小攻城師的戰場筆記

今天裝了一台新機，發現設定到某個階段重開機後，要遠端連線回 Windows Server 2022 會出現「發生內部錯誤」的訊息。

網路上的教學文都傾向要改機碼、做一大堆複雜的設定，但我始終納悶，我們之前設定過另一台同樣的作業系統（一樣是 Windows Server 2022），裡頭除了自行開發的 .NET 程式有版本差異以外，可以說是幾乎沒什麼分別，為什麼會有這種鳥事咧？

後來發現，這天有人將 IIS Crypto 3.3 裡頭看到的 Cipher Suites 勾選幾乎全都取消，僅保留 TLS_AES_256_GCM_SHA256，勾完以後再重開機，就會使得遠端桌面連線無法連通，遠端桌面 (RDP) 會跳出錯誤訊息視窗「發生內部錯誤」。這之後還是能直接連到 VM 維護，只是就不能走遠端桌面連線進去主機肚子裡了。

把常用的那些 Cipher Suites 再勾回來就沒事了。

在設定 IIS Crypto 時還有一些其他災情：

• Not 的《網站檢測的資安風險修正筆記》：使用TLS 1.0/1.1 停用TLS舊版協定，只啟用TLS 1.2(含)，可能會會造成遠端桌面連不上、SQL Server 開不起來、SQL Server 連不上、Crystal Report 不正常等問題
• bizpro 的《加密套件設定和RDP拒絕連接》：停用某些 Cipher Suites 後，網站不能連：Firefox 回應 PR_CONNECT_RESET_ERROR，Chrome 回應 ERR_CONNECTION_RESET，遠端桌面連線 (RDP) 出現 TLS 錯誤，拒絕連接。

設定前要搭配一下自己的作業系統版本再下手，最好先做個快照。