Un échec de l'autorisation de connexion se produit lorsque vous utilisez R2 passerelle de bureau à distance Windows Server 2008 se pour connecter à un serveur RD, une machine virtuelle ou une ressource de bureau dans un scénario de plusieurs domaines ou à plusieurs forêts

Traductions disponibles Traductions disponibles
Numéro d'article: 972133 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Vous utilisez Windows Server 2008 R2 Remote Desktop Gateway (RD Gateway) pour vous connecter à un serveur RD, à une machine virtuelle, ou à une ressource de bureau dans un scénario de plusieurs domaines ou à plusieurs forêts de services de domaine Active Directory (AD DS). Toutefois, un échec de l'autorisation de connexion se produit, même pour les utilisateurs qui sont autorisés dans la stratégie d'autorisation de connexion passerelle RD (CAP).

Lorsque le client Remote Desktop Connection (RDC) 7.0 est utilisé pour se connecter via la passerelle RD, message d'erreur suivant s'affiche :
Bureau à distance can?t vous connecter à l'ordinateur distant "< Nom de Ressource Principal >" pour une des raisons suivantes :

1) Votre compte utilisateur n'est pas autorisé à accéder à la passerelle RD «< RD Passerelle Nom_du_serveur >»
2) De votre ordinateur n'est pas autorisé à accéder la passerelle RD «< RD Passerelle Nom_du_serveur >»
3) Vous utilisez une méthode d'authentification incompatibles (par exemple, la passerelle RD peut être attendu une carte à puce, mais vous avez fourni un mot de passe)
Lorsque RDC 6.1 ou une version antérieure du client RDC est utilisée pour se connecter via la passerelle RD, message d'erreur suivant s'affiche :
Stratégie d'autorisation (TS CAP) Terminal Services connexion est empêchent la connexion à l'ordinateur distant via une passerelle TS, éventuellement pour l'une des raisons suivantes :

* Vous ont l'autorisation de se connecter au serveur de passerelle TS.
* Vous avez utilisé l'authentification par mot de passe mais le serveur de passerelle TS s'attend à l'authentification de carte à puce (ou vice versa).

Un exemple de scénario

Définitions des termes utilisés dans les sections suivantes

  • utilisateur externe A ou du groupe : groupe sécurité ou utilisateur qui appartient à un domaine (B) et inclus en tant que membre d'un groupe de sécurité est défini dans un autre domaine (A).
  • groupe racine A CAP : un groupe de sécurité est incluse dans la stratégie de l'autorisation RD passerelle connexion (CAP RD).

Configuration

Pour autoriser les utilisateurs qui appartiennent à un groupe d'utilisateurs entre forêts, vous devez ajouter le groupe d'utilisateurs inter-forêts directement comme l'un des groupes d'utilisateurs autorisés dans la stratégie RD passerelle CAP.

Pour autoriser des utilisateurs étrangers spécifiques et pas tous les utilisateurs dans un groupe externe, vous devez ajouter les utilisateurs directement aux groupes universels dans le domaine RD passerelle.

Par exemple, qu'il est un groupe de sécurité local de domaine est appelé ? CAP_root respectez, et ce groupe de sécurité est créé dans domaine a. Ce groupe est ajouté comme un groupe d'utilisateurs autorisés dans le CAP RD.

Le groupe de sécurité CAP_root possède les utilisateurs et groupes de domaines A et B suivants comme membres :
Réduire ce tableauAgrandir ce tableau
Membres du groupe de sécurité ? CAP_root respectezDescription
UtilisateurAUtilisateur de domaine A
Utilisateur BUtilisateur de domaine B
GroupAGroupe de sécurité qui a été créé dans le domaine A et qui contient les utilisateurs de domaine A
Groupe b annonçant un étatGroupe de sécurité qui a été créé dans le domaine B et qui contient les utilisateurs de domaine B
Dans cet exemple de scénario, tous les utilisateurs et groupes du domaine B (UtilisateurB et tous les utilisateurs qui sont inclus dans le groupe b dénotant un) rencontrer le problème décrit dans cette section "Symptômes". Sachez que cette configuration ne fonctionne sur Windows Server 2008. Toutefois, lors de la mise à niveau vers Windows Server 2008 R2 de Windows Server 2008, les utilisateurs étrangers qui précédemment peuvent se connecter via une passerelle RD maintenant reçoivent l'erreur décrite dans cette section.

