修改这个问题更简洁,巩固几个修订.
症状:
来自域成员的Windows 7客户端:
>域控制器的域凭据=>成功
>成员服务器的域凭据(按主机名或FQDN)=>成功
>成员服务器的域凭据(通过IP)=>失败
>成员服务器的本地凭据(通过其中之一)=>成功
来自非域成员的Windows 7客户端:
>域控制器的域凭据=>成功
>成员服务器的域凭据=>失败
>成员服务器的本地凭据=>成功
>(来自Mac RDC 2.1客户端的相同行为)
Server配置详细信息:
> Windows 2008 R2 Datacenter w / SP1
>相关域是Windows 2008域(林根)的子域.
> Root在站点A和站点B中都有DC,子站点在站点B中只有DC.
> RDP在所有根成员服务器和DC上正常运行.
> GPO未定义远程桌面设置.
>启用网络级别身份验证;所有客户端都兼容,证书交换/ SSL握手成功完成.
>没有捕获netlogon日志中的任何错误.
>如果您在本地组中看到SID,那么您的DNS或AD访问将从该服务器混乱到子域或父域IMO. RDP访问可能是一个红色鲱鱼,真正的问题是与AD的正确连接.您是否有关于无法解决帐户的事件日志事件等?在健康的服务器中,您永远不应该看到SID的IMO(除非删除帐户).
> GPO可能会影响成员服务器安全策略“允许通过远程桌面服务登录”或计算机GPO配置中经常被遗忘的“拒绝通过远程桌面服务登录”.您可能会被排除在第一个或添加到第二个成员服务器GPO之外,然后可以通过“默认域控制器策略”在DC容器级别覆盖它.在您的成员服务器上运行组策略结果,并查看显示的内容:
> GPO可能会影响成员服务器安全策略“允许通过远程桌面服务登录”或计算机GPO配置中经常被遗忘的“拒绝通过远程桌面服务登录”.您可能会被排除在第一个或添加到第二个成员服务器GPO之外,然后可以通过“默认域控制器策略”在DC容器级别覆盖它.在您的成员服务器上运行组策略结果,并查看显示的内容:
computer config > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignments > two settings in quotes above