目前,我们有两个 DC Windows Server 2008 R2 Active Directory 域,大约有 200 个用户。旁边是 9 台负载平衡的 Windows 2008 R2 服务器。在 RDP 连接到这些服务器时,用户通常需要输入两次凭据。第一次,用户会收到用户名或密码不正确的消息,即使输入正确。当他们在错误消息后立即执行相同操作时,登录成功。
不久前,我们安装了一个名为 AD Audit Plus 的工具,它会记录并通过电子邮件发送所有登录失败。每次第一次 RDP 登录失败时,我们都会收到两条关于 Kerberos 预身份验证失败的消息,这些消息与错误密码事件有关。一条来自负载平衡服务器,一条来自域控制器。
我已经完成了完整的 AD 和 DNS 健康检查,并在谷歌上搜索了各种问题,但还没有找到解决方案。
有人遇到过这个问题吗?
谢谢,Vincent
答案1
根据我的经验,Kerberos 预授权失败通常是由于客户端和域控制器之间的时间不同步造成的。是否必须验证您的 NTP 配置是否全部符合要求?事件日志中是否存在与时间相关的错误?是否有什么东西会改变负载平衡 RDP 服务器(在本例中为客户端)上的时间?