O farm de servidores de área de trabalho remota para de funcionar

Um farm de servidores de área de trabalho remota que funcionava bem parou de funcionar há dois dias. A configuração é a seguinte:

• O DNS resolve "myfarm.mydomain.local" para os IPs de todos os servidores membros do farm
• Todos os servidores membros do farm são configurados como membros do farm "myfarm" no Broker MYBROKER
• Todos os membros do farm são membros do grupo de corretores de sessão local no MYBROKER
• Os clientes são configurados para se conectar a "myfarm"

(Todos os servidores envolvidos são caixas Windows2008R2 virtuais). De repente, as pessoas começaram a receber o seguinte erro (traduzido do alemão) e não conseguiram se conectar.

Não é possível conectar ao servidor de terminal.

O farm de servidores de terminal "myfarm" ao qual você está tentando se conectar está redirecionando você para o servidor "farmmemberX.mydomain.local". A área de trabalho remota não pode verificar se este servidor pertence ao mesmo farm de servidores. Isso pode ocorrer se houver um servidor em sua rede com o mesmo nome do farm de servidores. ?Não pode ser verificado se ambos os computadores remotos pertencem ao mesmo farm de servidores de área de trabalho remota. Você deve usar o nome do farm, não o nome do computador, se quiser fazer uma conexão com um farm de servidores de área de trabalho remota.

Entre em contato com um administrador de rede para obter suporte se você usar uma conexão RDP preparada pelo administrador.

Se você deseja se conectar com um membro específico do farm, use "mstsc /admin"

Às vezes, parecia também que eles foram simplesmente rejeitados como se tivessem inserido credenciais erradas (o que eles não fizeram, a maioria salvou suas credenciais)

Questão 1. Você pode explicar o que está por trás disso, especificamente em relação ao "não pôde ser verificado": Como ocorre essa verificação se funciona? Afinal, o redirecionamento nem seria tentado se não fosse iniciado pela corretora...

O que tentamos: às vezes, ajudava substituir o nome ao qual o cliente se conecta por outra coisa (ou seja, adicionamos um nome "foo" ao DNS que resolvia para os mesmos IPs e fazia com que os usuários se conectassem a "foo"), mas isso estava longe de consistente.

Mais tarde, notamos que sempre os mesmos poucos servidores apareciam como "farmmemberX" na mensagem de erro acima. Nós os removemos experimentalmente do farm (nos próprios membros e no DNS) e assim conseguimos reduzir o farm quebrado de oito servidores para um farm funcional de dois servidores. Como isso não seria suficiente para reduzir a carga do usuário, eu queria clonar um deles; para fazer isso, primeiro desliguei e depois reiniciei - a partir do momento em que ficou tão ruim quanto os outros seis servidores. Aparentemente , reiniciar os servidores RDP foi a coisa fatal a se fazer ... De acordo com os logs, esse servidor em particular não foi reiniciado por cerca de dois meses. Portanto, praticamente qualquer mudança feita nos últimos dois meses pode ser relevante. Entre estes estão

• Adicionamos nosso primeiro servidor Win2012 AD em nossa estrutura Win2003 AD
• Lembro que houve alguns casos de problemas de segurança relacionados ao IE10/SSL/TLS que exigiriam intervenção manual (regedit e outras coisas), mas ainda estou tentando lembrar o que poderia ter sido
• Toneladas de atualizações do Windows
• Coisas como certificados invalidados vieram à minha mente, mas não encontrei nada disso

Pergunta 2. Alguma dessas coisas pode causar esse problema?

Atualmente, abandonamos completamente o farm de servidores, ou seja, temos apenas "balanceamento de carga do pobre homem" via DNS round robin (e sentimos especialmente falta do recurso de reconectar à sessão anterior, é claro)

Questão principal. Como posso colocar minha fazenda em condição de trabalho novamente?

EDIT: Eu deveria ter mencionado que alguns clientes tiveram sorte e não tiveram problemas com o farm RDP: aqueles que ainda estavam executando o Windows XP e seu cliente RDP mais antigo ...

EDITAR após o comentário: Parece que as principais atualizações culpadas KB3002657, KB3035017 não foram instaladas ou foram instaladas dias antes do início do problema nos servidores relevantes (clientes, servidores RDP, corretor, DCs), mas tentarei desinstalar eles de qualquer maneira...

ATUALIZAÇÃO Mais algumas informações:

• Melhorei o registro de eventos no corretor. De acordo com esse log, está tudo bem (sem aviso) e o redirecionamento da sessão é concluído normalmente. Acontece que, após um tempo limite, a sessão de destino é removida. Tentei (falhei) em conexões rápidas e nesse caso, a corretora até registrou que tentou reaproveitar uma sessão existente.
• Se o servidor RDP de destino estiver definido como "RDP-Sercurity" em vez de "negotiate", o redirecionamento funcionará (exceto que as mensagens de erro irritantes esperadas ocorrem no cliente)
• Eu tentei um farm completamente novo (ou seja, um corretor diferente com hosts diferentes) e o problema também pode ser reproduzido neste sistema. Isso pode sugerir que o problema está no lado do cliente.

ATUALIZAÇÃO com informações conforme solicitado por comentários

Se eu definir a segurança como "TLS 1.0" (em vez de "negociar") nos hosts RDP, o problema persistirá. Se eu definir como "RDP", o farm funcionará - mas todos terão que digitar sua senha duas vezes. Na situação de erro, por algum motivo, agora recebo simplesmente "Nenhuma conexão pôde ser estabelecida com as credenciais fornecidas" em vez do erro original. Isso é acompanhado por um evento de falha de login 4625 com status 0xc000006d, substatus 0. Antes que você pergunte: Todos os controladores de domínio têm seus relógios em boa sincronização; nenhuma configuração de compatibilidade LanMan foi definida no registro.

Os certificados nas configurações do cliente host RDP que funcionaram foram emitidos pela CA interna ainda confiável (confiável por todos de acordo com o GPO) e válidos até pelo menos quatro meses no futuro. Para testar, alterei-os para certificados "automáticos" e voltei, sem sucesso.

O texto original da mensagem de erro em alemão diz

Von Remotedesktopverbindung cann keine Verbindung mit dem Remotecomputer hergestellt werden.

Vom Remotecomputer "FARMNAME", mit dem Sie eine Verbindung herstellen möchten, werden Sie zum Remotecomputer "FARMMEMBER.DOMAIN" umgeleitet. Es kann nicht überprüft werden, ob diebeiden Remotecomputer zur gleichen Remotedesktop-Sitzungshostserverfarm gehören. Você pode usar o Farmnamen, ou o nome do computador, verificar se você deseja conectar um servidor remoto à área de trabalho remota.

Quando você for um administrador de rede, um administrador de rede, quando você tiver uma verificação RDP, o administrador será informado.

Wenn Sie eine Verbindung mit einem bestimmten Herstellen möchten, um es zu verwalten, geben Sie "mstsc.exe /admin" an der Eingabeaufforderung ein.

Para descobrir se alguma atualização recente do lado do cliente está com defeito, comecei com uma nova caixa do Windows 7 e testei após cada grupo de atualizações. Parece que a introdução do primeiro cliente melhor que o XP já causa problemas agora - mas as primeiras versões desse cliente fornecem uma mensagem de erro diferente (não que isso faça sentido):

Die Verbindung kann nicht hergestellt werden, da es sich bei dem erreichten Remotecomputer nicht um den angegebenen Computer handelt. Dies kann durch einen veralteten Eintrag im DNS-Cache verursacht werden. Verwenden Sie statt des Namens die IP-Adresse es Computers.