我们的域名设置如下:
- 域功能级别:Server 2008
- 5 台 Server 2003 终端服务器
- 5 台 Server 2008 R1 终端服务器
- 150 名员工在个人电脑上使用强制配置文件
- 那些工作人员不要在 AD 中有一个终端服务器配置文件路径,因为我们发现它是为了更快地登录。
我们的问题是,当员工登录 Server 2008 终端服务器时,他们会在 5 分钟后自动注销。
在终端服务器的安全日志中有此事件:
User initiated logoff:
Subject:
Security ID: contoso\bloggsjoe
Account Name: bloggsjoe
Account Domain: contoso
Logon ID: 0x1c66ba
This event is generated when a logoff is initiated but the token reference count is not zero and the logon session cannot be destroyed. No further user-initiated activity can occur. This event can be interpreted as a logoff event.
10秒后是这样的:
An account was logged off.
Subject:
Security ID: contoso\bloggsjoe
Account Name: bloggsjoe
Account Domain: contoso
Logon ID: 0x1c66ba
Logon Type: 10
This event is generated when a logon session is destroyed. It may be positively correlated with a logon event using the Logon ID value. Logon IDs are only unique between reboots on the same computer.
最终用户收到一条消息,告知他们将在 2 分钟后注销。客户端计算机上没有记录任何事件(所有 Windows XP)
我查看了终端服务配置,但断开连接时间设置为 2 小时,并且活动会话限制设置为“从不”
我们使用了终端服务器强制配置文件,但没有什么变化。管理员不会遇到此问题。
我想知道你们中是否有人可以帮忙?
更新 1:对于询问 CAL 的人,DC 是终端服务器许可服务器,并且始终运行良好。目前,在 2008 TS 上,它显示有 426 个 CALS 可供客户端使用。它们以“每台设备”模式获得许可。
更新 2:终端服务管理器中的计时有些奇怪。许多日期显示为所有计算机时间的起始时间 - 01/01/1601。以下是问题用户登录时的屏幕截图:
当用户名被解析时,时间也会被更正——这是否看起来好像用户已经登录了 400 多年?
你们中有人见过这种情况吗?你们知道如何解决吗?我查过另一个网站,那里的 1601 年不一样。
更新3:忘了说注销不会因为5分钟不活动而发生 - 无论用户在做什么都会发生注销。
更新 4:许可问题。看起来存在某种终端服务器许可问题 - 虽然没有任何服务器给出许可错误。许可服务器是一个 DC,它显示有大量有效许可证可用(所有许可证都是按设备颁发的),但它显示已颁发大量临时设备 CAL,并且无法撤销这些许可证。我完全删除了许可角色并重新设置了它。这使我有 500 个 Server 2003 和 500 个 Server 2008 按设备 CAL 可用,但只有少数机器被分配了 CAL,一些机器被颁发了临时 CAL,但大多数机器似乎根本没有显示。有些设备的机器名称被列为“未知”,所以我确信这一定是许可问题的核心 - 虽然我不知道这是否与我的登录问题有任何关联。顺便说一句,当我在任何终端服务器上单击“终端服务器配置”页面时,它们报告未检测到许可问题。
答案1
当我在终端服务许可管理器中保留默认试用许可证时,我曾见过这种情况。发生的事情是,TS 许可证服务器出于某种原因在购买许可证之前先发放了这些许可证 - 我没有深入研究过这个问题,只是删除了演示许可证。
答案2
检查 RDP 侦听器上的设置。
答案3
检查您的域时间。还要检查计算机和用户中用户的会话选项卡。
答案4
听起来我们已经到达了所有正常配置的位置......
- 终端服务器配置:RDP-Tcp 属性 > 会话
- ADUnC > 用户属性 > 会话
- GPO RSOP 即 > 计算机 > 管理模板 > Windows 组件(查找会话时间限制)
- TS CAL 许可无警告/错误
因此,为了帮助解决问题,我会暂时将服务器 TS 配置属性 > 会话“活动会话限制”设置为从不(通过覆盖用户设置来强制执行),看看是否可以解决问题。