RDP na domenie 2008 R2 już nie działa - możliwy problem z Kerberosem


Wszystko działało dobrze i nie dokonano żadnej zmiany. Ze względów niezrozumiałe, nie możemy już połączyć za pomocą protokołu RDP do żadnych komputerów domeny z wyjątkiem samych kontrolerów domeny. Obejmuje to klientów z systemem Windows 7 i serwery niekontroli od 2008 r. R2. Po wprowadzeniu hasła natychmiast otrzymasz następujący komunikat o błędzie:
Próba logowania nie powiodła się.
Żadnych innych informacji i nic wartościowego w dzienniku zdarzeń komputera docelowego. Jedyną wskazówką dotyczącą tego, co jest nie tak, jest sprawdzenie dziennika zabezpieczeń na jednym z kontrolerów domeny, który pokazuje następujący błąd audytu (4769) po każdej próbie logowania:
A Kerberos service ticket was requested.Account Information:
Account Name: <user>@<domain>
Account Domain: <domain>
Logon GUID: {00000000-0000-0000-0000-000000000000}Service Information:
Service Name: <user>@<domain>
Service ID: NULL SIDNetwork Information:
Client Address: ::ffff:<ip>
Client Port: 64170Additional Information:
Ticket Options: 0x40810000
Ticket Encryption Type: 0xffffffff
Failure Code: 0x1b
Transited Services: -This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested.This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.Ticket options, encryption types, and failure codes are defined in RFC 4120.

Z moich własnych wyników wynika, że ​​ma to coś wspólnego z głównymi nazwami usługi. Jest to jednak obszar, którego wcześniej nie dotykałem. Jakieś pomysły, jak ponownie uruchomić PROW?
Próbowałem już zastosować wszystkie aktualizacje systemu Windows i zrestartować klienta, kontroler docelowy i kontrolery domeny. Bez efektu. Nie ma to wpływu na inne usługi, takie jak udostępnianie plików.
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

spn są zdefiniowane po stronie serwera. Ponieważ nie możesz zalogować się do wszystkich klientów i serwerów, problem musi być gdzie indziej. Czy ktoś inny zmienił ustawienia zasad grupy? (Zezwalaj na logowanie za pośrednictwem usług pulpitu zdalnego)
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Czy możesz zalogować się bezpośrednio na serwer za pomocą konta, które powoduje komunikat o błędzie?
Aby zawęzić problem, możesz spróbować wyłączyć uwierzytelnianie w warstwie sieciowej na jednym ze swoich serwerów: Admintools - & > Konfiguracja sesji pulpitu zdalnego - & > Poziom bezpieczeństwa: ustaw na RDP.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się