У нас есть сервер RDS 2008 R2, присоединенный к домену, где вход в систему отклоняется для учетных записей домена (даже администраторов домена), поступающих непосредственно через Интернет, но он отлично работает через VPN или внутренне.
Сервер RDS также имеет несколько локальных учетных записей, и эти входы в систему отлично работают напрямую через Интернет или через VPN. Домен контролируется SBS 2003.
Некоторая конфигурация и блокировка были выполнены давно на этом сервере, поэтому я не уверен, связано ли это с какой-либо конфигурацией или это проблема Windows.
Я не думаю, что это проблема Windows или аппаратного брандмауэра, поскольку попытка входа в систему по RDP достигает сервера. Неудачный вход в систему записывается в средстве просмотра событий:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: testuser
Account Domain: testdomain
Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xc000006d
Sub Status: 0x0
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: testPC
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Все одиночные тире выше дословно взяты из записи журнала, я не вставлял их для конфиденциальности.
Оказывается, эта проблема связана с KB3002657 и KB3046049: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2003_Server/Q_28642944.html
Я удалил KB3046049, и проблема исчезла на несколько недель. Недавно проблема вернулась, поэтому я удалил KB3002657, и проблема снова исчезла. Надеюсь, на этот раз так и останется.
Смотрите также: http://windowsitpro.com/patch-tuesday/patch-tuesday-kb3002657-causing-authentication-problems-exchange-other-apps
Вы ошиблись, когда сказали, что локальные учетные записи работают напрямую через Интернет. Затем вы бросили еще один, когда сказали, что проверка подлинности достигает сервера, когда вы смотрите журнал.
Я могу придумать только 2 ответа. Поскольку вы сказали, что конфигурация блокировки была сделана раньше, я посмотрю в двух местах.
Вы проверили группу пользователей удаленного рабочего стола, чтобы узнать, кто в ней есть? Возможно, присутствуют только локальные учетные записи, а не учетные записи домена. Наконец, проверьте gpo, которому принадлежит этот сервер. В частности, конфигурация компьютера> настройки Windows> локальные политики> назначение прав пользователей> разрешить вход через rds.