logonHoursが制限されているときに「ローカルセキュリティ機関に接続できません」というエラーメッセージが表示される
Windows Server 2012でリモートデスクトップユーザーのlogonHoursを定義しようとしています。リモート接続にはネットワークレベル認証が必要です。ログオン時間が制限されているアカウント(ActiveDirectoryで定義)が拒否された時間に接続しようとすると、クライアント(リモートデスクトップ接続)は次のように応答します。
An authentication error has occurred.
The Local Security Authority cannot be contacted.
アカウントが許可された時間にログインしようとした場合、すべてが正常に動作します。ネットワークレベル認証が不要な場合、クライアントはサーバーに接続します。これにより、ログオンは拒否されますが、「アカウントには時間制限があります...」というはるかに優れたエラーメッセージが表示されます。
それでもNLAを要求する方法はありますが、時間制限についてよりわかりやすい通知を提示しますか?ポリシー設定やその他の構成がありませんか?
信頼する側のドメインに参加しているマシンからRDPクライアントを実行すると、RDPクライアントは適切で使いやすいエラーメッセージを表示し、RDPクライアントはRDPサーバー(セッションホスト)のホスト名を解決できる必要があります。
- RDPクライアントは、RDPサーバーが存在するドメインを信頼するドメインに参加している必要があります
- 日付と時刻を同期する必要があります
- IPアドレスではなく、ホスト名またはFQDNを使用してRDPサーバーに接続する
このエラーは、上記の要件のいずれかが満たされていない場合に発生します。
この場合、これは実際にはNLAによって提供される追加のセキュリティが原因です。 これは機能です。 RDPサーバーのドメインによって信頼されていないコンピューターは、使用されているアカウントに関する情報を取得できません。
エラーメッセージ「ローカルセキュリティ機関にアクセスできません」は、ユーザーアカウントが無効、期限切れ、信頼できない、時間制限があるかどうか、またはRDPクライアントを実行している信頼できないコンピューターに、攻撃者が有効なアカウントを特定するために使用できる情報の漏洩を防ぎます。
Win 2012 R2サーバーへの失敗したWin 7 RDP接続から同じメッセージが見つかりました。 Royal TSX for RDPを使用してMacbookの同じアカウントを使用して同じサーバーへの接続をテストしましたが、パスワードの有効期限が切れているという警告が表示されました。パスワードをリセットすると、ユーザーはWindows 7 RDPセッションを介してログオンできました。
アプリケーション層のエラーメッセージを要求していますが、ネットワーク層のセキュリティ機能が必要です。ケーキを食べて食べることはできません。
ネットワーク層はアプリケーション層に接続できません。したがって、受け取るメッセージは完全に正確です。