通过

RDS授权管理器中服务器的配置显示联系不上域控

松霖 吴 20 信誉分
2026-02-06T02:50:26.43+00:00

您好,目前业务服务器RD授权管理器无法查看SZOLSVR的配置,原因是联系不上AD服务器,但是在SZOLSVR服务器上时可以ping通AD的IP地址,可以nslookup通AD的IP地址,RD授权管理无法使用如何操作,目前无法通过域控用户访问本地,原因就是出现在这张图的报错了。企业微信截图_17703458062506(2)

Windows 商业版 | Windows Server | 目录服务 | Active Directory
0 个注释

2 个答案

排序依据: 非常有帮助
非常有帮助 最新 最早
  1. Domic Vo 17,660 信誉分 独立顾问
    2026-02-06T08:05:46.85+00:00

    您好,

    从现象来看,SZOLSVR 服务器可以 ping 和 nslookup 域控的 IP 地址,说明网络层面没有问题。 但 RD 授权管理器无法读取配置,通常是因为它无法通过 LDAP/ Kerberos 与域控建立会话。 这类问题常见于以下几种情况:

    1. 域控连接受限:虽然能解析和 ping,但 RPC 或 Kerberos 端口被防火墙或安全策略阻断。 请确认 TCP 135、389、445、以及高位 RPC 动态端口范围是否允许 SZOLSVR 与域控通信。
    2. 服务账户或计算机账户异常:SZOLSVR 的计算机账户在 AD 中可能出现问题。 可以在域控上运行 Active Directory Users and Computers,检查该服务器的计算机对象是否正常启用。 如果有问题,尝试重新加入域。
    3. RD 授权服务配置错误:在 SZOLSVR 上打开 Server Manager > Remote Desktop Services > Deployment Properties,确认 Licensing Server 指向正确的域控或授权服务器。 如果这里为空或错误,RD 授权管理器会报无法联系 AD。
    4. 事件日志检查:在 SZOLSVR 上查看 事件查看器 > Windows Logs > System,重点关注 TermService 和 RD Licensing Diagnoser 的报错。 常见错误是 “无法联系域控制器” 或 “Licensing mode not configured”。

    如果确认网络和 AD 正常,建议在 SZOLSVR 上执行:

    nltest /dsgetdc:<domainname>

    这条命令可以验证 SZOLSVR 是否能正确定位域控。 如果失败,说明 Netlogon 服务或域成员关系有问题。

    综上,您需要先确认 SZOLSVR 与域控之间的 RPC/Kerberos 通信是否正常,再检查该服务器的域成员关系和 RD 授权配置。 如果域控可达但依旧报错,最直接的修复方式是将 SZOLSVR 退出域后重新加入,再重新配置 RD Licensing。

    我希望这里的分析能帮助您定位问题。 如果它能让您对问题有更多的理解,欢迎接受此答案。 如有进一步问题,请继续留言。 祝您工作顺利!

    多米克配音。

    0 个注释
  2. Chen Tran 7,905 信誉分 独立顾问
    2026-02-06T06:42:55.0933333+00:00

    你好,

    感谢您在 Microsoft Windows 论坛提问!

    基于你可以用 Ping(ICMP)和 Nslookup(DNS)来证明基本的网络路由和名称解析是有效的,但可能无法证明 Active Directory(AD)通信所需的具体端口和协议是开放或正常工作的。

    由于Ping使用ICMP协议,而Active Directory依赖TCP和UDP端口(LDAP、Kerberos、RPC)。防火墙(Windows防火墙或服务器之间的硬件防火墙)可能允许ICMP,但阻止应用流量。这里的建议是测试 SZOLSVR 的具体 AD 端口。使用PowerShell命令Test-NetConnection -ComputerName 192.168.x.x -Port 389测试这些端口389用于LDAP,88端口用于Kerberos,445端口用于SMB。如果这些结果返回 TcpTestSucceeded :为假。你遇到的是防火墙问题。你需要在SZOLSVR和AD服务器之间打开这些端口。如果这些结果显示为真。在SZOLSVR中,打开命令提示符并执行命令nslookup set type=all _ldap._tcp.dc._msdcs。YOURDOMAIN.COM。它必须返回你 AD 服务器的 IP 地址。如果返回“不存在域”或超时,说明你的DNS服务器缺少关键的AD结构,即使它能解析简单的主机名。

    这里还有一点要提,Active Directory认证(Kerberos)要求客户端(SZOLSVR)和服务器(AD)上的时间在5分钟内匹配。如果时间间隔较大,认证会立即失败,通常显示“无法联系服务器”。另一方面,有时网络本身没问题,但SZOLSVR与域之间的“信任关系”已经破裂。因此,使用PowerShell命令 Test-ComputerSecureChannel -Verbose 检查安全通道是否有破坏的可能性。

    另外,值得检查一下网络配置文件问题。如果 SZOLSVR 上的 Windows 网络位置感知(NLA)服务将网络误识别为“公共”而非“域”,Windows 防火墙会自动阻止进站的 AD 管理流量。

    希望 以上信息对你有帮助!如果是的话。免费感受,点击“已接受”,帮助社区中也有同样问题的其他人

    0 个注释

你的答案

提问者可以将答案标记为“已接受”,版主可以将答案标记为“已推荐”,这有助于用户了解答案是否解决了提问者的问题。