我們正在將 PC 逐步升級到 Windows 7,但現在多次無法開啟與升級後的電腦的 RDP 連線來遠端管理它們。在某些時候,我們意識到網路層級身份驗證是罪魁禍首,並隨後在我們部署的映像中停用了它。
今天早上我有另一台機器無法連接,嘗試了以下操作:
- 透過我們的 RDS 伺服器進行遠端桌面 (2008R2)
- 遠端桌面到同一 LAN/子網路上的另一台 Windows 7 電腦並嘗試從那裡開啟連接
AFAICTnmap顯示埠 3389 未開啟。
有問題的機器距離數百公里,因此執行本地登入的實體存取有些困難(而且我不想透露本地登入詳細資訊來讓用戶修復它)。
「群組原則」不存在有兩個原因:電腦未連線域,
由於我們正在使用多霧路段對於映像和管理,可能可以部署註冊表 hack 或批次/powershell 腳本來停用它;有人對可能的解決方案有任何建議嗎?
答案1
網路層級身份驗證 (NLA) 要求在發起會話的主機和遠端主機上都進行身份驗證。這意味著有幾個使用者名稱/主機名稱變數組合必須都能很好地發揮作用:
- 您目前登入的使用者名稱/帳戶
- 您嘗試用於登入遠端系統的使用者名稱/帳戶
- 您用來啟動會話的本機主機
- 您希望在其上建立遠端桌面會話的遠端主機。
這會產生一些影響,可能會阻止使用 NLA 的遠端桌面工作:
如果發起遠端桌面會話的本機主機不支援 NLA。這將是 Vista 之前的 Windows 版本,沒有至少是 RDC 6.1 版本。這也意味著 Linux 等主機使用不支援 NLA 的客戶端。
如果啟動遠端桌面會話的本機帳戶無法在本機進行身份驗證。通常,如果您使用的帳戶無法登入啟動會話的本機主機或該帳戶的權限受到限制,就會發生這種情況。對於網域帳戶,請透過「net use /domain」查看使用者帳戶的允許工作站/限制工作站清單。如果該帳戶僅限於一組主機,兩個都本機和遠端主機必須位於 RDP 清單中才能與 NLA 搭配使用。
答案2
我終於將有問題的機器歸還給我(它是一台筆記型電腦),並發現遠端桌面完全被禁用;有時,無法替代實體存取來確定導致問題的原因。