摘要
使用者可以連線至 RD 工作階段主機伺服器,在該伺服器上執行程式、儲存檔案及使用網路資源。當使用者中斷與工作階段的連線時,在工作階段中執行的所有處理序 (包括應用程式),會繼續在 RD 工作階段主機伺服器上執行。
可以設定 RD 工作階段主機伺服器上的使用者登入模式,以防止在 RD 工作階段主機伺服器上建立新的使用者工作階段。如果計劃將 RD 工作階段主機伺服器離線,以進行維護或安裝新應用程式,可能要防止在 RD 工作階段主機伺服器上建立新的使用者工作階段。
解決方式
若要解決此問題,請先檢查事件識別碼,然後在下面章節中檢視該事件的疑難排解資訊。
下列事件識別碼的解決步驟: 1130
若要解決此問題,請在 RD 工作階段主機伺服器上指定遠端桌面授權伺服器。
若要執行此程序,您必須擁有本機 Administrators 群組的成員資格,或者您必須已經被委派適當的權限。
若要指定遠端桌面授權伺服器:
1. 在 RD 工作階段主機伺服器上開啟遠端桌面工作階段主機設定。若要開啟遠端桌面工作階段主機設定,請按一下 [開始],指向 [系統管理工具],指向 [遠端桌面服務],然後按一下 [遠端桌面工作階段主機設定]。
2. 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
3. 在 [授權] 底下按兩下 [遠端桌面授權伺服器]。
4. 在 [遠端桌面授權伺服器] 區域中按一下 [新增]。
5. 在 [授權伺服器名稱或 IP 位址] 方塊中,輸入伺服器名稱或遠端桌面授權伺服器的 IP 位址。
6. 按一下 [確定],然後再按一下 [確定]。
注意:也可以使用群組原則在 RD 工作階段主機伺服器上指定遠端桌面授權伺服器。
若要使用群組原則在 RD 工作階段主機伺服器上指定遠端桌面授權伺服器,請啟用 [使用指定的遠端桌面授權伺服器] 群組原則設定。這個群組原則設定位於 Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Licensing 中。請注意,群組原則設定的優先順序高於在遠端桌面工作階段主機設定中設定的設定。
若要在 Active Directory 網域服務 (AD DS) 中設定群組原則設定,請使用 [群組原則管理主控台] (GPMC)。若要在 RD 工作階段主機伺服器本機上設定群組原則設定,請使用 [本機群組原則編輯器]。如需進行群組原則設定的詳細資訊,請參閱「本機群組原則編輯器說明」( http://go.microsoft.com/fwlink/?LinkId=143317)或「GPMC 說明」( http://go.microsoft.com/fwlink/?LinkId=143867),上述文章皆儲存於 Windows Server 技術文件庫中。
若要解決此問題,請先檢查事件識別碼,然後在下面章節中檢視該事件的疑難排解資訊。
下列事件識別碼的解決步驟: 1131
若要解決此問題,請執行下列步驟,藉以識別並修正 RD 工作階段主機伺服器與 Active Directory 網域控制站之間的任何網路連線問題:
若要執行上述工作,請參閱下列各節。
注意:以下程序包括使用 ping 命令執行疑難排解的步驟。因此,執行這些步驟之前,請檢查網路的防火牆或網際網路通訊協定安全性 (IPsec) 設定是否容許網際網路控制訊息通訊協定 (ICMP) 流量。ICMP 是 ping 命令使用的 TCP/IP 通訊協定。
若要執行這些程序,您必須具備本機 Administrator 群組的成員資格,或者您必須已經被委派適當的權限。
判斷是否有網路連線問題
若要判斷 RD 工作階段主機伺服器與網域控制站之間的網路連線是否有問題:
1. 在 RD 工作階段主機伺服器中,依序按一下 [開始]、[執行],輸入 cmd,然後按一下 [確定]。
2. 在命令提示字元中,輸入 ping server_FQDN (其中 server_FQDN 是網域控制站的完整網域名稱 (FQDN),例如 server1.contoso.com),然後按 ENTER。
