WS2012 上的身份验证错误(信任关系失败)

WS2012 上的身份验证错误(信任关系失败)

鉴于以下实验室设置:

HOST1 on Windows Server 2012 R2 (host running Hyper-V, joined test.local domain, static IP)
DC1 on Windows Server 2012 (VM under Hyper-V on HOST1, AD and DNS roles, all defaults with test.local domain)
DC2 on Windows Server 2012 (VM under Hyper-V on HOST1, secondary AD)
DHCP1 on Windows Server 2012 (VM under Hyper-V on HOST1, DHCP role)
HOST2 on Windows Server 2012 R2 (host running Hyper-V, joined test.local domain, static IP)
DC3 on Windows Server 2012 (VM under Hyper-V on HOST2, secondary AD)
DHCP2 on Windows Server 2012 (VM under Hyper-V on HOST2, DHCP role)

两台主机位于同一子网和家庭路由器上,所有防火墙均已关闭。首先安装物理主机,然后安装虚拟机。安装角色、创建新域、加入所有虚拟机、加入主机、重启几次,一切正常。

问题:昨天,当我尝试从我的 Windows 8.1 机器通过 RDP 连接到 HOST1 时,像往常一样使用域管理员用户 (test\Administrator),结果却不尽如人意。连接被接受,但我接受了证书,RDP 连接打开,远程机器中出现一条消息:“其他用户此工作站与主域之间的信任关系失败。”并在 30 秒左右断开连接。

如果我使用本地管理员帐户 (HOST1\Administrator),我可以正常登录。此外,允许使用相同的域管理员用户 (test\Administrator) 登录 HOST2。

可以通过重启两台主机几次来修复它(有时!)。因此看起来计算机和帐户在 AD 中仍然正常(无需重新加入或重置密码)。

为什么会发生这种情况?从哪里开始进行故障排除?尝试了解根本原因,而不仅仅是快速修复。

答案1

首先检查简单的事情。确保所有计算机上的时间都匹配(由于是 Hyper-V,所以应该匹配,但检查起来很快)。如果时间不匹配,Kerberos 身份验证可能会失败,并且计算机登录失败可能会发送信任消息,而信任并不是真正的问题。此外,出于同样的原因,请确保您静态配置的主机 IP 设置中指定的 DNS 服务器是 DC。

之后,尝试通过 IP 地址而不是主机名启动 RDP 会话连接。如果此方法有效,则说明证书存在问题,或者协商连接中使用的安全协议存在问题。

您说您必须在连接之前接受证书。您能提供提示您接受证书的原因吗?如果证书是由域颁发的,则它应该已经受到信任。

相关内容