リモートデスクトップを使用して、最初にローカルにログオンせずにWindows 7ドメインユーザーアカウントに接続しますか?
Windows 7 Enterpriseを実行しているDellラップトップ(以降、これをサーバーと呼びます)を持っています。サーバーは私の会社のドメインの一部です。私のプライマリユーザーアカウントはドメインアカウントです。
家にいてドメインに接続していないときは、MacBook Proからリモートデスクトップ接続を使用してサーバーに接続することを好みます(これをクライアントと呼びます)。問題は、サーバーに物理的にログインしないと、クライアントからRDCを使用してサーバーに接続できないことです。
サーバーにローカル管理者アカウントがあり、RDC経由で接続しても問題ありません。
Mac RDCアプリケーションでは完全な話ができないと感じたので、Windows7クライアントから同じ手順を試しました。ログインしようとすると、次のメッセージが表示されます。
An authentication error has occured.The local security authority cannot be contacted.
したがって、基本的に、ドメインユーザーを使用してサーバーに物理的にログオンし、コンピューターをロックすると、クライアントから正常にログオンできます。そうしないと、接続できません。
チェックする必要がある2つのことがあります:
- ドメインユーザーはローカルグループに属している必要がありますリモートデスクトップユーザーまたは管理者(サーバー上)
- ローカルセキュリティポリシー(secpol.msc)を使用してサーバーのセキュリティポリシーを確認します。ユーザーが参加していないことを確認してくださいリモートデスクトップサービスを介したログオンを拒否します。これはローカルポリシー\ユーザー権利の割り当てにあります。
通常、ポリシーを確認する必要はありませんリモートデスクトップサービスを介したログオンを許可するリモートデスクトップユーザーはすでにこのポリシーに追加されているためです。これらのポリシーは、ドメインを介して管理できるため、変更を加えることはできません。
ドメインユーザーには、ユーザー設定のアカウントタブ内に「ログオン先...」制限が設定されていますか?そのようなアカウントを使用すると、同様のエラーが発生します。
また、コンテンツフィルターアプライアンスがWindows 7コンピューターへの(VPNを使用するリモートユーザーからの)受信要求を許可しないが、ホストコンピューターからリモートラップトップへの送信接続を許可する場合がありました。アウトバウンド接続が確立されると、インバウンド要求が再送信され、接続は期待どおりに機能します。
私の経験では、キャッシュされた資格情報を使用してドメインアカウントでシステムにリモートでログオンすることはできません。
サーバー(必ずしもクライアントである必要はありません)必要リモートユーザーがアクセスできるようにするために、ドメインコントローラーでリモートユーザーを認証できるようにする必要があります。ローカルにログインしているユーザーは、この要件を免除されます。なぜ違いがあるのか、それを回避する方法があるのか、私にはわかりません。
以前、ラップトップ(Server 2003または2008を実行している)をファイアウォールの背後にあるリモートサイトに持ち出し、システムがドメインコントローラーに到達できないようにしたときにこれに遭遇しました。ネットワーク上の他のシステムは、DCと通信できるように構成されていますが、私のものではありません。このような状況では、キャッシュされた資格情報を使用して、ドメインアカウントを使用してラップトップにローカルでログインできます。また、ドメインアカウントを使用して、DCと通信できるネットワーク上の任意のシステムにリモートでログインすることもできます。
ただし、これらのネットワークシステムの1つであるfromに来ると、DCと通信できない間、ドメインアカウントを使用してラップトップにリモートでログインできません。この時点で、私のドメインアカウントはローカルのAdministratorsグループにあり、通常、ローカルでログインしたセッションがすでに実行されています。
まだマシンにログインしていない場合、これを回避する方法は見つかりませんでしたが、通常は仕事から家に帰るときにマシンをスリープ状態にして、問題を回避します。スリープ状態から復帰すると接続できますリモートデスクトップ経由。
実際のWindowsサーバーオペレーティングシステムではこの問題は発生しませんが、OSのクライアントバージョンでは問題が発生します。