我已经在Windows Server 2016上继续登录请求。每次它请求不同的IP地址,也就是我们不确定用户所在的国家/地区,因为我们仅在一个办公室中的一个国家/地区只有10个用户,因此请确保所有用户都在一个国家/地区。我知道我们的服务器应该仅具有一个国家/地区的特定IP地址,但是为什么下面用不同国家/地区的日志登录却得到了
我们正在努力防止这种情况。
为什么或什么下面的登录名?
如果我们防止出现以下情况,我们仍然可以访问RDP上的服务器吗?我们仍然需要RDP ...
在事件查看器服务器日志中。
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Versand
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: workstation
Source Network Address: xxx.x.x.x.x
Source Port: 0
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
NTLM
只是Windows域网络上的身份验证协议,它在比较Kerberos
中仍被广泛使用,它是Microsoft发布的更新协议。禁用NTLM
将意味着您阻止任何使用该协议的用户进行连接。一种选择是禁用NTLM
并使用Kerberos
,但这意味着必须将所有用户都配置为也使用Kerberos
。
查看此页面以获取更多信息:http://woshub.com/disable-ntlm-authentication-windows/
如果您不知道所有10个用户的IP地址,我建议您限制可以通过RDP连接的IP地址,而不要经过此操作。
打开Windows Firewall with Advanced Security
,单击Inbound Rules
并找到RDP规则,右键单击然后单击Properties
并单击Scope
选项卡。在Remote IP Addresses
部分中,您应该能够手动添加应该能够连接的用户的IP地址。不在此范围内的任何IP地址将无法连接。
参考:https://support.managed.com/kb/a2499/restrict-rdp-access-by-ip-address.aspx
[此外,您还指出登录尝试来自不同的国家,因此您无法消除用户使用VPN的可能性。