遠端桌面活動會話時間限制已禁用但未遵守
我們有一個客戶擁有一個 Windows Server 2008r2 RDS 場,該場由 2 個會話主機和一個連接代理組成。我們有一個 GPO,它將會話超時配置為電腦策略和具有環回處理(合併)的使用者策略,該策略連結到包含會話主機的 OU。“活動會話”超時在電腦策略設置和使用者設置中均設置為禁用。RSOP 確認 GPO 已應用於主機,本地組策略和系統資料庫均確認已應用該設置。Active Directory 使用者對象的所有會話超時都配置為“從不”。
但是,活躍使用者仍然會在 8 小時後斷開連接。他們可以立即重新連接到他們的會話,沒有任何問題。
8 小時精確到可悲的秒數。它發生在網路上的多個使用者身上。Connection Broker 日誌和 Session Host 日誌中都沒有異常。它的行為與配置的 8 小時活動會話超時完全相同。
使用者通過 RDS 網關從網路外的個人電腦進行連接。沒有衝突的 GPO。本地電腦組策略中的設置保持不變。
既然我們有一個 GPO 並且配置了 AD 使用者對象,那麼什麼可能會覆蓋我的 GPO?
雖然網際網路似乎只知道會話主機時間限制,但事實證明也存在 TS/RDS 網關時間限制。
這些時間限制允許您配置空閒超時(以分鐘為單位)和整體會話超時(以分鐘為單位)。可以在伺服器>策略>連接授權策略下的 RD 網關管理器(在 Windows Server 2008r2 上)中找到該配置。右鍵點擊相應的策略,選擇屬性並點擊超時選項卡。
在我的情況下,啟用會話超時設置已啟用並設置為 480 分鐘(8 小時)並配置為斷開會話。
請注意,這是 Server 2008r2 RDS 中的新設置,不能通過組策略進行配置。您可以在 Technet上的“遠端桌面服務中的新增功能”頁面上閱讀有關此設置的更多資訊。
這個設置在網際網路上很難找到的一個原因是詞彙的變化,特別是使用“超時”這個詞而不是“時間限制”。