我们最近设置了一个终端服务网关网站,以允许外部访问远程桌面服务器。每个用户在其个人计算机上安装客户端证书,连接到 HTTPS TS 网关站点,登录,然后连接到配置的远程桌面计算机。
所有用户在服务器端具有相同的访问权限和配置,并且所有证书都由我们本地的CA颁发;证书链也安装在他们的本地PC上。
在 30 位用户中,有两位特定用户无法使用该系统。他们使用其客户端证书连接到 TS 网关站点,可以使用其用户帐户登录 TS 站点,然后单击已配置的远程桌面计算机。系统会提示他们输入登录用户名和密码,然后显示“正在连接”对话框。过了一会儿,他们收到以下消息:
The computer can't connect to the remote computer.
The two computers couldn't connect in the amount of time allotted.
我们检查了我们所知道的所有事情,甚至是不应该相关的愚蠢项目:他们与其他几个用户使用相同的 Windows XP SP3,他们的 Windows 防火墙已启用并打开端口 443,他们每个人都使用与另一个成功连接的用户相同的互联网服务提供商和计划,即使在尝试颁发新证书后仍然会发生这种情况,并且他们的系统时钟与他们连接的服务器同步到相同的公共 NTP 源。
不幸的是,由于我们无法直接使用他们的家用机器进行亲自尝试,因此诊断很困难。
我们还应该检查什么?
答案1
尝试使用直接连接到高速调制解调器(电缆、DSL 等)的系统进行故障排除,以隔离家庭 NAT 路由器在问题中扮演任何角色的可能性。一些“ping”样本也可能揭示任何网络性能问题。