来自窗户神秘洞穴:
尝试访问 Windows Server 2008 R2 远程桌面会话主机的用户在尝试建立连接时遇到网络超时。远程桌面例外已启用并限制(以及其他子网)到远程子网192.168.202.0/23. 用户主机的IP地址为192.168.203.63。防火墙日志不包含此 IP 地址的丢弃连接尝试条目。
如果我更改域配置文件的 Windows 防火墙日志设置并启用这样的成功尝试的日志记录,
连接开始成功建立,并在防火墙日志中记录“允许”条目。禁用成功尝试的记录会再次中断用户的连接建立。另一个用户的计算机的主机 IP 地址为192.168.203.71似乎不受影响,即使禁用日志记录也可以启动连接。
什么情况?除了实际启用日志记录之外,日志记录设置究竟发生了哪些变化?
答案1
尝试降低远程桌面连接的安全设置控制面板 - 系统和安全 - (系统部分)允许远程访问。它打开窗户系统属性在标签上偏僻的. 窗口下方是组远程桌面,您可以在其中设置远程桌面安全级别。尝试更改从仅允许运行具有网络级别身份验证的远程桌面的计算机进行连接(更安全) 到 允许运行任何版本远程桌面(安全性较低)的计算机进行连接
答案2
看来这只是巧合或副作用。在使用客户端的网络跟踪分析连接超时后,很明显根本原因是客户端的 60 秒通用协商超时。超时时钟似乎在等待 TLS 握手以及 x.204 握手完成,并且它多次过期。
原因是客户端无法获取服务器证书 CA 的当前证书吊销列表,因为客户端仅被允许通过代理访问互联网。首选的代理配置方法是聚合氯化铝在给定的网站上,显然 CRL 更新方法不支持 PAC。它正在尝试进行直接连接或通过以下方式获取代理信息WPAD相反,它们都有自己的超时计时器,总计超过 60 秒,导致整个远程桌面连接尝试失败。解决方法是在 IE 中手动配置代理互联网选项。
不过,我不知道为什么我会得到与启用/禁用连接失败的防火墙日志记录之间的关联。