我们正在逐步将 PC 升级到 Windows 7,但多次无法打开升级后的机器的 RDP 连接来远程管理它们。在某个时候,我们意识到网络级别身份验证是罪魁祸首,随后在我们部署的映像中禁用了它。
今天早上,我尝试了以下方法后,无法连接另一台机器:
- 通过我们的 RDS 服务器 (2008R2) 进行远程桌面
- 远程桌面进入同一 LAN/子网上的另一台 Windows 7 计算机并尝试从那里打开连接
AFAICTnmap显示端口 3389 未打开。
有问题的机器距离几百公里,因此物理访问执行本地登录有点困难(而且我不想提供本地登录详细信息来让用户修复它)。
“组策略”不存在有两个原因:该计算机未连接到域,
由于我们使用多雾路段对于成像和管理,可能可以部署注册表黑客或批处理/ powershell 脚本来禁用它;有人对可能的解决方案有什么建议吗?
答案1
网络级身份验证 (NLA) 要求在发起会话的主机和远程主机上进行身份验证。这意味着有几种用户名/主机名变量组合必须全部配合良好:
- 您当前登录的用户名/账户
- 您尝试用来登录远程系统的用户名/帐户
- 您用于启动会话的本地主机
- 您希望在其上创建远程桌面会话的远程主机。
这会产生一些影响,可能会阻止使用 NLA 的远程桌面运行:
如果启动远程桌面会话的本地主机不支持 NLA。Vista 之前的 Windows 版本不支持RDC 至少为 6.1 版本。这也意味着像 Linux 这样的主机使用不支持 NLA 的客户端。
如果启动远程桌面会话的本地帐户无法在本地进行身份验证。通常,如果您使用的帐户无法登录启动会话的本地主机或权限受限,则会发生这种情况。对于域帐户,请通过“net use /domain”查看用户帐户的“允许的工作站/限制的工作站”列表。如果帐户仅限于一组主机,两个都本地主机和远程主机必须在列表中,RDP 才能与 NLA 配合使用。
答案2
我终于拿回了有问题的机器(是一台笔记本电脑),却发现远程桌面已被完全禁用;有时,没有什么可以替代物理访问来确定问题的原因。