我有一个本地域控制器 (DC02),它有一个相对简单的 AD 设置,已经存在好几年了 - 大概 6-10 年。我已经将一些虚拟机从一个虚拟机管理程序移动到另一个虚拟机管理程序(ESXi 到 Proxmox)。我认为这并不相关,但为了以防万一,分享一些额外的信息总是好的。服务器上的域记录似乎没问题,正向和反向查找区域都显示正确的 IP 地址。
- 当我使用 IP 地址进行 RDP 连接时,它工作正常。
- 当我使用主机名 (W2022-DEV) 通过 RDP 连接时,它不起作用(我收到一条错误消息:“您尝试连接的远程计算机需要网络级别身份验证 (NLA),但无法联系您的 Windows 域控制器来执行 NLA。如果您是远程计算机上的管理员,您可以使用“系统属性”对话框的“远程”选项卡上的选项禁用 NLA。”)
我决定再尝试一件事。我已经在正向查找区域下创建了另一个名为“本地”的区域。如果我在那里创建 W2022-DEV,然后通过 RDP 连接到 W2022-DEV.local - 也可以正常工作。
知道我设置错误导致这种情况的原因是什么吗?有关 DC 本身的更多信息:
当我跑步时:
NSLOOKUP DC02 W2022-DEV 我得到以下信息:
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.111.24
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
.24 地址与 W2022-DEV 机器准确对应。
答案1
你运行的是什么操作系统?DC 是旧版本吗?它们是否已修补到最新的 CU?
- 在 powershell 中,运行测试计算机安全通道从虚拟机查看其是否完全连接到 AD
- 您可能需要在排除故障时调整 RDP 安全性 - 我通过 GPO 进行此操作 https://i.stack.imgur.com/M1FgJ.png
MS说原因可能是:
- VM 无法与域控制器 (DC) 通信。此问题可能会阻止 RDP 会话使用域凭据访问 VM。但是,您仍然可以使用本地管理员凭据登录。此问题可能在以下情况下发生:
- 此虚拟机与 DC 之间的 Active Directory 安全通道已中断。虚拟机拥有帐户密码的旧副本,而 DC 拥有较新的副本。
- 此虚拟机连接到的 DC 不健康。
- VM 的加密级别高于客户端计算机使用的加密级别。
- VM 上禁用了 TLS 1.0、1.1 或 1.2(服务器)协议。VM 设置为禁用使用域凭据登录,并且本地安全机构 (LSA) 设置不正确。
- VM 设置为仅接受符合联邦信息处理标准 (FIPS) 的算法连接。这通常是通过使用 Active Directory 策略来实现的。这是一种罕见的配置,但可以仅对远程桌面连接强制实施 FIPS。