我有一台服务器,现在已经停用,并且我的一些服务已转移到另一台服务器,但这些服务器仍然指向旧服务器,因此我为旧服务器设置了 Cname 到新服务器,但是当我尝试通过 RDP 连接到旧服务器时,它肯定会将我重定向到新服务器。但我不断收到以下错误。
“无法完成连接,因为到达的远程计算机不是您指定的计算机。这可能是由于 DNS 缓存中的条目过期所致。请尝试使用计算机的 IP 地址而不是名称。”
我知道使用 IP 会起作用,因为它已经过测试,但如果不把它放在托管服务的机器的主机文件中,我就会不知所措。
我尝试过的步骤:
- 在目标 DNS 服务器和本地服务器上刷新 DNS
- 检查时间并确认两者都正确
- 为旧服务器添加了指向新服务器的 SPN
对此有任何想法都很好。
答案1
我不认为这是 Kerberos 的问题。有趣的是,Kerberos 不用于 RDP。
但是 RDP 使用 TLS 来确保安全。证书中的 CN 是服务器 FQDN(就域而言)。因此,当您连接到别名时,您连接的(别名)名称与证书中的(真实)名称不匹配,系统会显示“计算机不是您指定的计算机”。解决方案可能是重新创建用于 RDP 的证书,添加一个包含“真实”名称和“别名”名称的 SAN(主题备用名称),这样它们都有效。
答案2
这可能是因为您退役的服务器仍在 Active Directory 中注册。
Kerberos 身份验证将使用 SPN TERMSRV/%computername%,在您的情况下,此 SPN 仍由代表旧服务器的 AD 对象注册。您应该删除 AD 中的旧计算机帐户,此消息可能不再显示。