Hallo
Vielen Dank für Ihren Beitrag im Q&A-Forum.
Sie können versuchen, Domänencomputer (Server oder Clients) am RODC-Standort anzumelden, und dann überprüfen, ob das gleiche Problem vorliegt.
Sie können auch festlegen, dass das Benutzerkennwort und das Kennwort des Domänencomputers, das Sie verwenden, auf RODC repliziert werden.
Referenz.
Wenn es oben nicht funktioniert,Ein RODC (schreibgeschützter Domänencontroller) wird in der Regel in Szenarien verwendet, in denen eine erhöhte Sicherheit erforderlich ist, z. B. in Zweigstellen oder an Standorten mit schwächerer physischer Sicherheit. Sie bieten mehrere Vorteile, sind aber auch mit Einschränkungen verbunden, insbesondere da sie bestimmte Vorgänge nicht ausführen können, die einen beschreibbaren Zugriff oder interaktive Funktionen erfordern, die normalerweise von einem beschreibbaren DC (Domain Controller) verarbeitet werden.
Aus Ihrer Beschreibung geht hervor, dass das Problem mit der Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) für RDP-Verbindungen (Remote Desktop Protocol) zusammenhängt. NLA verbessert die Sicherheit, indem es erfordert, dass der Benutzer beim Remotecomputer authentifiziert wird, bevor eine Sitzung eingerichtet wird, was in der Regel die Interaktion mit einem beschreibbaren Domänencontroller erfordert.
Hier sind einige Überlegungen und Schritte, die Sie unternehmen können:
- RODC-Einschränkungen: RODCs können bestimmte Authentifizierungsanforderungen, die einen beschreibbaren Domänencontroller erfordern, nicht verarbeiten, was möglicherweise der Grund dafür ist, dass NLA fehlschlägt. In der Regel erfordert NLA Zugriff auf einen beschreibbaren Domänencontroller, um Anmeldeinformationen und Sicherheitsrichtlinien zu überprüfen.
- Firewall-Konfiguration: Da Sie festgestellt haben, dass das Öffnen der entsprechenden Ports in der Firewall für einen beschreibbaren DC das Problem behebt, deutet dies darauf hin, dass die RDP-Sitzung Zugriff auf den beschreibbaren DC für NLA und andere Authentifizierungsprozesse erfordert.
- NLA und RODC: Leider sind RODCs schreibgeschützt und unterstützen die interaktiven Anmelde- und Authentifizierungsprozesse, die für NLA erforderlich sind, nicht vollständig. Dies bedeutet, dass die NLA-Authentifizierung nicht vollständig auf einen RODC ausgelagert werden kann und stattdessen Kontakt mit einem beschreibbaren DC erfordert.
- Ändern der Firewall-Regeln: Erwägen Sie die Änderung der Firewall-Regeln, um die erforderlichen Ports für die NLA-Kommunikation mit beschreibbaren DCs zuzulassen und gleichzeitig die allgemeine Netzwerksicherheit zu gewährleisten.
Ich hoffe, die obigen Informationen sind hilfreich.
Wenn Sie Fragen oder Bedenken haben, können Sie uns dies gerne mitteilen.
Alles Gute
Gänseblümchen Zhou
============================================
Wenn die Antwort hilfreich ist, klicken Sie bitte auf "Antwort akzeptieren" und stimmen Sie der Antwort zu.