Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Имя хоста RDP вызывает ошибку NLA, RDP по IP-адресу работает.

На чтение 5 мин Просмотров 1 Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Анализ проблемы
  4. Рекомендации
  5. Заключение

Вопрос или проблема

У меня есть локальный контроллер домена (DC02) с относительно простой настройкой AD, который существует уже достаточно долго – возможно, 6-10 лет. Я переместил несколько ВМ с одного гипервизора на другой (ESXi на Proxmox). Не думаю, что это имеет значение, но всегда полезно поделиться дополнительной информацией на случай, если она пригодится. Записи домена на сервере выглядят нормально, как в прямой, так и в обратной зонах поиска отображается правильный IP-адрес.

  • Когда я подключаюсь через RDP по IP-адресу, все работает прекрасно.
  • Когда я подключаюсь через RDP по имени хоста (W2022-DEV), это не работает (я получаю ошибку с сообщением: “Удаленный компьютер, к которому вы пытаетесь подключиться, требует уровня сетевой проверки подлинности (NLA), но ваш контроллер домена Windows не может быть получен для выполнения NLA. Если вы администратор на удаленном компьютере, вы можете отключить NLA, используя параметры на вкладке Удаленный доступ в диалоговом окне Свойства системы.”)

Я решил попробовать еще одну вещь. В какой-то момент я уже создал другую зону под названием ‘local’ в прямых зонах поиска. Если я создам W2022-DEV там и затем подключусь к W2022-DEV.local – это также работает нормально.

Есть идеи, что я неверно настроил, что могло бы это вызвать? Дополнительная информация о самом DC:

Когда я запускаю:

NSLOOKUP DC02 W2022-DEV, я получаю следующее:

Запрос DNS завершился временем ожидания.
    время ожидания составило 2 секунды.
Сервер:   Неизвестный
Адрес:   192.168.111.24

Запрос DNS завершился временем ожидания.
    время ожидания составило 2 секунды.
Запрос DNS завершился временем ожидания.
    время ожидания составило 2 секунды.
*** Запрос к Неизвестному завершился временем ожидания

Адрес .24 соответствует машине W2022-DEV.

Какие операционные системы вы используете, является ли DC старым? Они обновлены до последней CU?

  1. В PowerShell выполните Test-ComputerSecureChannel с ВМ, чтобы проверить, полностью ли она подключена к AD.
  2. Вам может понадобиться настроить безопасность RDP, пока вы устраняете неполадки – я делаю это через GPO
    https://i.sstatic.net/M1FgJ.png

Microsoft говорит, что причина может быть следующей:

  • Виртуальная машина не может установить связь с контроллером домена (DC). Эта проблема может помешать сеансу RDP получить доступ к ВМ с использованием учетных данных домена. Однако вы все равно сможете войти, используя учетные данные локального администратора. Эта проблема может возникнуть в следующих ситуациях:
  • Канал безопасности Active Directory между этой ВМ и DC сломан. У ВМ есть старая копия пароля учетной записи, а у DC есть более новая копия.
  • DC, к которому подключается эта ВМ, не функционирует корректно.
  • Уровень шифрования ВМ выше, чем тот, который используется клиентским компьютером.
  • Протоколы TLS 1.0, 1.1 или 1.2 (сервер) отключены на ВМ. ВМ была настроена так, чтобы запретить вход с использованием учетных данных домена, а Локальный орган безопасности (LSA) настроен неправильно.
  • ВМ была настроена для приема только соединений, соответствующих стандартам Федеральной информационной обработки (FIPS). Это обычно делается с использованием политик Active Directory. Это редкая конфигурация, но FIPS может применяться только для удаленных подключений к рабочему столу.

Ответ или решение

Когда вы сталкиваетесь с проблемой, связанной с ошибкой NLA (Network Level Authentication) при попытке подключения к удаленному компьютеру по имени хоста, в то время как подключения по IP-адресу проходят успешно, это может вызывать множество вопросов. Рассмотрим подробно основные аспекты и возможные решения данной ситуации.

Анализ проблемы

  1. Сетевые настройки и DNS:

    • Ваш DNS-сервер (в данном случае ваш контроллер домена DC02) должен правильно разрешать имя хоста W2022-DEV в соответствующий IP-адрес. Вы упомянули, что при выполнении команды NSLOOKUP возникла ошибка "DNS request timed out", что говорит о возможных проблемах связи между вашим виртуальным компьютером и контроллером домена.
    • Убедитесь, что ваш сервер DNS (DC02) правильно настроен, и записи для W2022-DEV существуют в соответствующей зоне. Выполните команду ipconfig /all на W2022-DEV, чтобы убедиться, что DC02 указан как основной DNS-сервер.

  2. Проблемы с безопасностным каналом:

    • Как вы уже заметили, возможно, возникла проблема с безопасным каналом между вашей виртуальной машиной и контроллером домена. Для диагностики используйте команду PowerShell: Test-ComputerSecureChannel. Эта команда поможет установить, правильно ли ваша виртуальная машина подключена к AD и не поврежден ли безопасный канал.

  3. Настройки NLA:

    • Поскольку вы получаете ошибку, связанную с NLA, попробуйте временно отключить эту функцию, если это возможно, на тестируемом устройстве. Доступ к параметрам удаленного рабочего стола можно получить через панель управления (Система и безопасность -> Система -> Настройки удаленного доступа).

  4. Групповые политики:

    • Проверьте, не применяются ли групповые политики, которые могут влиять на настройки безопасности RDP. Обратите внимание на параметры, связанные с уровнями шифрования и требованиями к аутентификации.

Рекомендации

  • Проверка состояния контроллера домена: Убедитесь, что ваш доменный контроллер (DC02) функционирует правильно, запускается и доступен в сети. Используйте команду dcdiag для диагностики возможных проблем с работой DC.

  • Проверка обновлений: Убедитесь, что все системы, включая ваш контроллер домена и вашу виртуальную машину, обновлены до последней версии. Применение последних обновлений поможет избежать потенциальных уязвимостей и проблем совместимости.

  • Использование IP-адреса для устранения: Поскольку подключение по IP-адресу работает, это может быть временным решением при выполнении задач администрирования, пока проблема с DNS не будет решена.

Заключение

Проблема с ошибкой NLA при использовании имени хоста на вашей виртуальной машине W2022-DEV в значительной степени может быть связана с неверными настройками DNS или проблемами в связи с контроллером домена. Следуя вышеприведённым рекомендациям, вы сможете диагностировать и устранить эту проблему.

Данный краткий план направит вас на решение, а постоянная проверка сетевых настроек и безопасного канала является важным шагом для обеспечения надёжной работы вашей среды Active Directory.

active-directory rdp
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности