当 logonHours 受到限制时,出现“无法联系本地安全机构”错误消息

当 logonHours 受到限制时,出现“无法联系本地安全机构”错误消息

我正在尝试为 Windows Server 2012 上的远程桌面用户定义 logonHours;远程连接需要网络级别身份验证。当具有受限 logonHours(在 ActiveDirectory 中定义)的帐户尝试在被拒绝的时间进行连接时,客户端(远程桌面连接)会做出以下响应:

An authentication error has occurred.
The Local Security Authority cannot be contacted.

如果帐户尝试在允许的时间内登录,则一切正常。如果不需要网络级别身份验证,则客户端将连接到服务器,服务器将拒绝登录,但会显示更友好的错误消息“您的帐户有时间限制...”

有没有办法仍然需要 NLA,但会提供更友好的时间限制通知?我是否缺少策略设置或其他配置?

答案1

如果您从加入信任域的计算机运行 RDP 客户端,它将显示一个可用错误消息,并且 RDP 客户端必须能够解析 RDP 服务器(会话主机)的主机名。

  • RDP 客户端必须加入信任 RDP 服务器所在域的域
  • 日期和时间必须同步
  • 使用主机名或 FQDN(而不是 IP 地址)连接到 RDP 服务器

如果上述任何一项要求不满足,就会出现此错误。

在这种情况下,这实际上是由 NLA 提供的额外安全性造成的。这是一个功能不受 RDP 服务器域信任的计算机不应该能够获取有关正在使用的帐户的任何类型的信息。

错误消息“无法联系本地安全机构”可防止将用户帐户是否无效、已过期、不受信任、有时间限制或攻击者可能用来识别有效帐户的任何其他信息泄露给运行 RDP 客户端的不受信任的计算机。

答案2

发现当 Win 7 RDP 连接到 Win 2012 R2 服务器失败时,会出现相同的消息。我使用 Royal TSX for RDP 从我的 macbook 使用相同的帐户测试了到同一服务器的连接,并收到密码已过期的警告。重置密码后,用户就能够通过他们的 Win 7 RDP 会话登录。

答案3

你要求的是应用层错误消息,但你想要的是网络层安全功能。鱼与熊掌不可兼得。

网络层无法连接到应用层。所以你收到的消息是完全准确的。

答案4

这意味着您的工作站服务已被禁用。重新启用它,您就可以开始了。

以管理员权限启动命令行并运行以下命令:

sc config LanmanWorkstation start= auto
sc start LanmanWorkstation

请注意后面有一个空格开始=自动

相关内容