使用者無法驗證或必須驗證兩次

本文解決數個可能會造成影響使用者驗證的問題。

拒絕存取，限制登入類型

在此情況下，嘗試連線到 Windows 10 或 Windows Server 2016 計算機的 Windows 10 使用者會遭到拒絕存取，並出現下列訊息：

遠端桌面連線：系統管理員已限制您可能使用的登入 (網路或互動式) 類型。 如需協助，請連絡您的系統管理員或技術支援。

當 RDP 連線需要網路層級驗證 (NLA) ，且使用者不是 遠端桌面使用者 群組的成員時，就會發生此問題。 如果遠端 桌面使用者 群組尚未指派給 [從網络用戶權力存取這部計算機 ]，也可能會發生此情況。

若要解決此問題，請執行下列其中一件事：

• 修改使用者的群組成員資格或用戶權力指派。
• 關閉不建議) 的 NLA (。
• 使用 Windows 10 以外的遠端桌面用戶端。 例如，Windows 7 用戶端沒有此問題。

修改使用者的群組成員資格或用戶權力指派

如果此問題會影響單一使用者，則此問題最直接的解決方案是將使用者新增至 遠端桌面使用者 群組。

如果使用者已經是此群組的成員 (或多個群組成員在) 有相同的問題，請檢查遠端 Windows 10 或 Windows Server 2016 電腦上的用戶權力設定。

1. 開啟 群組原則物件 編輯器 (GPE) ，並連線到遠端電腦的本機原則。

2. 移至 [計算機設定\Windows 設定安全性\\設定][本機原則\用戶權力指派]，以滑鼠右鍵按兩下 [從網络存取這部計算機]，然後選取 [屬性]。

3. 檢查 遠端桌面使用者 (或父群組) 的使用者和群組清單。

4. 如果清單不包含 遠端桌面使用者 或像 是 Everyone 的父群組，您必須將它新增至清單。 如果您的部署中有一部以上的計算機，請使用組策略物件。

   例如， 從網路存取這部計算機的 預設成員資格包括 Everyone。 如果您的部署使用組策略對象來移除 Everyone，您可能需要更新組策略物件以新增 遠端桌面用戶來還原存取權。

拒絕存取，SAM 資料庫的遠端呼叫遭到拒絕

如果您的域控制器執行 Windows Server 2016 或更新版本，且用戶嘗試使用自定義連線應用程式進行連線，則最有可能發生此行為。 特別是，存取 Active Directory 中使用者設定檔資訊的應用程式將會遭到拒絕存取。

此行為是 Windows 變更所產生。 在 Windows Server 2012 R2 和舊版中，當使用者登入遠端桌面時，遠端 連線管理員 (RCM) 會連絡域控制器 (DC) ，以查詢 Active Directory 網域服務 (AD DS) 中使用者對象上遠端桌面特定的設定。 這項資訊會顯示在 Active Directory 使用者和電腦 MMC 嵌入式管理單元中使用者物件屬性的 [遠端桌面服務設定檔] 索引標籤中。

從 Windows Server 2016 開始，RCM 不再在 AD DS 中查詢用戶的物件。 如果您因為使用遠端桌面服務屬性而需要 RCM 來查詢 AD DS，則必須手動啟用查詢。

重要事項

這個章節、方法或工作包含修改登錄的步驟。 然而，不當修改登錄可能會發生嚴重的問題。 因此，請務必謹慎地依照這些步驟執行。 若要獲得保護，請在進行修改前先備份登錄，以便在出現問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊，請參閱如何在 Windows 中備份及還原登錄。

若要在 RD 工作階段主機伺服器上啟用舊版 RCM 行為，請設定下列登錄專案，然後重新啟動 遠端桌面服務服務 ：

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
  • 名稱： fQueryUserConfigFromDC
  • 類型： Reg_DWORD
  • 值： 1 (十進位)

若要在 RD 工作階段主機伺服器以外的伺服器上啟用舊版 RCM 行為，請設定這些登錄專案和下列額外的登錄專案 (，然後重新啟動服務) ：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

