При попытке подключения к удалённому серверу в домене Active Directory (AD) через удалённый рабочий стол (RDP) может возникнуть ошибка:
«Сеанс удалённого рабочего стола не может проверить подлинность удалённого компьютера, поскольку обнаружено различие во времени или текущей дате между этим компьютером и удалённым компьютером.»
Эта ошибка указывает на сбой аутентификации через протокол Kerberos, который требует синхронизации времени между клиентом и сервером с разницей не более 5 минут. Однако проблема может быть вызвана не только рассинхронизацией времени, но и другими факторами, такими как ошибки DNS, проблемы с доверительными отношениями в домене или настройками CredSSP. В этой статье рассмотрены шаги по диагностике и устранению ошибки на Windows Server и клиентских системах.
Решение 1: Проверка и синхронизация времени
Несмотря на то что время на клиентском и удалённом компьютере может казаться синхронизированным, стоит проверить его точность и настройки NTP.
1. Проверьте время на удалённом сервере командой:
net time \\remote-computer-IP-address
2. Если время отличается, выполните ручную синхронизацию службы Windows Time (w32time):
w32tm /config /manualpeerlist:your_ntp_server_ip,0x8 /syncfromflags:manual
net stop w32time & net start w32time & w32tm /resync
Замените your_ntp_server_ip на IP-адрес вашего NTP-сервера, например, pool.ntp.org.
3. Если сервер виртуальный, убедитесь, что в настройках виртуальной машины отключена синхронизация времени с гипервизором (например, в VMware или Hyper-V).
Решение 2: Проверка настроек DNS
Ошибки DNS могут нарушить аутентификацию Kerberos, так как она зависит от корректного разрешения имён. Проверьте настройки DNS на удалённом сервере.
1. Если есть доступ к серверу (например, через консоль iLO), проверьте параметры DNS-сервера в настройках сетевого адаптера.
2. Убедитесь, что указанный DNS-сервер доступен, выполнив команду:
nslookup server_name DNSServername
Например, nslookup dc1.contoso.com 192.168.1.10. Если DNS-сервер не отвечает, укажите другой сервер или устраните проблему с текущим.
3. Если на сервере несколько сетевых адаптеров, проверьте маршрутизацию:
— Убедитесь, что запросы к DNS-серверу отправляются через правильный адаптер.
— Используйте команду route print для анализа таблицы маршрутизации и при необходимости настройте приоритет интерфейса.
4. Попробуйте подключиться к серверу через RDP по IP-адресу вместо FQDN. Это обходит проверку Kerberos, используя аутентификацию NTLM.
Решение 3: Проверка доверительных отношений с доменом
Ошибка может быть вызвана нарушением доверительных отношений между сервером и доменом Active Directory.
1. Проверьте состояние доверительных отношений командой:
Test-ComputerSecureChannel
При корректной работе команда возвращает True.
2. Если доверительные отношения нарушены, восстановите их:
Test-ComputerSecureChannel -Repair -Credential corp\adminname
Замените corp\adminname на учётные данные администратора домена.
3. Если появляется ошибка «The server is not operational», проверьте доступность контроллера домена:
— Убедитесь, что порты LDAP (389, 636), Kerberos (88) и RPC (135) открыты. Используйте утилиту PortQry:
portqry -n dc1.contoso.com -e 389
— Проверьте доступность контроллера домена с помощью ping или nslookup.
Решение 4: Настройка уровня безопасности RDP
Несоответствие уровня безопасности RDP между клиентом и сервером может вызывать ошибку аутентификации.
1. Проверьте настройки RDP Security Layer на обоих компьютерах через групповую политику:
— Откройте Редактор локальной групповой политики (gpedit.msc) или Редактор доменных GPO (gpmc.msc).
— Перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удалённых рабочих столов -> Узел сеансов удалённых рабочих столов -> Безопасность
(Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security).
— Включите политику Требовать использования указанного уровня безопасности для удалённых подключений (RDP) (Require use of specific security layer for remote (RDP) connections).
— Установите значение RDP (менее безопасный уровень) вместо SSL или Negotiate.
2. Альтернативно, настройте уровень безопасности через реестр:
— Откройте Редактор реестра (regedit.exe).
— Перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
— Измените параметр SecurityLayer (тип DWORD):
— 0 — RDP (низкий уровень безопасности).
— 1 — Negotiate (автоматический выбор).
— 2 — SSL (требуется сертификат).
Решение 5: Проверка настроек CredSSP
Ошибка может быть связана с изменениями в протоколе CredSSP, особенно после обновлений Windows, таких как KB4103727 (май 2018 года), которые ужесточили требования к аутентификации.
1. Проверьте настройки CredSSP на клиенте и сервере через групповую политику:
— Перейдите в Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учётных данных
(Computer Configuration -> Administrative Templates -> System -> Credentials Delegation).
— Включите политику Шифрование исправлений Oracle (Encryption Oracle Remediation).
— Установите уровень защиты на Уязвимый (Vulnerable) для временного обхода проблемы.
2. Или настройте CredSSP через реестр:
— Перейдите в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters.
— Создайте параметр AllowEncryptionOracle (тип DWORD) и установите значение 2 (Vulnerable).
3. После изменения перезагрузите оба компьютера.
Дополнительные рекомендации
— Убедитесь, что клиент и сервер используют последние обновления через Центр обновления Windows.
— Проверьте журналы событий в Просмотр событий (Event Viewer) в разделах Система и Безопасность для выявления ошибок Kerberos или RDP.
— Если проблема сохраняется, временно отключите Проверку подлинности на уровне сети (NLA) на сервере:
— В Свойствах системы (sysdm.cpl) на вкладке Удалённый доступ снимите галочку с Разрешить подключения только с компьютеров, использующих проверку подлинности на уровне сети.
— Используйте RDP-клиент (mstsc.exe) с параметром /admin для обхода некоторых ограничений аутентификации.
Эти шаги помогут устранить ошибку «Сеанс удалённого рабочего стола не может проверить подлинность» и восстановить стабильное подключение через RDP в доменной среде.
