Mendapatkan pesan kesalahan "Otoritas Keamanan Lokal tidak dapat dihubungi" ketika logonHours dibatasi

Saya mencoba mendefinisikan logonHours untuk pengguna Remote Desktop di Windows Server 2012; Diperlukan Otentikasi Tingkat Jaringan untuk koneksi jarak jauh. Ketika akun dengan logonHours terbatas (didefinisikan dalam ActiveDirectory) mencoba untuk terhubung pada waktu yang ditolak, klien (Remote Desktop Connection) merespons dengan:

An authentication error has occurred.
The Local Security Authority cannot be contacted.

Jika akun mencoba masuk pada waktu yang diizinkan, semuanya berfungsi dengan baik. Jika Otentikasi Level Jaringan tidak diperlukan, maka klien terhubung ke server, yang menolak masuk, tetapi menampilkan pesan kesalahan yang jauh lebih baik "Akun Anda memiliki batasan waktu ..."

Apakah ada beberapa cara untuk tetap membutuhkan NLA, tetapi berikan pemberitahuan ramah tentang batasan waktu? Apakah saya melewatkan pengaturan kebijakan atau konfigurasi lainnya?

Klien RDP akan menampilkan pesan kesalahan yang bagus dan dapat digunakan jika Anda menjalankannya dari mesin yang bergabung dengan domain tepercaya, dan klien RDP harus dapat menyelesaikan nama host server RDP (host sesi).

• Klien RDP harus bergabung dengan domain yang mempercayai domain tempat server RDP berada
• Tanggal dan waktu harus disinkronkan
• Hubungkan ke server RDP menggunakan nama host atau FQDN, bukan alamat IP-nya

Kesalahan ini akan terjadi jika salah satu dari persyaratan di atas tidak terpenuhi.

Dalam hal ini, ini sebenarnya disebabkan oleh keamanan tambahan yang disediakan oleh NLA. Ini adalah fitur . Komputer yang tidak dipercaya oleh domain server RDP seharusnya tidak dapat memperoleh segala jenis informasi tentang akun yang sedang digunakan.

Pesan kesalahan "Otoritas Keamanan Lokal tidak dapat dihubungi" mencegah kebocoran informasi tentang apakah akun pengguna tidak valid, kedaluwarsa, tidak dapat dipercaya, dibatasi waktu, atau apa pun yang dapat digunakan penyerang untuk mengidentifikasi akun yang valid, ke komputer yang tidak terpercaya yang menjalankan klien RDP .

Anda meminta pesan kesalahan lapisan aplikasi tetapi Anda menginginkan fitur keamanan lapisan jaringan. Anda tidak dapat memiliki kue dan memakannya juga.

Lapisan jaringan tidak dapat terhubung ke lapisan aplikasi. Jadi pesan yang Anda terima sepenuhnya akurat.

Ditemukan pesan yang sama muncul dari koneksi Win 7 RDP yang gagal ke server Win 2012 R2. Saya menguji koneksi ke server yang sama menggunakan akun yang sama dari macbook saya menggunakan Royal TSX untuk RDP dan mendapat peringatan bahwa kata sandi telah kedaluwarsa. Atur ulang kata sandi dan pengguna dapat masuk melalui sesi Win 7 RDP mereka.

Ini berarti layanan Workstation Anda telah dinonaktifkan. Aktifkan kembali dan Anda harus baik-baik saja.

Jalankan baris perintah dengan hak istimewa Administrator menjalankan perintah berikut:

sc config LanmanWorkstation start= auto
sc start LanmanWorkstation

Harap perhatikan ada spasi setelah mulai = otomatis