有時 RDP 顯示證書警告並且 kerberos 單點登錄不起作用

我使用的是 Windows 7，伺服器是 Windows 2008 R2。到目前為止，至少有 4 個伺服器表現出這種行為。

有時我在嘗試通過 RDP 連接時收到警告，說明證書名稱錯誤。當我重新啟動伺服器時，此警告消失。重新啟動或可能 2 或 3 次後，警告再次顯示。我總是只使用主機名連接。

顯示警告時，單點登錄不再起作用。證書可能是自簽名的，也可能來自我們的內部 pki。唯一的區別是當證書是自簽名的時額外的“發布者不受信任”警告。

當我使用 fqdn 時，我通過了證書檢查，但 Kerberos SSO 仍然無法工作。

怎麼了？我怎樣才能解決這個問題？如何調試它以獲取更多資訊？重新啟動後發生了什麼變化，所以它再次工作？

問題可能已經解決了。執行 FSMO PDC 仿真器角色的域控制器在 VMware ESXi 上執行。首先將其移至硬體 DC。

此外，在虛擬 DC 中完全禁用了時間同步。有關詳細資訊，請參見http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1189。

到目前為止，我還沒有看到警告。

當您連接 RDP 客戶端時，您是否使用與證書中的名稱匹配的全名？例如，如果您 RDP 到僅使用 name 的主機foo，並允許您的 DNS 搜尋路徑找出這是foo.example.com，並且您的證書具有 value foo.example.com，那麼您將得到一個錯誤。

所以要更具體一些。如果您安裝一個名為 的證書foo.example.com，那麼您大多數 RDP 到該主機僅使用該名稱，而不是 IP 地址、DNS 別名或名稱的任何縮寫形式。

由於您有內部 CA，您可能需要考慮創建萬用字元證書和/或具有多個名稱的證書。

引用自：https://serverfault.com/questions/383350