远程桌面无法验证远程计算机的身份,因为时间/日期不同

时间:2020-01-09 10:46:48  来源:igfitidea点击:

尝试通过RDP连接到AD域中的远程服务器时遇到以下错误。为RDP用户指定正确的域凭据后,将显示错误消息(如下所示),并且RDP客户端窗口关闭。

远程桌面无法验证远程计算机的身份,因为计算机与远程计算机之间存在时间或者日期差异。确保计算机时钟设置为正确的时间,然后再次尝试连接。如果问题再次出现,请与网络管理员或者远程计算机的所有者联系。

从错误中可以看出,由于本地计算机和远程计算机之间的时间差超过5分钟,因此RDP客户端无法使用Kerberos进行身份验证。但是以我为例,事实并非如此:通过ILO打开远程服务器控制台后,我确保两台计算机上的时间和时区都相同(并且是从同一源NTP服务器获得的)。

我们可以尝试使用以下命令检查远程计算机上的时间:

net time \remote-computer-IP-address

我们可以手动同步时间,以防万一并重新启动w32time服务:

w32tm/config/manualpeerlist:your_ntp_server_ip NTP,0x8/syncfromflags:手动净停w32time&净启动w32time&w32tm/resync

本文介绍了为什么计算机上的时间可能会出错的其他原因。

提示。如果远程服务器是虚拟机,请确保在VM设置中是否禁用了与主机管理程序的时间同步。

如果我们对远程计算机具有物理访问权限(我已经通过HPE ILO控制台访问),请在网络适配器设置中检查DNS服务器。另外,请确保我们可以从远程服务器访问此DNS服务器。使用以下命令更容易做到这一点:

nslookup some_server_name DNSServername

如果DNS服务器没有响应,请确保其正常工作,或者尝试指定其他DNS服务器地址。

如果在远程计算机上使用了多个网络适配器,则在访问DNS服务器时,请确保路由表正确。计算机可能会尝试使用另一个IP子网的另一个网络适配器访问DNS服务器。

在RDP客户端连接窗口中,尝试使用IP地址而不是完整的FQDN DNS名称连接到远程计算机。在这种情况下,将不会使用Kerberos进行身份验证。

确保与AD域的信任关系存在。为此,请运行以下PowerShell命令:

Test-ComputerSecureChannel

如果存在受信任的关系,它将返回True。

要修复与Active Directory域的信任关系,可以使用以下命令:

Test-ComputerSecureChannel -Repair -Credential contoso\your_admin_account_name

如果错误

Test-ComputerSecureChannel : Cannot reset the secure channel password for the computer account in the domain. Operation failed with the following exception: The server is not operational

出现,请从服务器检查域控制器的可用性,并使用portqry工具打开"域和信任"服务的TCP/UDP端口。

确保在本地和远程计算机上都选择了相同的RDP安全层。可以使用GPO部分"计算机配置->管理模板-> Windows组件->远程桌面服务->远程桌面会话主机->安全"中的"要求对远程(RDP)连接使用特定安全层"策略来设置此参数。通过选择本文所述的不太安全的RDP级别。或者使用以下注册表项进行操作:" HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer"。

还建议确保问题与CredSSP协议的最新更改无关。