如果 ping 執行成功,您將會收到與下列類似的回覆:
回覆自 IP_address: 位元組=32 時間=3ms TTL=59
回覆自 IP_address: 位元組=32 時間=20ms TTL=59
回覆自 IP_address: 位元組=32 時間=3ms TTL=59
回覆自 IP_address: 位元組=32 時間=6ms TTL=59
3. 在命令提示字元下,輸入 ping IP_address (其中 IP_address 是網域控制站的 IP 位址),然後按 ENTER。
如果您可以使用 IP 位址對網域控制站順利執行 ping 命令,但使用 FQDN 卻失敗,這表示 DNS 主機名稱解析可能有問題。
如果您無法使用 IP 位址對網域控制站順利執行 ping 命令,這表示網路連線、防火牆設定或 IPsec 設定可能有問題。
執行其他疑難排解步驟
以下說明您可額外執行的一些疑難排解步驟,以協助找出發生問題的根本原因:
Ping 網路上的其他電腦,幫助您判斷網路連線問題的範圍。
如果您可以 ping 其他伺服器,但無法 ping 網域控制站,請嘗試從另一部電腦 ping 網域控制站考慮將此角色轉移到其他網域控制站。如果無法從任何電腦 ping 網域控制站,請先確認網域控制站是否正在執行。如果網域控制站正在執行,則請檢查網域控制站的網路設定。
執行下列步驟,檢查本機電腦的 TCP/IP 設定:
1. 依序按一下 [開始] 和 [執行],輸入 cmd,然後按一下 [確定]。
2. 在命令提示字元下,輸入 ipconfig /all,然後按 ENTER。確認列出的資訊是否正確。
3. 輸入 ping localhost,確認本機電腦是否已安裝並正確設定 TCP/IP。如果 ping 失敗,可能表示 TCP/IP 堆疊損毀,或是網路介面卡發生問題。
4. 輸入 ping IP_address,其中 IP_address 是指派給電腦的 IP 位址。如果您可以 ping localhost 位址,但不能 ping 本機位址,則表示路由表或網路介面卡驅動程式可能有問題。
5. 輸入 ping DNS_server,其中 DNS_server 是指派給 DNS 伺服器的 IP 位址。如果網路上的 DNS 伺服器超過一部,您應該 ping 每一部伺服器。如果無法 ping DNS 伺服器,這表示 DNS 伺服器可能有問題,或是電腦和 DNS 伺服器之間的網路可能有問題。
如果網域控制站位於不同的子網站,請嘗試 ping 預設閘道。如果無法 ping 預設閘道,這可能表示網路介面卡、路由器或閘道裝置、纜線或其他連線硬體發生問題。
在 [裝置管理員] 中,檢查網路介面卡的狀態。若要開啟 [裝置管理員],請依序按一下 [開始]、[執行],輸入 devmgmt.msc,然後按一下 [確定]。
檢查電腦以及集線器或路由器上的連線指示燈。檢查網路纜線。
使用 Windows 防火牆搭配進階安全性嵌入式管理單元來檢查防火牆的設定。
使用 IP 安全性原則管理嵌入式管理單元來檢查 IPsec 設定。
事件識別碼 1071 的解決步驟:
若要解決此問題,請使用 chglogon 命令列工具設定 RD 工作階段主機伺服器以允許連線。
若要執行此程序,您必須擁有本機 Administrators 群組的成員資格,或者您必須已經被委派適當的權限。
若要允許連線:
在 RD 工作階段主機伺服器上,開啟提升權限的 [命令提示字元] 視窗。若要以較高的權限來開啟 [命令提示字元] 視窗,請按一下 [開始] 並指向 [所有程式],然後按一下 [附屬應用程式],接著以滑鼠右鍵按一下 [命令提示字元],然後按一下 [以系統管理員身分執行]。
如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在提升權限的 [命令提示字元] 視窗中輸入 chglogon /enable,然後按 ENTER。
