来自Windows 神秘洞穴:
尝试访问 Windows Server 2008 R2 远程桌面会话主机的用户在尝试建立连接时遇到网络超时。远程桌面例外已启用并限制(在其他子网中)到远程子网192.168.202.0/23。用户主机的 IP 地址是192.168.203.63。防火墙日志不包含使用此 IP 地址的已丢弃连接尝试条目。
如果我更改域配置文件的 Windows 防火墙日志记录设置并启用这样的成功尝试日志记录,
连接开始成功建立,并在防火墙日志中记录“允许”条目。禁用成功尝试的记录会再次中断用户的连接建立。另一个用户的主机 IP 地址为192.168.203.71的机器似乎不受影响,即使在禁用日志记录的情况下也可以启动连接。
什么?除了实际启用日志记录之外,日志记录设置到底发生了什么变化?
尝试在控制面板 - 系统和安全 - (系统部分)允许远程访问中降低远程桌面连接的安全设置。它在Remote选项卡上打开 Windows系统属性。窗口下方是远程桌面组,您可以在其中设置远程桌面安全级别。尝试将其从仅允许来自运行具有网络级别身份验证的远程桌面的计算机的连接(更安全)更改为允许来自运行任何版本的远程桌面的计算机的连接(不太安全)
这似乎只是巧合或副作用。在使用来自客户端的网络跟踪分析连接超时后,很明显根本原因是客户端的一般协商超时为 60 秒。超时时钟似乎在等待 TLS 握手以及 x.204 握手完成,并且它已经反复过期。
原因是客户端无法获取服务器证书 CA 的当前证书吊销列表,因为仅允许客户端通过代理访问 Internet。选择的代理配置方法是给定站点上的PAC,显然 CRL 更新方法不支持 PAC。它正在尝试直接连接或通过WPAD获取代理信息,它们都有自己的超时计时器,总计超过 60 秒,因此整个远程桌面连接尝试失败。解决方法是在 IE Internet 选项中手动配置代理。
不过,我不知道为什么我与启用/禁用连接失败的防火墙日志记录有关。