У нас есть клиент, у которого следующая конфигурация:
- DC01 с AD/DC, шлюзом RD, DHCP, DNS и т. д.
- DC02 с AD/DC, DHCP, DNS и т. д.
- TS01 с RD Services
Проблема возникает случайным образом, когда пользователь пытается удаленно войти, используя имя NetBIOS. Согласно журналам, билет kerberos успешно создается на DC, а затем через несколько мгновений сеанс отключается от шлюза. В TS не найдено никаких журналов, которые бы указывали на то, что была сделана попытка доступа к TS. Если мы изменим NetBIOS на IP-адрес или внутреннее FQDN, это решится, и пользователь сможет подключиться, но это происходит не всегда .
После перезагрузки TS и отсутствия других изменений пользователи смогут подключиться к TS.
Мы не уверены, как устранить эту проблему дальше, в качестве обходного пути мы попытались сделать еженедельный график перезагрузки, но это не работает. Если у кого-то есть идеи о том, какие журналы мы можем посмотреть, или что мы можем проверить, чтобы узнать, что вызывает проблему, это было бы очень ценно.
решение1
Корень этой проблемы был в том,Kerberos PAC. DC02 оказался не таким уж и актуальным, как ожидалось, и в журналах событий мы обнаружили несколько событий с кодом ошибки 37 на DC01.
Я использовал команду:
wevtutil qe System /q:"*[System[Provider[@Name='Microsoft-Windows-Kerberos-Key-Distribution-Center']]]"
От основного контроллера домена, а затем идентифицировано несколько событий 37
Решением этой проблемы стало обновление DC02 до последней версии накопительного обновления, а затем отслеживание журналов событий на предмет возникновения дополнительных событий 37 в течение следующей недели.