我们有一位客户,其设置如下:
- DC01 具有 AD/DC、RD 网关、DHCP、DNS 等。
- DC02 具有 AD/DC、DHCP、DNS 等。
- 具有 RD 服务的 TS01
当用户尝试使用 NetBIOS 名称进行远程登录时,会随机出现此问题。根据日志,kerberos 票证已在 DC 上成功创建,然后片刻之后会话与网关断开连接。在 TS 上找不到任何日志表明甚至有人尝试访问 TS。如果我们从 NetBIOS 更改为 IP 地址或内部 FQDN,它将解析并且用户可以连接,但这并不总是发生。
重新启动 TS 后,如果没有其他变化,用户可以连接到 TS。
我们不确定如何进一步排除故障,作为一种解决方法,我们尝试执行每周重启计划,但不起作用。如果有人知道我们可以查找哪些日志,或者我们可以检查什么来查看问题的原因,我们将不胜感激。
答案1
这个问题的根源是Kerberos PAC。DC02 并不像预期的那样最新,并且在事件日志中,我们在 DC01 上发现了多个错误事件 37。
我使用以下命令:
wevtutil qe System /q:"*[System[Provider[@Name='Microsoft-Windows-Kerberos-Key-Distribution-Center']]]"
从主域控制器,然后识别出多个事件 37
解决此问题的方法是将 DC02 更新到最新的累积更新,然后在下周监视事件日志中是否存在任何其他事件 37。