如需此行為的詳細資訊，請參閱 Windows Server 2016 中遠端 連線管理員 的變更。

用戶無法使用智慧卡登入

本節說明用戶無法使用智慧卡登入遠端桌面的三個常見案例。

無法使用具有只讀域控制器 (RODC) 的分公司智慧卡登入

此問題發生在部署中，其中包含使用 RODC 之分支站臺上的 RDSH 伺服器。 RDSH 伺服器裝載於根域中。 分支網站的用戶屬於子網域，並使用智慧卡進行驗證。 RODC 設定為快取使用者密碼， (RODC 屬於 允許的 RODC 密碼復寫群組) 。 當用戶嘗試登入 RDSH 伺服器上的工作階段時，會收到「嘗試登入無效」之類的訊息。 這可能是因為使用者名稱或驗證資訊不正確。」

此問題是因為根 DC 和 RDOC 如何管理使用者認證加密所造成。 根 DC 會使用加密金鑰來加密認證，而 RODC 會提供用戶端解密密鑰。 當使用者收到「無效」錯誤時，這表示兩個索引鍵不相符。

若要解決此問題，請嘗試下列其中一項：

• 關閉 RODC 上的密碼快取，或將可寫入的 DC 部署到分支網站，以變更 DC 拓撲。
• 將 RDSH 伺服器移至與使用者相同的子網域。
• 允許用戶在沒有智慧卡的情況下登入。

請注意，所有這些解決方案都需要效能或安全性層級的入侵。

用戶無法使用智慧卡登入 Windows Server 2008 SP2 計算機

當使用者登入已使用 KB4093227 (2018.4B 更新的 Windows Server 2008 SP2 電腦) 時，就會發生此問題。 當用戶嘗試使用智慧卡登入時，系統會拒絕他們存取「找不到有效的憑證」等訊息。 請檢查卡片是否已正確插入且完全符合。」同時，Windows Server 計算機會記錄應用程式事件「從插入的智慧卡擷取數位證書時發生錯誤。 無效的簽章。」

若要解決此問題，請使用 2018.06 B 重新發行的 KB 4093227更新 Windows Server 計算機、 Windows 遠端桌面通訊協定的安全性更新描述 (Windows Server 2008 中的 RDP) 阻斷服務弱點：2018 年 4 月 10 日。

無法使用智慧卡保持登入，遠端桌面服務服務停止回應

當使用者登入已使用 KB 4056446更新的 Windows 或 Windows Server 計算機時，就會發生此問題。 一開始，使用者可以使用智慧卡登入系統，但接著會收到「SCARD_E_NO_SERVICE」錯誤訊息。 遠端電腦可能會變得沒有回應。

若要解決此問題，請重新啟動遠端電腦。

若要解決此問題，請使用適當的修正程式更新遠端電腦：

• Windows Server 2008 SP2：KB 4090928、 lsm.exe 程式中的 Windows 流失句柄，以及智慧卡應用程式可能會顯示「SCARD_E_NO_SERVICE」錯誤
• Windows Server 2012 R2：KB 4103724,2018 年 5 月 17 日 KB4103724 (每月匯總)
• Windows Server 2016 和 Windows 10 版本 1607：KB 4103720,2018 年 5 月 17 日-KB4103720 (OS 組建 14393.2273)

如果遠端電腦已鎖定，用戶必須輸入密碼兩次

當用戶嘗試在 RDP 連線不需要 NLA 的部署中，連線到執行 Windows 10 1709 版的遠端桌面時，可能會發生此問題。 在這些情況下，如果遠端桌面已鎖定，用戶必須在連線時輸入其認證兩次。

若要解決此問題，請使用 KB 4343893更新 Windows 10 1709 版計算機，2018 年 8 月 30 日-KB4343893 (OS 組建 16299.637) 。

用戶無法登入並收到「驗證錯誤」和「CredSSP 加密 Oracle 補救」訊息

當使用者嘗試使用 Windows Vista SP2 和更新版本或 Windows Server 2008 SP2 和更新版本的任何 Windows 版本登入時，系統會拒絕他們存取並接收如下的訊息：

發生驗證錯誤。 要求的函數不受支援。 ...這可能是因為 CredSSP 加密 Oracle 補救...

