Tôi đã gặp lỗi sau khi cố gắng kết nối qua RDP với máy chủ từ xa trong miền AD. Sau khi chỉ định thông tin đăng nhập miền chính xác cho người dùng RDP, thông báo lỗi xuất hiện (hiển thị bên dưới) và cửa sổ máy khách RDP đóng lại.
Máy tính từ xa không thể xác minh danh tính của máy tính từ xa vì có sự khác biệt về ngày giờ giữa máy tính của bạn và máy tính từ xa. Đảm bảo đồng hồ trên máy tính của bạn được đặt thành thời gian chính xác, sau đó thử kết nối lại. Nếu sự cố xảy ra một lần nữa, hãy liên hệ với quản trị viên mạng của bạn hoặc chủ sở hữu của máy tính từ xa.
Do lỗi xuất hiện, ứng dụng khách RDP không thể xác thực bằng cách sử dụng Kerberos, vì chênh lệch thời gian giữa máy tính cục bộ và máy tính từ xa vượt quá 5 phút. Nhưng trong trường hợp của tôi thì điều đó không đúng:khi mở bảng điều khiển máy chủ từ xa qua ILO, tôi đảm bảo rằng thời gian và múi giờ giống nhau trên cả hai máy tính (và được lấy từ cùng một máy chủ NTP nguồn).
Bạn có thể thử kiểm tra thời gian trên máy tính từ xa bằng lệnh sau:
net time \\remote-computer-IP-address
Bạn có thể đồng bộ hóa thời gian theo cách thủ công trong trường hợp và khởi động lại dịch vụ w32time:
w32tm /config /manualpeerlist:your_ntp_server_ip NTP,0x8 /syncfromflags:manual
net stop w32time & net start w32time & w32tm /resync
Bài viết này mô tả một số lý do khác khiến thời gian có thể bị sai trên máy tính.
Mẹo . Nếu máy chủ từ xa là máy ảo, hãy đảm bảo rằng đồng bộ hóa thời gian với trình siêu giám sát máy chủ có bị vô hiệu hóa trong cài đặt VM hay không.Nếu bạn có quyền truy cập vật lý vào máy tính từ xa (tôi đã truy cập thông qua bảng điều khiển HPE ILO), hãy kiểm tra máy chủ DNS trong cài đặt bộ điều hợp mạng. Đồng thời đảm bảo rằng bạn có thể truy cập máy chủ DNS này từ máy chủ từ xa của mình. Làm điều đó dễ dàng hơn bằng cách sử dụng lệnh này:
nslookup some_server_name DNSServername
Nếu máy chủ DNS không phản hồi, hãy đảm bảo rằng nó đang hoạt động chính xác hoặc cố gắng chỉ định một địa chỉ máy chủ DNS khác.
Nếu nhiều bộ điều hợp mạng được sử dụng trên máy tính từ xa, hãy đảm bảo rằng bảng định tuyến là chính xác khi truy cập máy chủ DNS. Máy tính có thể cố gắng truy cập máy chủ DNS bằng bộ điều hợp mạng khác, mạng con IP khác.
Cố gắng kết nối với máy tính từ xa bằng địa chỉ IP thay vì tên DNS FQDN đầy đủ trong cửa sổ kết nối máy khách RDP. Trong trường hợp này, Kerberos sẽ không được sử dụng để xác thực.
Đảm bảo rằng mối quan hệ tin cậy với miền AD tồn tại. Để thực hiện, hãy chạy lệnh PowerShell sau:
Test-ComputerSecureChannel
Nếu có các mối quan hệ đáng tin cậy, nó sẽ trả về True.
Để sửa chữa mối quan hệ đáng tin cậy với miền Active Directory, bạn có thể sử dụng lệnh sau:
Test-ComputerSecureChannel -Repair -Credential contoso\your_admin_account_name
Nếu lỗi “Test-ComputerSecureChannel : Cannot reset the secure channel password for the computer account in the domain. Operation failed with the following exception: The server is not operational
”Xuất hiện, hãy kiểm tra tính khả dụng của bộ điều khiển miền từ máy chủ của bạn và mở các cổng TCP / UDP cho dịch vụ“ Miền và độ tin cậy ”bằng công cụ portqry.
Đảm bảo rằng cùng một “Lớp bảo mật RDP” được chọn trên cả máy tính cục bộ và máy tính từ xa. Tham số này có thể được đặt bằng cách sử dụng “ Yêu cầu sử dụng lớp bảo mật cụ thể cho các kết nối từ xa (RDP)” trong phần GPO Cấu hình Máy tính -> Mẫu Quản trị -> Thành phần Windows -> Dịch vụ Máy tính Từ xa -> Máy chủ Phiên Máy tính Từ xa -> Bảo mật bằng cách chọn mức RDP kém an toàn như được mô tả trong bài viết này. Hoặc thực hiện bằng cách sử dụng khóa đăng ký này: HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \ SecurityLayer .
Bạn cũng nên đảm bảo rằng sự cố không liên quan đến những thay đổi gần đây trong giao thức CredSSP.