2008 R2 域中的 RDP 不再起作用 - 可能是 Kerberos 问题

2008 R2 域中的 RDP 不再起作用 - 可能是 Kerberos 问题

一切正常,没有发生任何变化。不知何故,我们无法再通过 RDP 连接到域控制器本身以外的任何域计算机。这包括 Windows 7 客户端和非控制器 2008 R2 服务器。输入密码后,我们立即收到以下错误消息:

“登录尝试失败。”

目标计算机的事件日志中没有其他信息,也没有任何有价值的信息。唯一的线索是检查其中一个域控制器上的安全日志,每次登录尝试后都会显示以下审核失败(4769):

A Kerberos service ticket was requested.

Account Information:
    Account Name:       <user>@<domain>
    Account Domain:     <domain>
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Service Information:
    Service Name:       <user>@<domain>
    Service ID:     NULL SID

Network Information:
    Client Address:     ::ffff:<ip>
    Client Port:        64170

Additional Information:
    Ticket Options:     0x40810000
    Ticket Encryption Type: 0xffffffff
    Failure Code:       0x1b
    Transited Services: -

This event is generated every time access is requested to a resource such as a computer or a Windows service.  The service name indicates the resource to which access was requested.

This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event.  The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.

Ticket options, encryption types, and failure codes are defined in RFC 4120.

从我自己的搜索来看,这似乎与 SPN 有关。但是,这是我以前从未接触过的领域。关于如何让 RDP 重新工作,有什么想法吗?

已尝试应用所有 Windows 更新并重新启动客户端、目标和域控制器。无效果。其他服务(如文件共享)不受影响。

答案1

您是否能够使用导致错误消息的帐户直接登录服务器?

为了缩小问题范围,您可以尝试在其中一台服务器上禁用网络层身份验证:Admintools -> 远程桌面会话配置 -> 安全层:将其设置为 RDP

答案2

spn 在服务器端定义。由于您无法登录到所有客户端和服务器,因此问题肯定出在其他地方。您或其他人是否更改了组策略设置?(允许通过远程桌面服务登录)

相关内容