ロギングがオンになっていない限り、Windowsファイアウォールは接続を拒否します
Windowsミステリー洞窟から:
windows Server 2008 R2リモートデスクトップセッションホストにアクセスしようとしているユーザーは、接続の確立を試みるとネットワークタイムアウトが発生します。リモートデスクトップの例外が有効になり、(他のサブネットの中でも)リモートサブネット192.168.202.0/23に制限されました。ユーザーホストのIPアドレスは192.168.203.63です。ファイアウォールログには、このIPアドレスでドロップされた接続試行エントリは含まれていません。
ドメインプロファイルのWindowsファイアウォールログ設定を変更し、このように成功した試行のログを有効にすると、
接続は正常に確立を開始し、ファイアウォールログの「ALLOW」エントリでログに記録されます。成功した試行のログ記録を無効にすると、ユーザーの接続確立が再び中断されます。ホストIPアドレスが192.168.203.71の別のユーザーのマシンは影響を受けていないようで、ロギングが無効になっていても接続を開始できます。
WTH?実際にロギングを有効にする以外に、ロギング設定は正確にどのように変更されますか?
これは偶然か副作用のどちらかであったようです。クライアント側からのネットワークトレースを使用して接続タイムアウトを分析した後、根本的な原因はクライアントでの60秒の一般的なネゴシエーションタイムアウトであることが明らかになりました。タイムアウトクロックは、TLSハンドシェイクとx.204ハンドシェイクが完了するのを待っているようで、繰り返し期限切れになっています。
この理由は、クライアントがプロキシ経由でのみインターネットへのアクセスを許可されているため、サーバーの証明書のCAの現在の証明書失効リストを取得できないためです。選択したプロキシ構成方法は、特定のサイトで [〜#〜] pac [〜#〜] であり、CRL更新方法はPACをサポートしていないようです。代わりに、直接接続を実行するか、 [〜#〜] wpad [〜#〜] を介してプロキシ情報を取得しようとしています。どちらにも独自のタイムアウトタイマーがあり、合計で60秒を超えます。その結果、リモートデスクトップ接続の試行全体が失敗します。回避策は、IEインターネットオプションでプロキシを手動で構成することでした。
ただし、接続障害のファイアウォールロギングを有効/無効にすることと相関関係がある理由はわかりません。
コントロールパネル-システムとセキュリティセクションシステム)リモートアクセスを許可するで、リモートデスクトップ接続のセキュリティ設定を下げてみてください。ウィンドウが開きますシステムのプロパティタブリモート。ウィンドウの下部には、グループリモートデスクトップがあり、リモートデスクトップのセキュリティレベルを設定できます。 ---(変更 fromネットワークレベル認証を使用してリモートデスクトップを実行しているコンピューターからの接続のみを許可する(より安全)to- 任意のバージョンのリモートデスクトップを実行しているコンピューターからの接続を許可する(安全性が低い)