора. Зайти нельзя именно в качестве доменных пользователей. Вывод можно сделать один. На проблемном ПК имеются какие-то настройки, которые не удовлетворяют групповым политикам. При этом windows server выдает конкретную ошибку что не верный пароль. Вот такие итоги. Вот кстати один из поводов не делать Active Directory, особенно в малых организациях.
Отключил проверку на уровне сети на сервере (NLA) - не помогло.
Up - отключение на уровне сети на сервере и проверку входа по RDP надо настраивать в групповых политиках. После этого вход осуществляется с проблемных клиентов. Также в таком режиме отключается UDP.