因此,我们公司有几台 2012 R2 终端服务器,它们一直运行良好,直到我们开始用新的 Windows 2016 服务器替换我们的域控制器。
从那时起,当我们的用户尝试通过 RDP 连接到这些终端服务器时,就会出现间歇性的“拒绝访问”错误。
通常,当终端服务器开始使用新添加的 2016 域控制器之一时,就会发生“访问被拒绝”错误。我们可以通过发送命令告诉终端服务器改用较旧的 2012 R2 域控制器之一来解决该问题。
然后一切又恢复正常。
所以问题是:新的 2016 域控制器是否存在配置错误,或者可以对 2012 终端服务器进行调整?
问题是否在于 Windows 2016 域控制器与 2012 R2 远程桌面服务服务器不兼容?
我们在查找有关此内容的文档时遇到了问题。
我们确实知道,如果我们决定开始升级到新的 2016 终端服务器,我们将必须购买新的 2016 RDS Cals(不确定我们是否有预算......)
对于那些感兴趣的人,你可以通过运行以下提升的 PowerShell 命令来找出你正在使用的域控制器(假设该命令是远程运行的,因为你可能会因为 RDP 访问被拒绝错误而被锁定):
nltest /Server:your-terminal-server /DSGETDC:ad-domain
要指定您想要使用的域控制器(在我们的例子中,我们想要切换回 2012 R2 域控制器),命令是:
nltest /Server:your-terminal-server /SC_RESET:ad-domain\specific-domain-controller
答案1
我们为此向 MS 支持部门开具了一张票据。他们让我们在 Windows 2016 DC 上添加此注册表,这解决了这个问题。
HKLM\SYSTEM\CurrentControlSet\Control\Lsa 添加值 RestrictRemoteSamAuditOnlyMode DWORD=1 重新启动服务器