我上周上班,检查了我的第一张票(很容易修复),通过 RDP 连接到所需的服务器,但登录失败。单击“连接”后,我收到“由于帐户限制,无法登录”消息。检查了另一台服务器(所有机器都是 2008R2/2012R2),同样的消息。不,我有不是有一个空密码,不使用网络身份验证,我的客户是 Windows 10 (1607)。
这是我所做的:
- 使用另一个客户端(Win10.1607),相同的 ou,相同的设置。可以完美地从任何地方登录到任何地方(所以我假设它不是我的用户帐户或 GPO)
- 检查的服务器:我可以通过 RDP 进入我的所有 DC 和其他几台机器(2008R2/2012R2),对我来说看起来是随机的(所有服务器都在同一个 OU 中,没有安装特殊软件)
- 已删除 mstsc 缓存(%appdata%..\local\Microsoft\Terminal Server Client* )
- 清理了 HCU\SOFTWARE\Microsoft\Terminal Server Client
- 查看了事件日志:什么都没有。什么都没有。所以我认为是我的客户端出了问题,而不是服务器的问题。但我可以通过 RDP 连接到我家里和另一个(客户)网络中的所有服务器...
- 检查客户端/服务器上的日期/时间(间隔 0.0002 毫秒)
- 检查了 ma 账户的账户限制(不存在时间限制和机器限制)
- 检查控制台登录是否有效(vm/ilo):使用我的凭据完全没问题
- 检查共享访问是否有效 (\\server\share):是不是工作,我看到了相同的错误消息。从客户端B 工作,但从 alientA 不工作。
- 当从其中一台“工作”机器(服务器或客户端)执行同样的事情时,一切都正常。
知道去哪里找这个吗?它一直萦绕在我睡梦中 :-(
更新:我当然检查了服务器上的本地策略。任何变化都会让我感到惊讶——很多服务器。还检查了客户端 GPO,没有发现任何问题。
答案1
对我来说,解决方案是选项“限制将凭据委派给远程服务器”。
基本上,有一个新的组策略设置可以阻止系统将凭据传递给远程服务器。这正是问题所在。您可以在本地或域组策略中找到此设置:
Computer Configuration > Administrative Templates > System > Credential Delegation