若要解決此問題,請進行下列步驟:
透過在終端機服務資源授權原則 (TS RAP) 中檢查安全性群組和 TS 閘道管理的電腦群組設定,確定已正確設定安全性群組和 TS 閘道管理的群組 (如果適用的話)。
如果仍然發生此問題,請確定已將所需的權限授與 rap.xml。
如果仍然發生此問題,請確定已針對 RAPStore 登錄機碼設定正確的值而且已授與所需的權限。
在 TS RAP 中檢查安全性群組和 TS 閘道管理的電腦群組設定
附註:除了符合 TS RAP 的需求以外,用戶端的使用者還必須擁有以本機方式登入他們嘗試連線之電腦的權限。
若要執行此程序,您必須擁有本機 Administrators 群組的成員資格,或者您必須已經被委派適當的權限。
若要在 TS RAP 中檢查安全性群組和 TS 閘道管理的電腦群組設定:
開啟 [TS 閘道管理員]。若要開啟 [TS 閘道管理員],請按一下 [開始]、依序指向 [系統管理工具] 和 [終端機服務],然後按一下 [TS 閘道管理員]。
在 [TS 閘道管理員] 主控台樹狀目錄中,選取代表本機 TS 閘道伺服器的節點 (執行 TS 閘道伺服器之電腦的名稱)。
在主控台樹狀目錄中,展開 [原則],然後按一下 [資源授權原則]。
在結果窗格的 TS RAP 清單中,以滑鼠右鍵按一下您想要檢查的 TS RAP,然後按一下 [內容]。
在 [電腦群組] 索引標籤上,檢查是否已選取 [允許使用者連線到任何網路資源]。如果有,請繼續進行本主題後面的「確定已將所需的權限授與 rap.xml」程序。如果沒有,請進行下列其中一項步驟:
如果已選取 [選取現有的 Active Directory 安全性群組],請注意安全性群組的名稱,以便確定指定的安全性群組是否存在 Active Directory 網域服務或本機使用者和電腦中。然後,檢查用戶端嘗試連線之電腦的電腦帳戶是否屬於這個群組的成員。
如果已選取 [選取現有 TS 閘道管理的電腦群組,或建立新群組],請確定 TS 閘道管理的電腦群組名稱是否正確,而且這個群組中的電腦是否存在且可透過網路連線。
按一下 [確定] 關閉 TS RAP 的 [內容] 對話方塊。
如果指定了不正確的安全性群組,或者尚未正確設定 TS 閘道管理的電腦群組,請修改現有 TS RAP 的設定或建立新的 TS RAP。如需有關如何建立 TS RAP 的詳細資訊,請參閱 Windows Server 2008 Technical Library 中 TS 閘道管理員說明的<建立 TS RAP>( http://go.microsoft.com/fwlink/?LinkId=102170) (英文)。
若要執行這些程序,您不需要擁有本機 Administrators 群組的成員資格。因此,基於安全性最佳作法,請考慮以不含系統管理認證的使用者身分執行這些工作。
確認 TS RAP 中指定的 Active Directory 安全性群組是否存在,並且在這個群組中檢查用戶端的帳戶成員資格
若要確認 TS RAP 中指定的 Active Directory 安全性群組是否存在:
在執行 [Active Directory 使用者和電腦] 的電腦上,依序按一下 [開始] 和 [執行]、輸入 dsa.msc,然後按一下 [確定]。
在主控台樹狀目錄中,展開 [Active Directory 使用者和電腦/DomainNode/],其中 DomainNode 是安全性群組所屬的網域。
以滑鼠右鍵按一下此網域,然後按一下 [尋找]。在 [尋找使用者、連絡人與群組] 對話方塊中,輸入 TS RAP 中指定之安全性群組的名稱,然後按一下 [立即尋找]。
如果此群組存在,它就會顯示在搜尋結果中。
關閉 [尋找使用者、連絡人與群組] 對話方塊。
若要在這個安全性群組中檢查用戶端的帳戶成員資格:
在執行 [Active Directory 使用者和電腦] 的電腦上,依序按一下 [開始] 和 [執行]、輸入 dsa.msc,然後按一下 [確定]。
在主控台樹狀目錄中,展開 [Active Directory 使用者和電腦/DomainNode/Computers],其中 DomainNode 是用戶端嘗試連線之電腦所屬的網域。
在詳細資料窗格中,以滑鼠右鍵按一下電腦名稱,然後按一下 [內容]。
在 [隸屬於] 索引標籤上,確認其中一個列出的群組符合 TS RAP 中指定的其中一個群組。
確認 TS RAP 中指定的本機安全性群組是否存在,並且在這個群組中檢查用戶端的帳戶成員資格
若要確認 TS RAP 中指定的本機安全性群組是否存在,並且在這個群組中檢查用戶端的帳戶成員資格:
在 TS 閘道伺服器上,開啟 [電腦管理]。若要開啟 [電腦管理],請按一下 [開始]、指向 [系統管理工具],然後按一下 [電腦管理]。
