Ich versuche, Anmeldezeiten für Remotedesktopbenutzer unter Windows Server 2012 zu definieren. Für Remoteverbindungen ist eine Authentifizierung auf Netzwerkebene erforderlich. Wenn ein Konto mit eingeschränkten Anmeldezeiten (in ActiveDirectory definiert) versucht, zu einem verweigerten Zeitpunkt eine Verbindung herzustellen, antwortet der Client (Remotedesktopverbindung) mit:
An authentication error has occurred.
The Local Security Authority cannot be contacted.
Wenn das Konto versucht, sich zu zulässigen Zeiten anzumelden, funktioniert alles einwandfrei. Wenn keine Authentifizierung auf Netzwerkebene erforderlich ist, stellt der Client eine Verbindung zum Server her, wodurch die Anmeldung verweigert wird, aber die viel schönere Fehlermeldung "Ihr Konto unterliegt zeitlichen Einschränkungen ..." angezeigt wird.
Gibt es eine Möglichkeit, weiterhin NLA zu verlangen, aber die freundlichere Mitteilung über zeitliche Einschränkungen vorzulegen? Fehlt mir eine Richtlinieneinstellung oder eine andere Konfiguration?
Antworten:
Der RDP-Client zeigt eine nette, verwendbare Fehlermeldung an, wenn Sie ihn von einem Computer ausführen, der einer vertrauenswürdigen Domäne angeschlossen ist, und der RDP-Client muss in der Lage sein, den Hostnamen des RDP-Servers (Sitzungshost) aufzulösen.
Dieser Fehler tritt auf, wenn eine der oben genannten Anforderungen nicht erfüllt ist.
In diesem Fall wird dies tatsächlich durch die zusätzliche Sicherheit verursacht, die von NLA bereitgestellt wird. Dies ist eine Funktion . Ein Computer, dem die Domäne des RDP-Servers nicht vertraut, sollte keine Informationen über das verwendete Konto erhalten können.
Die Fehlermeldung "Lokale Sicherheitsbehörde kann nicht kontaktiert werden" verhindert, dass Informationen darüber verloren gehen, ob das Benutzerkonto ungültig, abgelaufen, nicht vertrauenswürdig, zeitlich begrenzt oder etwas anderes ist, das ein Angreifer zur Identifizierung gültiger Konten für nicht vertrauenswürdige Computer verwendet, auf denen der RDP-Client ausgeführt wird .
quelle
Sie fordern eine Fehlermeldung auf Anwendungsebene an, möchten jedoch eine Sicherheitsfunktion auf Netzwerkebene. Sie können Ihren Kuchen nicht haben und ihn auch essen.
Die Netzwerkschicht kann keine Verbindung zur Anwendungsschicht herstellen. Die Nachricht, die Sie erhalten, ist also absolut korrekt.
quelle
Es wurde festgestellt, dass dieselbe Meldung von einer fehlgeschlagenen Win 7 RDP-Verbindung zu einem Win 2012 R2-Server angezeigt wurde. Ich habe eine Verbindung zu demselben Server mit demselben Konto von meinem Macbook mit Royal TSX für RDP getestet und eine Warnung erhalten, dass das Kennwort abgelaufen ist. Setzen Sie das Passwort zurück und der Benutzer konnte sich über seine Win 7 RDP-Sitzung anmelden.
quelle
Dies bedeutet, dass Ihr Workstation-Dienst deaktiviert wurde. Aktivieren Sie es erneut und Sie sollten bereit sein zu gehen.
Starten Sie eine Befehlszeile mit Administratorrechten und führen Sie den folgenden Befehl aus:
Bitte beachten Sie, dass nach start = auto ein Leerzeichen steht
quelle