RemoteApp을 통해 연결할 수 없음(Schannel 36874)

AWS에서 만든 Windows 인스턴스(이하 서버)에서는 원격 데스크톱에 연결할 수 없으며, 이른바'죽을 것'상태의 절반이 시작된다.
그냥 노트예요.유감스럽게도 이것은 해결 방법이 아니다.
PowerShell을 사용하여 Windows 방화벽의 한계 완화 서버 측의 로그를 볼 수 있으니 바로 조사를 시작하겠습니다.OS의 조합은 다음과 같습니다.

클라이언트

Windows10 Enterprise 10.0.10586

Windows7 Professional 6.1.7601

서버

Windows 2012 R2

서버 측 로그는 다음과 같습니다.
원격 클라이언트 애플리케이션에서 TLS12.2 접속 요청을 받았지만 서버에서 클라이언트가 지원하는 암호를 지원하지 않습니다.SSL 연결 요청이 실패했습니다.
출처: Schanneel, 이벤트 ID: 36874
Schanneel 이벤트 36874
클라이언트 응용 프로그램이 서버에서 지원하지 않는 SSL 연결을 요청합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
에 나열된 값을 입력하고 서버에서 사용하는 버전이 포함되어 있는지 확인합니다.
터미널(Windows 10) 측면에서 확인된 내용:

PS C:\> reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols /s

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client
    DisabledByDefault    REG_DWORD    0x1

SSL 2.0만 있는 이유는 무엇입니까?그리고 DisabledByDefault라면 유효한 프로토콜이 전혀 없습니다???
참고로 Windows 7에서 연결을 시도했지만 같은 오류가 발생했습니다.등록표의 내용도 완전히 같다.
지원되는 암호화 키트 및 Schannel SSP 프로토콜

SSL 2.0

SSL 2.0은 Netscape Corporation만의 프로토콜입니다.이 화제의 시작 부분에 있는 '적용 대상' 목록에 지정된 Windows 클라이언트 컴퓨터에서는 기본값이 잘못되었습니다.

응, 그렇겠지.
특정 암호화 알고리즘과 Schanneel.dll 프로토콜 사용 제한 방법

SCHANNEL\Protocos 하위 키

(TLS111과 TLS122) 등은 기본적으로 협상하지 않지만 프로토콜을 사용하는 시스템을 효력을 발생시키려면 DisabledByDefault 값의 DWORD 값을 0x0으로 변경하여 프로토콜 키의 다음 등록표 키로 변경하십시오.

SCHANNEL\Protocols\TLS 1.1\Client

SCHANNEL\Protocols\TLS 1.1\Server

SCHANNEL\Protocols\TLS 1.2\Client

SCHANNEL\Protocols\TLS 1.2\Server

(일본어가 아쉬워 안쪽에 개선 방안을 제시했다.)
역시 제목과 같이 이 등록표 항목은'제한'프로토콜의 사용을 위해 설정된 것으로 명확하게 표시되지 않은 것은 기본적으로 사용되는 것이 아닌가.그나저나 가방을 줍다가 터미널에서 끊겼어요.

TLS11.1을 추가하여'무효로 설정하지 않음'(등록표 항목을 변경할 때'PowerShell을 관리자로 실행하지 않음)으로 설정하면 욕먹는다.

PS C:\> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" /v DisabledByDefault /t REG_DWORD /d 0x0
この操作を正しく終了しました。
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client
    DisabledByDefault    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
    DisabledByDefault    REG_DWORD    0x0

하지만 역시 마찬가지다.
이벤트 로그 오류 정보 Schanneel 36874 및 36888
이 현상은 클라이언트 측에서 사용하는 암호화 방식이 서버 측에서 사용할 수 없는 경우, 클라이언트 측에서 오래된 OS를 사용하는 경우 암호화 방식이 손상된 OS 등에서 발생할 수 있습니다.
서버 측면에서 볼 때 암호화 방식을 사용할 수 없기 때문에 요청을 받아들이지 않을 뿐입니다. 따라서 자주 발생하지 않으면 기본적으로 이 오류를 무시할 수 있습니다.
고객 입장에서는 접속이 불가능하므로 서버에서 사용할 수 있는 암호화를 사용하거나 이전 OS를 사용하는 경우 새 OS로 업그레이드해야 합니다.
이 오류는 IIS와 Exchange 등 다양한 서비스에서 감지된 것으로 유명하다."기본적으로 무시할 수 있는"물건이지만 그렇게 하지 못하면 서버에 들어갈 수 없기 때문에 유행에 뒤떨어지지 않는다.
Windows 10:-(으)로 업그레이드할 수도 없습니다.
인터넷을 헤매다가 이런 걸 발견했어요.
Why does Window's SSL Cipher-Suite get restricted under certain SSL certificates?
약 4년 전 게시물의 3년 만의 답변은 다음과 같다.
Disabling logging of events simply to "hide the error"is never good security practice.
To understand what the zero (0) does at this Registry key, have a look at "How to enable Schannel event logging in IIS"( http://support.microsoft.com/en-us/kb/260729 ).
A better solution is to configure appropriate cipher suites that your IIS web server supports. See the OpenSSL cookbook for an ordered list of cipher suites: https://www.feistyduck.com/books/openssl-cookbook/
In 2015, that means disabling SSL v2 and SSL v3.
(시역)
(마이크로소프트 지원 중인 사람들이 자주 추천하는 곳) 활동 로그를 무효로 하고 단순히 오류를 숨기는 것은 절대 좋은 안전 습관이라고 할 수 없다.
제로(0)가 이 등록표 키로 무엇을 하는지 이해하려면 IIS에서 Schannel 이벤트 로그 활성화하기를 볼 수 있다.
더 좋은 해결 방안은 IIS 웹 서버가 지원할 적절한 암호화 세트 (암호화 방식의 조합) 를 설정하는 것입니다.암호화 키트의 순서는 OpenSSL의 요리책에 나와 있습니다.
이에 따라 2015년에는 SSL2 및 SSL v3를 무효로 설정하는 것이 좋습니다.
신중을 기하기 위해 터미널 쪽에서 SSL v3를 무효로 설정하려고 시도했지만 현상은 변하지 않았다.

PS C:\> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocol
s\SSL 3.0\Client" /v DisabledByDefault /t REG_DWORD /d 0x1
この操作を正しく終了しました。
PS C:\> reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protoco
ls /s

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client
    DisabledByDefault    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
    DisabledByDefault    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
    DisabledByDefault    REG_DWORD    0x0

문제가 있는 서버 사용Let's Encrypt이 SSL 서버 인증서를 가져왔습니다.다만, 원격 데스크톱 관련 구성 요소에 그것을 지정했는지 기억이 나지 않습니다.그리고 ADCS(인증서 서비스)도 동시에 시도해 엉망진창이 됐다.
그럼에도 불구하고 RemoteApp이 구성 요소를 망가뜨리면 최악의 예로는 연결이 되지 않는다는 것은 무서운 일이다.
그래서 나는 이번 실례를 포기하고 다시 만들 것이다.하지만 원래의 실례는 며칠 동안 잠을 자게 할 것이니 해결책이 있으면 알려주세요.