我正在尝试在
Windows Server 2012上为远程桌面用户定义logonHours;远程连接需要网络级别身份验证.当具有受限制的logonHours(在ActiveDirectory中定义)的帐户尝试在拒绝时间连接时,客户端(远程桌面连接)将响应:
An authentication error has occurred. The Local Security Authority cannot be contacted.
如果帐户尝试在允许的时间登录,一切正常.如果不需要网络级别身份验证,则客户端将连接到拒绝登录的服务器,但会显示更好的错误消息“您的帐户有时间限制…”
有没有办法仍然需要NLA,但提出有关时间限制的更友好的通知?我错过了策略设置或其他配置吗?
如果从加入信任域的计算机运行RDP客户端,RDP客户端将显示一个很好的,可用的错误消息,并且RDP客户端必须能够解析RDP服务器(会话主机)的主机名.
>必须将RDP客户端加入到信任RDP服务器所在域的域中
>必须同步日期和时间
>使用主机名或FQDN连接到RDP服务器,而不是其IP地址
如果不满足上述任何要求,将发生此错误.
在这种情况下,这实际上是由NLA提供的额外安全性引起的.这是一个功能. RDP服务器域不信任的计算机不应该能够获得有关正在使用的帐户的任何类型的信息.
错误消息“无法联系本地安全机构”可防止信息泄露给用户帐户是否无效,过期,不受信任,有时间限制或攻击者可能用于识别有效帐户的任何其他内容,以及运行RDP客户端的不受信任的计算机.