Cause

Ce problème affecte tous les utilisateurs étrangers passerelle RD et tous les groupes. Ce problème se produit dans une des configurations suivantes dans RD passerelle CAP :
  • configuration 1: Les utilisateurs étrangers sont ajoutés directement aux groupes d'utilisateur local de domaine dans le domaine RD passerelle. Dans cette configuration, connexions des utilisateurs étrangers sont refusées, même si le groupe local de domaine est ajouté directement au point d'accès RD passerelle client.
  • configuration 2: Le groupe externe est imbriqué dans un des groupes domaine appartient au domaine RD passerelle. Dans cette configuration, les connexions des utilisateurs qui appartiennent au groupe étranger sont refusées, même si le groupe de domaine parent est ajouté au point d'accès RD passerelle client.

Contournement

Pour contourner ce problème, ne définissez pas les groupes de domaine local en tant que point d'accès client racine groupes dans les scénarios qui requièrent l'autorisation des utilisateurs étrangers. Dans ces scénarios, les groupes de sécurité universel doivent être utilisés en tant que groupes racine CAP. Toutefois, les groupes de sécurité étrangers qui sont imbriqués dans le groupe racine CAP ont à universel. Les groupes de sécurité externe peuvent être global à la place.

Dans cet exemple, si le groupe «CAP_root» est créé comme universel (ou si le groupe CAP_root est converti de domaine local vers universel), puis tout imbriqués utilisateurs et groupes sont autorisés en conséquence.

Remarque Cette solution de contournement a une limitation. Car les groupes universels ne peuvent pas contenir utilisateurs ou groupes d'autres forêts, l'administrateur doit créer un groupe universel pour chaque forêt qui a des utilisateurs ou groupes qui exigent des connexions via la passerelle RD.

Envisagez le scénario suivant :
  1. Créer groupe de sécurité universel ? CAP_root_ForestA respectez et puis inclure les utilisateurs et groupes de domaines dans une forêt qu'il contient.
  2. Créer groupe de sécurité universel ? CAP_root_ForestB respectez et inclure puis utilisateurs et groupes de domaines dans la forêt B qu'il contient.
  3. Créer une stratégie d'autorisation RD passerelle connexion avec les deux groupes ? CAP_root_ForestA respectez et ? CAP_root_ForestB, respectez ou créer distinct RD passerelle autorisation stratégies de connexion qui ont un des groupes de racine CAP dans chaque stratégie.

Statut

Microsoft a confirmé le que de ce problème dans les produits Microsoft répertoriés dans la section «S'applique à».

Plus d'informations

Ce problème se produit également dans Windows Server 2008 R2 Foundation, Windows Small Business Server 2008 R2 et Windows Essential Business Server 2008 R2.

Références

Pour plus d'informations sur la définition et la portée de groupes de sécurité Windows, site Web Microsoft suivant :
http://technet.microsoft.com/en-us/library/cc755692(WS.10).aspx
Pour plus d'informations sur comment faire pour configurer une stratégie d'autorisation connexion Bureau à distance, suivez les étapes qui sont fournies dans le guide de passerelle RD. Pour ce faire, site Web Microsoft suivant :
http://technet.microsoft.com/en-us/library/cc754252(WS.10).aspx#BKMK_CreateTSCAPTSGateway

Propriétés

Numéro d'article: 972133 - Dernière mise à jour: jeudi 16 juillet 2009 - Version: 1.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
Mots-clés : 
kbmt kbexpertiseadvanced kbtshoot kbsurveynew kbprb KB972133 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 972133
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com