我正在尝试配置一个加入一个域但使用来自不同领域的 kerberos 身份验证的 Windows Server 2012 R2 服务器。
Kerberos 领域长度为 14 个字符(带斜杠或 at 符号则为 15 个字符),默认情况下,Windows 远程桌面客户端都会记住最终它们连接到较短的 4 个字符域的事实,因此重新连接会尝试重新验证该域(该域不进行身份验证,并且没有人在该域上拥有密码 - 所有密码都是通过 kerberos 传递的)。
在 Windows Server 2008 和 2008R2 上,我们可以通过在远程桌面服务配置中指定设置“始终使用以下登录信息”,并将域指定为 14 个字符的 Kerberos 领域来解决该问题,而将其他所有内容保留为空白。
总之,长话短说,2012R2 中的远程桌面服务(不要让我开始谈论“必须由这个复杂的角色管理,并配置网关、代理和其他东西 - 即使是单个服务器”之类的事情)似乎没有任何配置选项。我似乎也找不到等效的 GPO。
那么,我们有什么想法可以让我们避免用户在每次登录时删除 4 个字符的域名并输入重新指定 kerberos 领域所需的 15 个字符,或者更糟糕的是忘记密码并不断收到密码验证错误而不知道原因?
答案1
您是否正在寻找计算机配置->管理模板->系统/登录->分配登录的默认域?