web-dev-qa-db-fra.com

Obtention du message d'erreur «L'autorité de sécurité locale ne peut pas être contactée» lors de l'ouverture de session

J'essaie de définir les heures d'ouverture de session pour les utilisateurs du Bureau à distance sur Windows Server 2012; L'authentification au niveau du réseau est requise pour les connexions à distance. Lorsqu'un compte avec des heures d'ouverture de session restreintes (définies dans ActiveDirectory) tente de se connecter à un moment refusé, le client (Connexion Bureau à distance) répond avec:

An authentication error has occurred.
The Local Security Authority cannot be contacted.

Si le compte tente de se connecter aux heures autorisées, tout fonctionne bien. Si l'authentification au niveau du réseau n'est pas requise, le client se connecte au serveur, ce qui refuse la connexion, mais affiche le message d'erreur beaucoup plus agréable "Votre compte a des restrictions de temps ..."

Existe-t-il un moyen d'exiger toujours l'ALN, mais présenter l'avis plus convivial sur les restrictions de temps? Suis-je absent d'un paramètre de stratégie ou d'une autre configuration?

9
kardeiz

Le client RDP affichera un message d'erreur agréable et utilisable si vous l'exécutez à partir d'une machine jointe à un domaine de confiance, et le client RDP doit être en mesure de résoudre le nom d'hôte du serveur RDP (hôte de session).

  • Le client RDP doit être joint à un domaine qui approuve le domaine dans lequel se trouve le serveur RDP
  • La date et l'heure doivent être synchronisées
  • Connectez-vous au serveur RDP en utilisant le nom d'hôte ou le nom de domaine complet, pas son adresse IP

Cette erreur se produira si l'une des exigences ci-dessus n'est pas remplie.

Dans ce cas, cela est en fait causé par la sécurité supplémentaire fournie par NLA. Ceci est une fonctionnalité. Un ordinateur qui n'est pas approuvé par le domaine du serveur RDP ne doit pas pouvoir obtenir aucune sorte d'informations sur le compte utilisé.

Le message d'erreur "L'autorité de sécurité locale ne peut pas être contactée" empêche la fuite d'informations indiquant si le compte d'utilisateur est invalide, expiré, non approuvé, limité dans le temps ou tout autre élément qu'un attaquant peut utiliser pour identifier des comptes valides, vers des ordinateurs non fiables exécutant le client RDP .

3
Patrick

Le même message est apparu à partir d'une connexion RDP Win 7 défaillante à un serveur Win 2012 R2. J'ai testé une connexion au même serveur en utilisant le même compte de mon macbook en utilisant Royal TSX pour RDP et j'ai reçu un avertissement que le mot de passe avait expiré. Réinitialisez le mot de passe et l'utilisateur a pu se connecter via sa session Win 7 RDP.

1
greenvomit8

Vous demandez un message d'erreur de couche application mais vous souhaitez une fonctionnalité de sécurité de couche réseau. Vous ne pouvez pas avoir votre gâteau et le manger aussi.

La couche réseau ne peut pas se connecter à la couche application. Le message que vous recevez est donc tout à fait exact.

1
Ryan Ries