Windows Server 2008 R2でのリモートデスクトップの問題
この質問をより簡潔にするために修正し、いくつかの改訂を統合しました
症状:
ドメインメンバーのWindows 7クライアントから:
- ドメインコントローラーへのドメイン資格情報=>成功
- メンバーサーバーへのドメイン資格情報(ホスト名またはFQDNによる)=>成功
- メンバーサーバーへのドメイン資格情報(IPによる)=>失敗
- メンバーサーバーへのローカル資格情報(いずれかによる)=>成功
非ドメインメンバーのWindows 7クライアントから:
- ドメインコントローラーへのドメイン資格情報=>成功
- メンバーサーバーへのドメイン資格情報=>失敗
- メンバーサーバーへのローカル資格情報=>成功
- (Mac RDC 2.1クライアントと同じ動作)
サーバー構成の詳細:
- Windows 2008 R2データセンター(SP1付き)
- 問題のドメインは、Windows 2008ドメイン(フォレストルート)のサブドメインです。
- ルートにはサイトAとサイトBの両方にDCがあり、サブドメインにはサイトBにのみDCがあります。
- RDPはすべてのルートメンバーサーバーとDCで正常に動作しています。
- リモートデスクトップ設定はGPOによって定義されていません。
- ネットワークレベルの認証が有効です。すべてのクライアントに互換性があり、証明書交換/ SSLハンドシェイクが正常に完了します。
- Netlogonログでエラーをキャッチしていません。
- ローカルグループにSIDが表示されている場合、DNSまたはADアクセスは、そのサーバーからサブドメインまたは親ドメインのIMOへのアクセスが混乱しています。 RDPアクセスはレッドニシンである可能性があり、実際の問題はADへの適切な接続です。アカウントを解決できないなどのイベントログイベントはありますか?正常なサーバーでは、SIDのIMOは表示されません(アカウントが削除されない限り)。
- GPOがメンバーサーバーのセキュリティポリシーに影響を与えている可能性があります "リモートデスクトップサービスを介したログオンを許可"またはコンピューター内の忘れられがちな "リモートデスクトップサービスを介したログオンを拒否" GPO構成。メンバーサーバーGPOの最初の構成から除外されるか、2番目に追加される可能性があります。その後、DCコンテナーレベルで、「デフォルトのドメインコントローラーポリシー」によって上書きされる可能性があります。 "。メンバーサーバーでグループポリシーの結果を実行し、何が表示されるかを確認します。
コンピューターの構成>ポリシー> Windows設定>セキュリティ設定>ローカルポリシー>ユーザー権利の割り当て>上記の引用符で囲まれた2つの設定
これはすでに言及されているようですが、GPOがRDPへのアクセスを拒否しているように聞こえます。
ドメイン管理者として各メンバーサーバーでGPMCからGPOモデリングを実行し、どのGPOが適用されるかを確認してください。レポートを見て、どの設定を確認できるようになります。はユーザーとコンピューターの両方に適用されます。また、コンソールにログインしてローカルポリシー設定を確認し、そこでGPOログインが拒否されているかどうかを確認します。
それでも問題が解決しない場合は、 netlogonデバッグを有効にして 、ログインしようとしたときにエラーが発生するかどうかを確認してください。