ฉันพบข้อผิดพลาดต่อไปนี้เมื่อพยายามเชื่อมต่อผ่าน RDP ไปยังเซิร์ฟเวอร์ระยะไกลในโดเมน AD หลังจากระบุข้อมูลรับรองโดเมนที่ถูกต้องสำหรับผู้ใช้ RDP ข้อความแสดงข้อผิดพลาดปรากฏขึ้น (แสดงด้านล่าง) และปิดหน้าต่างไคลเอ็นต์ RDP
เดสก์ท็อประยะไกลไม่สามารถตรวจสอบข้อมูลประจำตัวของคอมพิวเตอร์ระยะไกลได้ เนื่องจากคอมพิวเตอร์ของคุณกับคอมพิวเตอร์ระยะไกลมีความแตกต่างระหว่างเวลาหรือวันที่ ตรวจสอบให้แน่ใจว่านาฬิกาในคอมพิวเตอร์ของคุณถูกตั้งค่าเป็นเวลาที่ถูกต้อง จากนั้นลองเชื่อมต่ออีกครั้ง หากปัญหาเกิดขึ้นอีก ให้ติดต่อผู้ดูแลระบบเครือข่ายของคุณหรือเจ้าของคอมพิวเตอร์ระยะไกล
ตามที่ปรากฏจากข้อผิดพลาด ไคลเอ็นต์ RDP ไม่สามารถตรวจสอบสิทธิ์โดยใช้ Kerberos เนื่องจากความแตกต่างของเวลาระหว่างคอมพิวเตอร์ท้องถิ่นและคอมพิวเตอร์ระยะไกลเกิน 5 นาที แต่ในกรณีของฉัน ปรากฏว่าไม่เป็นความจริง เมื่อเปิดคอนโซลเซิร์ฟเวอร์ระยะไกลบน ILO ฉันแน่ใจว่าเวลาและเขตเวลาเหมือนกันในคอมพิวเตอร์ทั้งสองเครื่อง (และได้มาจากเซิร์ฟเวอร์ NTP ต้นทางเดียวกัน)
คุณสามารถลองตรวจสอบเวลาบนคอมพิวเตอร์ระยะไกลโดยใช้คำสั่งนี้:
net time \\remote-computer-IP-address
คุณสามารถซิงค์เวลาด้วยตนเองได้เผื่อไว้และเริ่มบริการ w32time ใหม่:
w32tm /config /manualpeerlist:your_ntp_server_ip NTP,0x8 /syncfromflags:manual
net stop w32time & net start w32time & w32tm /resync
บทความนี้อธิบายสาเหตุอื่นๆ บางประการที่ทำให้เวลาบนคอมพิวเตอร์อาจผิดพลาดได้
เคล็ดลับ . หากเซิร์ฟเวอร์ระยะไกลเป็นเครื่องเสมือน ตรวจสอบให้แน่ใจว่าการซิงโครไนซ์เวลากับไฮเปอร์ไวเซอร์ของโฮสต์ถูกปิดใช้งานในการตั้งค่า VMหากคุณมีการเข้าถึงทางกายภาพของคอมพิวเตอร์ระยะไกล (ฉันมีสิทธิ์เข้าถึงผ่านคอนโซล HPE ILO) ให้ตรวจสอบเซิร์ฟเวอร์ DNS ในการตั้งค่าอะแดปเตอร์เครือข่าย ตรวจสอบให้แน่ใจว่าคุณสามารถเข้าถึงเซิร์ฟเวอร์ DNS นี้จากเซิร์ฟเวอร์ระยะไกลของคุณ ทำได้ง่ายกว่าโดยใช้คำสั่งนี้:
nslookup some_server_name DNSServername
หากเซิร์ฟเวอร์ DNS ไม่ตอบสนอง ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ทำงานอย่างถูกต้องหรือลองระบุที่อยู่เซิร์ฟเวอร์ DNS อื่น
หากใช้อะแดปเตอร์เครือข่ายหลายตัวบนคอมพิวเตอร์ระยะไกล ตรวจสอบให้แน่ใจว่าตารางเส้นทางถูกต้องเมื่อเข้าถึงเซิร์ฟเวอร์ DNS คอมพิวเตอร์อาจพยายามเข้าถึงเซิร์ฟเวอร์ DNS โดยใช้อะแดปเตอร์เครือข่ายอื่นซึ่งเป็นซับเน็ต IP อื่น
ลองเชื่อมต่อกับคอมพิวเตอร์ระยะไกลโดยใช้ ที่อยู่ IP แทนชื่อ FQDN DNS แบบเต็มในหน้าต่างการเชื่อมต่อไคลเอ็นต์ RDP ในกรณีนี้ ระบบจะไม่ใช้ Kerberos สำหรับการตรวจสอบสิทธิ์
ตรวจสอบให้แน่ใจว่ามีความสัมพันธ์ที่เชื่อถือได้กับโดเมน AD โดยเรียกใช้คำสั่ง PowerShell นี้:
Test-ComputerSecureChannel
หากมีความสัมพันธ์ที่เชื่อถือได้ ก็จะคืนค่า True
ในการซ่อมแซมความสัมพันธ์ที่เชื่อถือได้กับโดเมน Active Directory คุณสามารถใช้คำสั่งนี้:
Test-ComputerSecureChannel -Repair -Credential contoso\your_admin_account_name
หากข้อผิดพลาด Test-ComputerSecureChannel : Cannot reset the secure channel password for the computer account in the domain. Operation failed with the following exception: The server is not operational ” ปรากฏขึ้น ให้ตรวจสอบความพร้อมใช้งานของตัวควบคุมโดเมนจากเซิร์ฟเวอร์ของคุณและเปิดพอร์ต TCP/UDP สำหรับบริการ “Domain and Trusts” โดยใช้เครื่องมือ portqry
ตรวจสอบให้แน่ใจว่าได้เลือก "RDP Security Layer" เดียวกันทั้งบนคอมพิวเตอร์ภายในและระยะไกล พารามิเตอร์นี้อาจตั้งค่าได้โดยใช้ “ต้องใช้เลเยอร์ความปลอดภัยเฉพาะสำหรับการเชื่อมต่อระยะไกล (RDP)” นโยบายในส่วน GPO Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security โดยเลือกระดับ RDP ที่มีความปลอดภัยน้อยกว่าตามที่อธิบายไว้ในบทความนี้ หรือทำได้โดยใช้รีจิสตรีคีย์นี้:HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer .
ขอแนะนำให้แน่ใจว่าปัญหาไม่เกี่ยวข้องกับการเปลี่ยนแปลงล่าสุดในโปรโตคอล CredSSP
