|
win2008远程桌面(让Windows XP SP3也支持网络级身份验证)
SP3有一点,就是远程桌面更新到了V6.1。查看了相关网页,理解 到6.0以上版本的远程桌面是支持NLA(Network Level Authentication )的。NLA说白了就是在你进行远程桌面之前就进行身份验证,而不是你连上之后再在登陆的时候进行身份验证。而win2008 默认是“只允许运行带网络身份验证的远程计算机连接”。于是乎,我从SP3连win2008失败。
网上解决方法 是:设置win2008的远程桌面连接方式为“允许任意版本远程桌面连接”。这种降级来适应XP,我以为是一种倒退,不然将XP 的远程桌面升级到6.1没有任何意义啊。故而在协作 同伴 新闻组中发帖讯问 微软工程师:
微软工程师起初的回答 是XP不支持NLA。后来纠正说SP3支持NLA,并告诉我依照 以下方法操作使XP支持NLA。他给我我一片KB:
http://support.microsoft.com/kb/951608/
开启NLA操作是:
1. 单击 开始 ,单击 运行 ,键入 regedit ,然后按 ENTER 键。
2. in navigation pane,locate and then click following registry subkey:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
3. 在详细信息窗格中, 用鼠标右键单击 SecurityProviders ,然后单击 修改 。
4. 在 数值数据 框,键入 tspkg 。 留下特定于其他 SSP,任何数据,然后单击 确定 。
5. in navigation pane,locate and then click following registry subkey:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders
6. in details pane,right-click SecurityProviders,and then click Modify 。
7. 在 数值数据 框,键入 credssp.dll 。 留下特定于其他 SSP,任何数据,然后单击 确定 。
8. exit Registry Editor。
9. 请重新启动计算机。.
按KB操作,在XP的远程桌面中看到了支持网络级身份验证。
输入win2008 主机的IP,哎,有了,要求身份验证:
很不幸,发作 身份验证错误:发作 身份验证错误(代码:0x80090303)
再次向微软工程师,工程师也不知道具体所在,但是提供了一些排错方法,最后是通过抓取网络包来排查问题 ,发现是由于 我在进行远程连接的时候输入的是IP地址,而不是计算机名(win2008加入了域,XP未加域,而且XP的DNS与win2008的不同,不在同一个网段),导致Kerberos验证失败。在HOST文件中加入域控和win2008机器的域名解析,终于连接成功。
我对为什么要输入计算机名而不是IP百思不解 ,由于 我们通常都是用ip来连接目的 主机的,工程师给出的回答 是:
这也是kerberos验证的特性决定的. 要进行kerberos的验证, 要用到SPN (service principle name). 而 SPN都是用计算机称号 注册的. 所以我们必须使用计算机称号 来连接Windows win2008, 而 不能使用IP地址.
虽然我不是很理解 ,但是这个问题算是结了。 |
|
|
|
|
|
|