修改了这个问题,使其更加简洁,合并了几处修改。
症状:
从域成员 Windows 7 客户端:
- 域控制器的域凭据 => 成功
- 成员服务器的域凭据(通过主机名或 FQDN)=> 成功
- 成员服务器的域凭据(通过 IP)=> 失败
- 成员服务器的本地凭据(通过任一方式)=> 成功
从非域成员 Windows 7 客户端:
- 域控制器的域凭据 => 成功
- 成员服务器的域凭据 => 失败
- 成员服务器的本地凭据 => 成功
- (与 Mac RDC 2.1 客户端的行为相同)
服务器配置详细信息:
- Windows 2008 R2 数据中心 SP1
- 所讨论的域是 Windows 2008 域(林根)的子域。
- 根在站点 A 和站点 B 中都有 DC,子域仅在站点 B 中拥有 DC。
- RDP 在所有根成员服务器和 DC 上正常运行。
- GPO 未定义任何远程桌面设置。
- 网络级别身份验证已启用;所有客户端兼容且证书交换/SSL 握手成功完成。
- 没有在 netlogon 日志中捕获任何错误。
答案1
- 如果您在本地组中看到 SID,那么在我看来,您的 DNS 或 AD 访问从该服务器到子域或父域都是混乱的。RDP 访问可能只是一种干扰,真正的问题是与 AD 的正确连接。您是否有事件日志事件谈论无法解析帐户等?在我看来,在健康的服务器中,您永远不应该看到 SID(除非帐户被删除)。
- GPO 可能会影响成员服务器安全策略“允许通过远程桌面服务登录”或计算机 GPO 配置中经常被遗忘的“拒绝通过远程桌面服务登录”。您可能被排除在第一个之外或被添加到第二个成员服务器 GPO,然后它可能会在 DC 容器级别被“默认域控制器策略”覆盖。以您的身份在成员服务器上运行组策略结果,并查看显示的内容:
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 上面引号中的两个设置
答案2
我看到这一点已经被提及,但我还必须说,这听起来像是 GPO 混合在一起拒绝您访问 RDP。
尝试以域管理员身份在每个成员服务器上从 GPMC 运行 GPO 建模,并查看应该应用哪些 GPO。您将能够查看报告并知道对用户和计算机应用了哪些设置。此外,登录到控制台并查看本地策略设置,看看 GPO 登录是否被拒绝。
如果所有这些都没有定论,请尝试启用 netlogon 调试并查看当您尝试登录时是否出现任何错误。