连接到 CNAMEd RDP 主机时无法存储密码-解网

问：

我们有用户使用客户端 pc/notebooks（已加入域）和 Windows 10/11 并在 2 台（已加入域）服务器上安装默认的一台服务器 RDS 设置。

我们需要让 CNAME 指向活动 RDP 主机。当用户尝试存储密码并连接时，他们会收到密码提示，提示“...因为它的身份没有得到完全验证......”

用户可以在直接连接到主机名（A 记录）时存储其密码。

我尝试执行以下操作：

配置 GPO“允许使用仅限 NTLM 的服务器身份验证委派默认凭据” - 没有帮助
完全禁用 NTLM - 没有帮助

以上都无济于事。我在这里错过了什么？

Active Directory 远程桌面

评论

1赞 Mathias R. Jessen 10/24/2023

是否在托管 RDP 终结点的帐户上注册了 SPN？TERMSRV/ts-eng-1...

0赞 Lukas-N 10/24/2023

@MathiasR.Jessen，这就像魅力一样！感谢您的帮助！

0赞 Mathias R. Jessen 10/24/2023

太好了，不客气。我怀疑您在此期间已经设法阅读了 SPN，但简而言之：SPN 告诉 AD KDC“这是您需要使用其共享密钥来加密此服务的 kerberos 票证的帐户”。

0赞 Lukas-N 10/24/2023

好的，明白。再次感谢！

答：

1赞 Lukas-N 10/24/2023 #1

解决方法是将 cname 添加为 Active Directory 中计算机对象的 SPN。

上一个：按硬件特征（如 Internet 中的 MAC 地址）筛选远程桌面

下一个：不允许远程桌面应用程序的游戏