我有一个域“domain.local”,并且我设置了一个名为“development.domain.local”的子域。
“domain.loacl”的域控制器正在运行 Windows Server 2012R2,“development.domain.local”的域控制器正在运行 Windows Server 2019。
我已经在每个域控制器上设置了 DNS 存根区域,并且可以在两个方向的服务器之间成功执行 NSLookup 和“ping”。
我可以从子域控制器 RDP 到父域中的服务器(当然,只要我提供来自父域的凭据)。
当我尝试从父域上的系统到子域的 RDP 时,我无法做到。
我什至没有提示输入凭据或任何东西。RDP 出错,就好像子域上的服务器脱机一样。服务器已打开,它们位于同一交换机和同一子网中。
它与 DNS 无关,也与网络硬件/策略无关,因为我可以双向执行 NSLookup 和 Ping。它与凭据无关,因为我使用的是企业管理员帐户,甚至没有提示我输入凭据。在提升 Child DC 之前,我能够进行 RDP,如果我将其降级,我什至可以 RDP。如果它已被降级并且不在任何域中,它让我使用本地服务器凭据。我还没有任何运气地禁用了本地 Windows 防火墙。
事实证明,该问题与组策略有关。当系统离开父域并加入子域时,它们丢失了启用 RDP 的组策略。我在子域中创建了一个新的组策略对象,并且一切都按预期工作。
有问题的策略是:计算机配置 >> 管理模板 >> Windows 组件 >> 远程桌面服务 >> 远程桌面会话主机 >> 连接。
我需要启用允许用户使用远程桌面服务进行远程连接。