我們有一個客戶具有以下設定:
- DC01帶AD/DC、RD閘道、DHCP、DNS等
- DC02 含 AD/DC、DHCP、DNS 等
- TS01 與研發服務
當使用者嘗試使用 NetBIOS 名稱進行遠端存取時,會隨機出現此問題。根據日誌,kerberos 票證已在 DC 上成功創建,隨後會話與網關斷開連線。在 TS 上找不到表明對 TS 進行過嘗試的日誌。如果我們從 NetBIOS 更改為 IP 位址或內部 FQDN,它將解析並且用戶可以連接,但這並不總是發生。
重新啟動 TS 後,並且沒有進行任何其他更改,使用者就可以連接到 TS。
我們不確定如何進一步解決此問題,作為解決方法,我們嘗試執行每週重新啟動計劃,但這不起作用。如果有人對我們可以查找哪些日誌或我們可以檢查哪些日誌以了解導致問題的原因有任何想法,我們將不勝感激。
答案1
這個問題的根源是Kerberos PAC。 DC02 沒有達到預期的最新狀態,在事件日誌中,我們在 DC01 上發現了多個錯誤事件 37。
我使用了命令:
wevtutil qe System /q:"*[System[Provider[@Name='Microsoft-Windows-Kerberos-Key-Distribution-Center']]]"
從主網域控制器,然後辨識出多個事件 37
解決方案是將 DC02 更新到最新的累積更新,然後在下週監控事件日誌中是否有任何其他事件 37。