若要解決此問題,請先檢查事件識別碼,然後在下面章節中檢視該事件的疑難排解資訊。
下列事件識別碼的解決步驟:1041
若要解決此問題,請使用遠端桌面通訊協定 (RDP) 用戶端 (例如遠端桌面連線) 建立到 RD 工作階段主機伺服器的新連線。
當用戶端電腦在網路暫時中斷後嘗試重新建立與 RD 工作階段主機伺服器的遠端工作階段時,用戶端電腦會嘗試與 RD 工作階段主機伺服器進行驗證。如果為了重新建立連線而在用戶端電腦與 RD 工作階段主機伺服器之間傳遞的資訊損毀,用戶端電腦將無法重新建立遠端工作階段。
如果已選取遠端桌面連線用戶端的 [經驗] 索引標籤中的 [如果中斷則重新連線] 核取方塊,則遠端桌面連線用戶端會自動嘗試重新連線遠端工作階段與 RD 工作階段主機伺服器。
重要:如果指明使用者驗證失敗的事件記錄檔中有多個事件,則表示可能有人嘗試惡意存取 RD 工作階段主機伺服器。
若要執行此程序,您必須擁有本機 Administrators 群組的成員資格,或者您必須已經被委派適當的權限。
若要檢查哪些使用者連線到 RD 工作階段主機伺服器:
1. 在 RD 工作階段主機伺服器中,按一下 [開始],依序指向 [系統管理工具] 和 [遠端桌面服務],然後按一下 [遠端桌面服務管理員]。
2. 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
3. [使用者] 索引標籤中會列出連線至 RD 工作階段主機伺服器的使用者。確定並未列出可疑的帳戶。
下列事件識別碼的解決步驟:1070
若要解決此問題,請使用 [遠端桌面工作階段主機設定] 設定 RD 工作階段主機伺服器,允許新的使用者登入。
若要執行此程序,您必須擁有本機 Administrators 群組的成員資格,或者您必須已經被委派適當的權限。
若要允許新的使用者登入:
1. 在 RD 工作階段主機伺服器上開啟遠端桌面工作階段主機設定。若要開啟遠端桌面工作階段主機設定,請按一下 [開始],指向 [系統管理工具],指向 [遠端桌面服務],然後按一下 [遠端桌面工作階段主機設定]。
2. 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
3. 在 [一般] 底下按兩下 [使用者登入模式]。
4. 在 [使用者登入模式] 底下選取 [允許所有連線],然後按一下 [確定]。
下列事件識別碼的解決步驟: 1067
若要解決此問題,請手動登錄 RD 工作階段主機伺服器的服務主要名稱 (SPN)。
注意:每次電腦啟動時,遠端桌面服務都會嘗試登錄 SPN。若要登錄 SPN,RD 工作階段主機伺服器必須能夠連絡 Active Directory 網域控制站。如果無法登錄 SPN,Kerberos 驗證將無法用於用戶端連線。如果系統管理員尚未禁止 NTLM 驗證,您就能夠使用它。
若要執行此程序,您必須在網域中具有 Domain Admins 群組的成員資格,或者您必須已經被委派適當的權限。
若要登錄 SPN:
1. 在 RD 工作階段主機伺服器上開啟 [命令提示字元] 視窗。若要開啟 [命令提示字元] 視窗,請依序按一下 [開始]、[執行],輸入 cmd,然後按一下 [確定]。
2. 在 [命令提示字元] 中輸入 setspn -A hostServicePrincipalName (其中,主機是 RD 工作階段伺服器的名稱,而 ServicePrincipalName 則是要登錄的 SPN),然後按 ENTER。
例如:若要註冊 Server1 SPN,請在命令提示字元輸入下列命令:setspn -A TERMSERV/Server1 Server1
注意:成功註冊 SPN 之後,您會看到事件識別碼 1067 仍在記錄,其中指出 RD 工作階段主機伺服器無法註冊 SPN。在這些情況下,您可以忽略事件識別碼 1067。
Home
CHT