尝试通过RDP连接到AD域中的远程服务器时遇到以下错误。为RDP用户指定正确的域凭据后，将显示错误消息(如下所示)，并且RDP客户端窗口关闭。

远程桌面无法验证远程计算机的身份，因为计算机与远程计算机之间存在时间或者日期差异。确保计算机时钟设置为正确的时间，然后再次尝试连接。如果问题再次出现，请与网络管理员或者远程计算机的所有者联系。

从错误中可以看出，由于本地计算机和远程计算机之间的时间差超过5分钟，因此RDP客户端无法使用Kerberos进行身份验证。但是以我为例，事实并非如此：通过ILO打开远程服务器控制台后，我确保两台计算机上的时间和时区都相同(并且是从同一源NTP服务器获得的)。

我们可以尝试使用以下命令检查远程计算机上的时间：

net time \remote-computer-IP-address

我们可以手动同步时间，以防万一并重新启动w32time服务：

w32tm/config/manualpeerlist：your_ntp_server_ip NTP，0x8/syncfromflags：手动净停w32time&净启动w32time&w32tm/resync

本文介绍了为什么计算机上的时间可能会出错的其他原因。

提示。如果远程服务器是虚拟机，请确保在VM设置中是否禁用了与主机管理程序的时间同步。

如果我们对远程计算机具有物理访问权限(我已经通过HPE ILO控制台访问)，请在网络适配器设置中检查DNS服务器。另外，请确保我们可以从远程服务器访问此DNS服务器。使用以下命令更容易做到这一点：

nslookup some_server_name DNSServername

如果DNS服务器没有响应，请确保其正常工作，或者尝试指定其他DNS服务器地址。

如果在远程计算机上使用了多个网络适配器，则在访问DNS服务器时，请确保路由表正确。计算机可能会尝试使用另一个IP子网的另一个网络适配器访问DNS服务器。

在RDP客户端连接窗口中，尝试使用IP地址而不是完整的FQDN DNS名称连接到远程计算机。在这种情况下，将不会使用Kerberos进行身份验证。

确保与AD域的信任关系存在。为此，请运行以下PowerShell命令：

Test-ComputerSecureChannel

如果存在受信任的关系，它将返回True。

要修复与Active Directory域的信任关系，可以使用以下命令：

Test-ComputerSecureChannel -Repair -Credential contoso\your_admin_account_name

如果错误

Test-ComputerSecureChannel : Cannot reset the secure channel password for the computer account in the domain. Operation failed with the following exception: The server is not operational

出现，请从服务器检查域控制器的可用性，并使用portqry工具打开"域和信任"服务的TCP/UDP端口。

确保在本地和远程计算机上都选择了相同的RDP安全层。可以使用GPO部分"计算机配置->管理模板-> Windows组件->远程桌面服务->远程桌面会话主机->安全"中的"要求对远程(RDP)连接使用特定安全层"策略来设置此参数。通过选择本文所述的不太安全的RDP级别。或者使用以下注册表项进行操作：" HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer"。

还建议确保问题与CredSSP协议的最新更改无关。