Wystąpił następujący błąd podczas połączenia RDP ze zdalnym serwerem w domenie AD. Po określeniu poprawnej nazwy użytkownika i hasła domeny pojawiło się okno z błędem (poniżej) i okno rdp klienta zostało zamknięte.
Pulpit zdalny nie może zweryfikować tożsamości komputera zdalnego, ponieważ istnieje różnica czasu lub daty między komputerem a komputerem zdalnym. Upewnij się, że zegar komputera jest ustawiony na prawidłową godzinę, a następnie spróbuj ponownie się połączyć. Jeśli problem wystąpi ponownie, skontaktuj się z administratorem sieci lub właścicielem komputera zdalnego.W rosyjskiej wersji systemu Windows błąd wygląda następująco:
Sesja pulpitu zdalnego nie może zweryfikować autentyczności komputera zdalnego, ponieważ wykryto różnicę czasu lub bieżącej daty między tym komputerem a komputerem zdalnym. Sprawdź, czy zegar komputera jest ustawiony prawidłowo i spróbuj ponownie się połączyć. Jeśli problem będzie się powtarzał, skontaktuj się z administratorem systemu lub właścicielem komputera zdalnego..Jak wynika z tekstu błędu, klient RDP nie mógł się uwierzytelnić przy użyciu protokołu Kerberos, ponieważ różnica czasu między komputerem lokalnym a komputerem zdalnym przekracza 5 minut. Ale w moim przypadku okazało się to niewłaściwe: otwierając konsolę zdalnego serwera za pośrednictwem ILO, upewniłem się, że strefa czasowa i czasowa na obu komputerach są takie same (i otrzymane z tego samego serwera NTP).
Możesz spróbować sprawdzić czas na komputerze zdalnym za pomocą polecenia:
czas netto \\ adres IP komputera zdalnego
Na wszelki wypadek możesz wykonać ręczną synchronizację czasu i ponownie uruchomić usługę w32time:
w32tm / config / manualpeerlist: twój_serwer_serwera_IP NTP, 0x8 / syncfromflags: manual
net stop w32time i net start w32time & w32tm / resync
Inne powody, dla których można stracić czas na komputerze, omówiono w artykule..
Wskazówka. Jeśli serwer zdalny jest wirtualny, sprawdź, czy synchronizacja czasu z hiperwizorem hosta jest wyłączona w ustawieniach maszyny wirtualnej.Jeśli masz fizyczny dostęp do komputera zdalnego (miałem dostęp za pośrednictwem konsoli ILO), na komputerze zdalnym sprawdź ustawienia serwera DNS w ustawieniach karty sieciowej. Upewnij się również, że określony serwer DNS jest dostępny z serwera zdalnego. Najłatwiej to zrobić za pomocą polecenia:
nslookup nazwa_serwera DNSServername
Jeśli serwer DNS nie odpowiada, sprawdź, czy wszystko jest z nim w porządku lub spróbuj określić inny serwer DNS.
Jeśli na komputerze zdalnym używanych jest kilka kart sieciowych, sprawdź poprawność routingu podczas uzyskiwania dostępu do serwera DNS. Być może komputer próbuje uzyskać dostęp do serwera DNS za pośrednictwem drugiej karty sieciowej w innej podsieci.
Spróbuj połączyć się ze zdalnym komputerem na północ za pośrednictwem klienta RDP według adresu IP zamiast pełnej nazwy FQDN nazwy DNS. W takim przypadku protokół Kerberos nie będzie używany podczas autoryzacji.
Sprawdź, czy relacja zaufania z domeną AD jest zerwana, uruchamiając polecenie PowerShell:
Test-ComputerSecureChannel
Przy odpowiednim zaufaniu powinien zwrócić wartość True.
Aby przywrócić zaufanie do domeny, możesz użyć polecenia:
Test-ComputerSecureChannel -Repair -Credential corp \ adminname
Jeśli wystąpi błąd: „Test-ComputerSecureChannel: Nie można zresetować hasła bezpiecznego kanału dla konta komputera w domenie. Operacja nie powiodła się z następującym wyjątkiem: Serwer nie działa”, Sprawdź dostępność kontrolera domeny z serwera oraz dostępność otwartych portów dla domeny i usługi zaufania za pomocą narzędzia portqry.
Sprawdź, czy warstwa zabezpieczeń RDP ma ustawiony ten sam poziom bezpieczeństwa w ustawieniach protokołu RDP na lokalnym i zdalnym serwerze. Ten parametr można ustawić za pomocą „Wymagaj zastosowania specjalnego poziomu bezpieczeństwa dla zdalnych połączeń RDP”(Wymagaj użycia określonej warstwy zabezpieczeń dla połączeń zdalnych (RDP)) w obszarze Konfiguracja komputera -> Szablony administracyjne -> Składniki systemu Windows -> Usługi pulpitu zdalnego -> Host sesji usług pulpitu zdalnego -> Bezpieczeństwo (Konfiguracja komputera -> Zasady \ Szablony administracyjne -> Składniki systemu Windows -> Usługi pulpitu zdalnego -> Zdalne Desktop Session Host -> Security), wybierając mniej bezpieczny Rdp poziom przez analogię z artykułem. Lub poprzez ustawienie rejestru HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \ SecurityLayer.
Polecam również upewnienie się, że problem nie jest związany z ostatnimi zmianami w protokole CredSSP..