我正在尝试为Windows Server 2012上的远程桌面用户定义login时间; networking级别authentication是远程连接所必需的。 当具有受限logonHours(在ActiveDirectory中定义)的帐户尝试在拒绝时间进行连接时,客户端(远程桌面连接)将响应:
An authentication error has occurred. The Local Security Authority cannot be contacted. 如果帐户试图在允许的时间login,一切正常。 如果networking级别身份validation不是必需的,那么客户端连接到服务器,拒绝login,但显示更好的错误消息“您的帐户有时间限制…”
还有什么方法还需要NLA,但是提出关于时间限制的更友好的通知? 我是否缺less策略设置或其他configuration?
如果从连接到信任域的计算机运行RDP客户端,RDP客户端将显示一个很好的可用错误消息,并且RDP客户端必须能够parsingRDP服务器(会话主机)的主机名。
如果没有满足上述任何要求,则会发生此错误。
在这种情况下,这实际上是由NLA提供的附加安全性引起的。 这是一个function 。 不受RDP服务器域信任的计算机不应该能够获取有关正在使用的帐户的任何types的信息。
错误消息“本地安全机构无法联系”阻止信息被泄漏到用户帐户是否无效,过期,不受信任,时间限制或攻击者可能用于识别有效帐户的任何其他信息泄漏到运行RDP客户端的不可信计算机。
您正在询问应用层错误消息,但您需要networking层安全function。 你不能吃你的蛋糕,也吃不了。
networking层无法连接到应用程序层。 所以你收到的信息是完全准确的。
从失败的Win 7 RDP连接到Win 2012 R2服务器时发现了相同的消息。 我使用皇家TSX for RDP从我的macbook中使用相同的帐户testing了连接到同一台服务器,并得到密码已过期的警告。 重置密码,用户可以通过他们的Win 7 RDP会话login。
这意味着您的Workstation服务已被禁用。 重新启用它,你应该很好去。
使用pipe理员权限启动命令行运行以下命令:
sc config LanmanWorkstation start= auto sc start LanmanWorkstation
请注意在开始=自动后有一个空格