在主控台樹狀目錄中,展開 [本機使用者和群組],然後按一下 [群組]。
在結果窗格中,找出包含用戶端可透過 TS 閘道伺服器存取之電腦的本機安全性群組 (群組名稱或描述應該會指出此群組是否針對這個用途建立)。
以滑鼠右鍵按一下群組名稱,然後按一下 [內容]。
在群組之 [內容] 對話方塊的 [一般] 索引標籤上,確認使用者帳戶是這個群組的成員,而且這個群組是 TS RAP 中指定的其中一個群組。
按一下 [確定]。
如果這樣做無法解決此問題,請確定已將正確的權限授與 rap.xml 檔案。
確定已將所需的權限授與 rap.xml
若要執行此程序,您必須擁有本機 Administrators 群組的成員資格,或者您必須已經被委派適當的權限。
若要確定已將所需的權限授與 rap.xml:
在 TS 閘道伺服器上,瀏覽至 %Windir%\System32\tsgateway\rap.xml,其中 %Windir% 是安裝作業系統的磁碟機。
以滑鼠右鍵按一下 rap.xml。
在 [rap.xml 內容] 對話方塊中,按一下 [安全性] 索引標籤。
按一下 [編輯],然後進行下列步驟:
在 [rap 的權限] 對話方塊的 [群組或使用者名稱] 底下,按一下 [SYSTEM]。在 [SYSTEM 的權限] 底下,如果不允許 [完全控制],請選取 [完全控制] 旁的 [允許] 核取方塊。
在 [群組或使用者名稱] 底下,按一下 [Administrators]。在 [Administrators 的權限] 底下,如果不允許 [完全控制],請選取 [完全控制] 旁的 [允許] 核取方塊。
在 [群組或使用者名稱] 底下,按一下 [Users]。在 [Users 的權限] 底下,如果不允許 [讀取和執行] 和 [讀取],請選取這兩個權限旁的 [允許] 核取方塊。
在 [群組或使用者名稱] 底下,按一下 [Network Service]。在 [Network Service 的權限] 底下,如果不允許 [讀取],請選取 [讀取] 旁的 [允許] 核取方塊。
按一下 [確定]。
| Target | Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Event Source | Microsoft-Windows-TerminalServices-Gateway | ||
| Alert Generate | True | ||
| Alert Severity | Error | ||
| Alert Priority | Normal | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | Microsoft-Windows-TerminalServices-Gateway/Admin |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| Alert | WriteAction | System.Health.GenerateAlert | Default |
Home
CHT <Rule ID="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway.EventCollection.563.564.565" Enabled="onStandardMonitoring" Target="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Microsoft-Windows-TerminalServices-Gateway/Admin</LogName>
<Expression>
<And>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>MatchesRegularExpression</Operator>
<Pattern>^(563|564|565)$</Pattern>
</RegExExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-TerminalServices-Gateway</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertName/>
<AlertDescription/>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway.EventCollection.563.564.565.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>