Používatelia sa začali sťažovať, že pri pokuse o pripojenie k farme RDS (Remote Desktop Server) založenej na systéme Windows Server 2008 R2 pomocou štandardného klienta RD (mstsc.exe) sa občas objavila chyba.
Pripojenie nie je možné dokončiť, pretože vzdialený počítač, ktorý ste dosiahli, nie je ten, ktorý ste zadali. Môže to byť spôsobené zastaranou položkou v pamäti cache DNS. Skúste namiesto názvu použiť IP adresu počítača.Konfigurácia farmy RDS: 3 servery so systémom Windows Server 2008 R2 s nástrojom RD Connection Broker, ktoré sa používajú na distribúciu záťaže na termináloch a možnosti opätovného pripojenia k reláciám. Skutočnosť, že sa chyba vznáša, okamžite naznačila, že je problém s jedným zo serverov farmy. Postupným vyhľadávaním sme našli problémový server a pripojili sme ho k pracovnej ploche pomocou adresy IP.
Len v prípade, že som začal znova registrovať serverový záznam v DNS:
ipconfig / registerdns
A na klientovi, po niekoľkých minútach, zrušil lokálnu vyrovnávaciu pamäť DNS:
ipconfig / flushdns
Neexistoval však žiadny účinok. So serverom už neboli žiadne zvláštnosti, takže som musel používať služby Google. Z omylu som okamžite prešiel k článku v databáze Microsoft Knowledge Base: https://support.microsoft.com/en-us/kb/2493594 (Pripojenie RDP k serveru Remote Desktop so systémom Windows Server 2008 R2 môže zlyhať so správou „Lokálny bezpečnostný úrad nie je možné kontaktovať“).
V riešení navrhovanom v článku sa navrhlo vyskúšať zníženie úrovne protokolu používaného na šifrovanie spojení RDP pomocou SSL (na autentifikáciu sa používa TLS 1.0) na bezpečnostnú vrstvu RDP (vstavané, menej bezpečné šifrovanie RDP)..
poznámka. Toto nastavenie sa nachádza v časti Konfigurácia hostiteľa relácie vzdialenej pracovnej plochy -> Microsoft RDP 7.1 -> Vlastnosti -> Bezpečnostná vrstva
Naša konfigurácia však už používala metódu Negotiate, ktorá predpokladá automatické prepínanie z TLS na bezpečnostnú vrstvu RDP, ak klient nepodporuje prvú metódu.
A tu náhodou zistím, že čas na problémovom serveri je za časom na radiči domény. V skutočnosti sa ukázalo, že tento server (bol virtuálny) bol umiestnený na hostiteľovi ESXi s nesprávnym časom a v nastaveniach nástrojov VMWare Tools bola povolená možnosť synchronizácie času s hostiteľským hypervízorom (synchronizácia času medzi virtuálnym strojom a serverom ESX)..
Musel som vypnúť synchronizáciu s ESXi a reštartovať časovú službu Windows, aby sa čas synchronizoval s DC.
čisté zastavenie w32time
čistý začiatok w32time
Potom sa používatelia začali bez problémov pripojiť na všetky servery RDS na farme..
poznámka. Ak sa pokúsite pripojiť k špecifickému serveru v farme RDS podľa názvu, objaví sa tiež chyba „Môže to byť spôsobené zastaranou položkou v vyrovnávacej pamäti DNS“. Pri tomto spôsobe pripojenia môže vyvažovač Connection Broker presmerovať klienta na iného hostiteľa RD (s iným menom DNS a IP adresou), v dôsledku RDP, klient zistí nesúlad medzi zadanou adresou a adresou servera, na ktorom sa vykonáva autorizácia, a vygeneruje chybu. Preto pri pripájaní musíte vždy zadať názov farmy RD.