Wir haben einen Client, der über das folgende Setup verfügt:
- DC01 mit AD/DC, RD-Gateway, DHCP, DNS usw.
- DC02 mit AD/DC, DHCP, DNS usw.
- TS01 mit RD-Diensten
Das Problem tritt zufällig auf, wenn ein Benutzer versucht, sich über den NetBIOS-Namen remote anzumelden. Den Protokollen zufolge wird das Kerberos-Ticket erfolgreich auf dem DC erstellt, und dann wird die Sitzung kurz darauf vom Gateway getrennt. Auf dem TS sind keine Protokolle zu finden, die darauf hinweisen, dass überhaupt ein Versuch unternommen wurde, auf den TS zuzugreifen. Wenn wir von NetBIOS auf die IP-Adresse oder den internen FQDN wechseln, wird es aufgelöst und der Benutzer kann eine Verbindung herstellen, aber das passiert nicht immer .
Nach dem Neustart des TS und ohne weitere Änderungen können die Benutzer eine Verbindung zum TS herstellen.
Wir sind uns nicht sicher, wie wir das Problem weiter beheben können. Als Workaround haben wir versucht, einen wöchentlichen Neustartplan zu erstellen, aber das funktioniert nicht. Wenn jemand eine Idee hat, nach welchen Protokollen wir suchen oder was wir überprüfen können, um herauszufinden, was das Problem verursacht, wäre das sehr willkommen.
Antwort1
Die Wurzel dieses Problems warKerberos PAC. DC02 war nicht so aktuell wie erwartet und in den Ereignisprotokollen haben wir mehrere Fehlerereignisse 37 auf DC01 gefunden.
Ich habe den Befehl verwendet:
wevtutil qe System /q:"*[System[Provider[@Name='Microsoft-Windows-Kerberos-Key-Distribution-Center']]]"
Vom primären Domänencontroller aus wurden mehrere Event 37 identifiziert.
Die Lösung dieses Problems bestand darin, DC02 auf das aktuellste kumulative Update zu aktualisieren und dann in der nächsten Woche die Ereignisprotokolle auf weitere Ereignisse vom Typ 37 zu überwachen.