リモートデスクトップでサーバー等に接続時に、以下のエラーが出て接続に失敗する事があります。
---------------------------------------------------
リモートコンピュータから受け取った認証証明書が有効期限切れか、
または無効なため、リモートデスクトップからリモートコンピュータに接続できません。
このエラーは、クライアントコンピュータとサーバーコンピュータの時刻の不一致が原因で起こる場合もあります。
---------------------------------------------------
この時、イベントエラーKerberos ID 5 および GroupPolicy ID 1058 がサーバに出ることもあります。
これは、以下のいずれかの要因によって発生している可能性が高いです。
1. ドメインコントローラー – サーバー間の時刻差がある。
2. サーバー にてネットワークポートが枯渇している。
<確認方法>
1. 以下のコマンドをサーバー にて実行し、ドメインコントローラーとの時刻差を確認します。
> net time /domain: xxx.local
任意のドメインコントローラー一台の時刻が表示されます。
> echo %DATE% %TIME%
サーバー の時刻が表示されます。
> w32tm /stripchart /computer: xxx.local
※ドメインコントローラー名は、net time /domain: xxx.local の実行結果に出力されます。
実行後、ドメインコントローラー と サーバーの時刻差が表示されます。
10秒ほど実行後、CTL+C で停止させてください。
2. 以下のコマンドをサーバー にて実行し、使用しているネットワークポート及びプロセスの一覧を取得します。
> netstat -ano
> tasklist /svc
<改善方法>
発生している現象が、[1.ドメインコントローラー – サーバー 間の時刻差がある。] であった場合、
ドメインコントローラーと サーバーの時刻を合わせることにより本現象は解消されます。
発生している現象が、[2.サーバー にてネットワークポートが枯渇している] であった場合、ポート
を使用しているプロセスの停止または、システムの再起動により現象は解消されます。
<それぞれのイベントの説明>
Kerberos ID 5 : Kerberos ID 5 はメンバサーバーである自分自身がドメインコントローラーから Kerberos チケットの取得に失敗したことを示すイベントです。エラーコードとして、KRB_AP_ERR_TKT_NYV が記録されている場合、メンバサーバーとドメインコントローラー間に時刻差があり、Kerberos チケットが有効でないと判断された際に記録されます。
– 参考文献
Event ID 5 ? Kerberos Client Configuration
http://technet.microsoft.com/en-us/library/dd363871(v=ws.10).aspx
Microsoft-Windows-GroupPolicy ID 1058 : グループポリシーの適用に失敗したことを示すイベントです。
エラーコードとして、1398 ERROR_TIME_SKEW が記録されている場合、グループポリシーサーバーであるドメインコントローラーとメンバサーバー間で時刻差があることを意味します。
Windows 環境でリモートデスクトップ接続時に、サーバ時刻の不一致エラーが出て接続できない場合の原因と対処法。
OS
コメント