ошибка аутентификации на WS2012 (отказавшие доверительные отношения)
Учитывая следующую установку лаборатории:
HOST1 on Windows Server 2012 R2 (host running Hyper-V, joined test.local domain, static IP)
DC1 on Windows Server 2012 (VM under Hyper-V on HOST1, AD and DNS roles, all defaults with test.local domain)
DC2 on Windows Server 2012 (VM under Hyper-V on HOST1, secondary AD)
DHCP1 on Windows Server 2012 (VM under Hyper-V on HOST1, DHCP role)
HOST2 on Windows Server 2012 R2 (host running Hyper-V, joined test.local domain, static IP)
DC3 on Windows Server 2012 (VM under Hyper-V on HOST2, secondary AD)
DHCP2 on Windows Server 2012 (VM under Hyper-V on HOST2, DHCP role)
Оба хоста на той же подсети и домашнем маршрутизаторе, всех брандмауэрах прочь. Сначала установленный физические хосты, затем VMs. Установленные роли, созданный новый домен, присоединились ко всему VMs, присоединился к хостам, перезапущенным несколько раз, вся польза.
Проблема: При попытке к RDP к HOST1 вчера от моего поля Windows 8.1, как обычно, с пользователем Администратора домена (test\Administrator), никакая радость. Соединение принято, но я добираюсь для принятия сертификата, соединение RDP открывается, и сообщение в удаленном высказывании машины: "Другой пользователь доверительные отношения между этой рабочей станцией и первичным доменом перестал работать". и разъединения за 30 секунд или около этого.
Если я иду с учетной записью (HOST1\Administrator) локального администратора, я могу войти в систему очень хорошо. Кроме того, при вхождении в систему позволяется HOST2 с тем же пользователем Администратора домена (test\Administrator).
Способный зафиксировать его (иногда!) путем перезагрузки обоих хостов пару раз. Таким образом, это похоже на компьютеры, и учетные записи все еще в порядке в AD (никакая потребность воссоединиться или изменить пароли).
Почему это происходит? Где запустить с поиска и устранения неисправностей? Попытка добраться для понимания первопричины, а не просто быстрого исправления.
Сначала проверьте простые вещи. Убедитесь, что время совпадает на всех компьютерах (они должны совпадать, поскольку это Hyper-V, но это быстро проверить). В противном случае проверка подлинности Kerberos может завершиться ошибкой, а неудачный вход в систему на компьютере может отправить сообщение о доверии, если на самом деле проблема не в доверии. Также убедитесь, что DNS-серверы, указанные в параметрах IP-адреса хоста, которые вы статически настроили, являются контроллерами домена по той же причине.
После этого попробуйте запустить сеанс RDP с подключением по IP-адресу вместо имени хоста. Если это работает, значит, у вас либо проблема с сертификатами, либо вы согласовываете протокол безопасности, который используется в соединении.
Вы сказали, что должны принять сертификат перед соединением. Можете ли вы указать причину, по которой вам предлагается принять его? Если сертификат выпущен доменом, ему уже следует доверять.