「CredSSP 加密 Oracle 補救」是指 2018 年 3 月、4 月和 5 月發行的一組安全性更新。 CredSSP 是一種驗證提供者，可處理其他應用程式的驗證要求。 2018 年 3 月 13 日「3B」和後續更新解決了攻擊者可以轉送使用者認證以在目標系統上執行程式碼的惡意探索。

初始更新新增了新 群組原則 物件加密 Oracle 補救的支援，其具有下列可能的設定：

• 易受攻擊：使用 CredSSP 的用戶端應用程式可能會回復為不安全的版本，但此行為會公開遠端桌面的攻擊。 使用 CredSSP 的服務會接受尚未更新的用戶端。

• 緩和：使用 CredSSP 的用戶端應用程式無法回復為不安全的版本，但使用 CredSSP 的服務會接受尚未更新的用戶端。

• 強制更新的用戶端：使用 CredSSP 的用戶端應用程式無法回復為不安全的版本，且使用 CredSSP 的服務將不會接受未修補的用戶端。

  注意事項

  在所有遠端主機都支援最新版本之前，不應該部署此設定。

2018 年 5 月 8 日更新已將預設加密 Oracle 補救設定從 [易受攻擊] 變更為 [已緩和]。 有了這項變更，具有更新的遠端桌面用戶端就無法連線到沒有更新的伺服器， (或更新的伺服器尚未重新啟動) 。 如需 CredSSP 更新的詳細資訊，請參閱 KB 4093492。

若要解決此問題，請更新並重新啟動所有系統。 如需更新的完整清單和弱點的詳細資訊，請參閱 CVE-2018-0886 |CredSSP 遠端程式代碼執行弱點。

若要解決此問題，直到更新完成為止，請檢查 KB 4093492是否有允許的連線類型。 如果沒有可行的替代方案，您可以考慮下列其中一種方法：

• 針對受影響的用戶端計算機，將 [加密 Oracle 補救] 原則設定回 [ 易受攻擊]。
• 變更電腦\設定系統管理範\本Windows 元件\遠端桌面服務\遠端桌面工作階段主機\安全組原則資料夾中的下列原則：

  • 遠端 (RDP) 連線需要使用特定的安全性層：設定為 [已啟用 ]，然後選取 [RDP]。

  • 使用網路層級驗證要求遠端連線的使用者驗證：設定為 [ 已停用]。

    重要事項

    變更這些組策略可降低部署的安全性。 我們建議您只暫時使用它們，如果有的話。

如需使用組策略的詳細資訊，請參閱 修改封鎖 GPO。

更新用戶端計算機之後，某些使用者需要登入兩次

當使用者使用執行 Windows 7 或 Windows 10 版本 1709 的電腦登入遠端桌面時，他們會立即看到第二個登入提示。 如果客戶端電腦有下列更新，就會發生此問題：

• Windows 7：KB 4103718,2018 年 5 月 8 日KB4103718 (每月汇总)
• Windows 10 1709：KB 4103727,2018 年 5 月 8 日-KB4103727 (OS 組建 16299.431)

若要解決此問題，請確定使用者想要連線到 (的計算機，以及 RDSH 或 RDVI 伺服器) 已在 2018 年 6 月之前完全更新。 這包括下列更新：

• Windows Server 2016：KB 4284880,2018 年 6 月 12 日-KB4284880 (OS 組建 14393.2312)
• Windows Server 2012 R2：KB 4284815,2018 年 6 月 12 日-KB4284815 (每月匯總)
• Windows Server 2012：KB 4284855,2018 年 6 月 12 日-KB4284855 (每月匯總)
• Windows Server 2008 R2：KB 4284826,2018 年 6 月 12 日-KB4284826 (每月匯總)
• Windows Server 2008 SP2：KB4056564： Windows Server 2008、Windows Embedded POSReady 2009 和 Windows Embedded Standard 2009 中 CredSSP 遠端程式代碼執行弱點的安全性更新描述：2018 年 3 月 13 日

在使用遠端 Credential Guard 搭配多個 RD 連線代理人的部署上，拒絕使用者存取

如果遠端認證防護正在使用中，則使用兩個或多個遠端桌面連線代理人的高可用性部署會發生此問題 Windows Defender。 用戶無法登入遠端桌面。

發生此問題的原因是遠端 Credential Guard 使用 Kerberos 進行驗證，並限制 NTLM。 不過，在具有負載平衡的高可用性組態中，RD 連線代理人無法支援 Kerberos 作業。

如果您需要搭配負載平衡的 RD 連線代理人使用高可用性設定，您可以停用遠端 Credential Guard 來解決此問題。 如需如何管理 Windows Defender Remote Credential Guard 的詳細資訊，請參閱使用 Windows Defender Remote Credential Guard 保護遠端桌面認證。