Я пытаюсь определить часы входа в систему для пользователей удаленного рабочего стола в Windows Server 2012; Для удаленных подключений требуется проверка подлинности на уровне сети. Когда учетная запись с ограниченным временем входа в систему (определенная в ActiveDirectory) пытается подключиться в запрещенное время, клиент (подключение к удаленному рабочему столу) отвечает следующим образом:
An authentication error has occurred.
The Local Security Authority cannot be contacted.
Если учетная запись пытается войти в разрешенное время, все работает нормально. Если аутентификация на уровне сети не требуется, клиент подключается к серверу, который отклоняет вход в систему, но отображает гораздо более приятное сообщение об ошибке «У вашей учетной записи есть ограничения по времени ...»
Есть ли способ по-прежнему требовать NLA, но представить более дружелюбное уведомление об ограничениях по времени? Мне не хватает параметра политики или какой-либо другой конфигурации?
Клиент RDP отобразит приятное, пригодное для использования сообщение об ошибке, если вы запустите его с машины, которая присоединена к доверяющему домену, и клиент RDP должен иметь возможность разрешить имя хоста сервера RDP (хост сеанса).
Эта ошибка возникает, если не выполняется какое-либо из вышеперечисленных требований.
В данном случае это фактически вызвано дополнительной безопасностью, обеспечиваемой NLA. Это особенность. Компьютер, которому не доверяет домен сервера RDP, не должен иметь возможность получать какую-либо информацию об используемой учетной записи.
Сообщение об ошибке «Невозможно связаться с локальным центром безопасности» предотвращает утечку информации о том, является ли учетная запись пользователя недействительной, просроченной, ненадежной, ограниченной по времени или что-либо еще, что злоумышленник может использовать для идентификации действительных учетных записей на ненадежных компьютерах, на которых запущен клиент RDP. .
Вы запрашиваете сообщение об ошибке на уровне приложения, но вам нужна функция безопасности сетевого уровня. Вы не можете съесть свой торт и съесть его.
Сетевой уровень не может подключиться к прикладному уровню. Итак, сообщение, которое вы получаете, полностью точное.
Обнаружено такое же сообщение, появившееся из-за неудачного подключения Win 7 RDP к серверу Win 2012 R2. Я протестировал подключение к тому же серверу, используя ту же учетную запись из моего MacBook, используя Royal TSX для RDP, и получил предупреждение о том, что срок действия пароля истек. Сбросьте пароль, и пользователь сможет войти в систему через сеанс Win 7 RDP.
Это означает, что ваша рабочая станция отключена. Повторно включите его, и все будет в порядке.
Запустите командную строку с правами администратора, выполните следующую команду:
sc config LanmanWorkstation start= auto
sc start LanmanWorkstation
Обратите внимание, что после start = auto