我在使用域帐户远程访问机器时遇到问题。
问题事实:
- 主机虚拟机由公司 A(即域 A)托管。虚拟机拥有本地管理员以及域“A”上的用户帐户,这些用户帐户在虚拟机上属于“管理员”。
- 我属于 B 公司(B 领域)。
- 我使用 A 公司提供的 VPN 来访问他们的网络。
- 我之前能够使用域 B 上的计算机的 mstsc 远程访问域 A 上的任何虚拟机。
- 最近,A 公司将其域 A 迁移到域 Z。
- 现在我无法使用我的域“Z”用户帐户从域 B 上的计算机远程访问域 Z 上的 VM,但是我可以使用本地用户帐户登录。域帐户的错误是通用凭据无效。
- 当我以本地管理员身份登录 VM2 后,使用我的域帐户远程访问另一台 VM(例如 VM1)时,我的域“Z”帐户正在运行。(VM 1 和 2 位于域 Z 上)
- 步骤 6 和 7 中的问题似乎仅发生在基于域的环境中。(我的本地计算机所在的域 B 和另一个公司用户与我面临相同问题的域 C)。
- 当尝试从刚安装了 Windows 的本地计算机(无域、无 AV、默认操作系统选项)通过公司 A 提供的 VPN 访问时,一切正常,即可以使用域帐户远程进入虚拟机。
- Windows 7 Enterprise 作为客户机。Windows 7、2008 R2、8.1 作为客户虚拟机。11. 在客户机上,尝试停用防火墙、停止 Forefront 安全应用程序、从域中删除机器并直接连接到互联网,但仍然无法连接。(可能是某些组策略导致了此问题,而从域中删除不会停用该策略。令人惊讶的是,C 公司的员工也面临同样的问题)。
我该如何解决此问题?
答案1
远程桌面需要几个条件才能运行。您提到了一些条件,但还有其他条件。
- 通信:端口 3389 应在客户端和服务器(RDP 主机)之间打开并可用。这意味着传统防火墙以及 Windows 防火墙规则。
- 策略:需要设置本地和 GPO 策略以允许远程访问。您可以使用本地帐户进行连接,这意味着通常允许访问(策略不允许您使用哪个帐户进行连接)。
- “允许”用户:默认情况下,本地管理员(以及被授予本地管理员权限的域用户)可以通过 RDP 进行连接。但是,您也可以添加其他非管理员用户。
根据您的描述,我猜 #3 是罪魁祸首。您的新域 Z 帐户缺少“远程登录”权限。这可以通过 GPO 或本地策略分配。请参阅这里了解更多信息。
答案2
更改本地域(域 B)的安全策略“设置 LAN 管理器身份验证级别的策略 - 仅 NTLM v2”后,该问题已解决。
答案3
现在是 2023 年,我遇到了与 OP 类似的问题(我注册了 serverfault 只是为了表示感谢!)。
环境
网络安全: LAN Manager 身份验证级别
到
仅发送 NTLMv2 响应。拒绝 LM 和 NTLM
也解决了我的问题