Uma falha de autorização de conexão ocorre quando você usa o gateway de área de trabalho do Windows Server 2008 R2 remoto para se conectar a um servidor de DR, uma máquina virtual ou um recurso da área de trabalho em um cenário com vários domínios ou com várias florestas

Traduções deste artigo Traduções deste artigo
ID do artigo: 972133 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Você usa o Windows Server 2008 R2 remoto da área de trabalho gateway (RD gateway) para se conectar a um servidor de DR, para uma máquina virtual, ou para um recurso da área de trabalho em um cenário com vários domínios ou com várias florestas de serviços de domínio Active Directory (AD DS). No entanto, uma falha de autorização de conexão ocorre, mesmo para os usuários autorizados na diretiva de autorização de conexão de gateway RD (CAP).

Quando o cliente de conexão de área de trabalho remota (RDC) 7.0 é usado para conexão através do gateway RD, você receber a seguinte mensagem de erro:
A área de trabalho remota can?t conectar ao computador remoto "< Nome de Recurso de End >" por um dos seguintes motivos:

1) Sua conta de usuário não está autorizada a acessar o gateway RD "< RD Nome do Servidor Gateway >"
2) O computador não está autorizado a acessar o gateway RD "< RD Nome do Servidor Gateway >"
3) Você estiver usando um método de autenticação incompatíveis (por exemplo, o gateway RD pode estar esperando um cartão inteligente mas fornecido uma senha)
Quando o RDC 6.1 ou uma versão anterior do cliente RDC é usada para conectar através do gateway RD, você receber a seguinte mensagem de erro:
Diretiva de autorização de conexão de serviços de terminal (TS CAPs) está impedindo a conexão ao computador remoto por meio do Gateway TS, possivelmente devido a uma das seguintes razões:

* Você não tem permissão se conectar ao servidor Gateway TS.
* Você usado autenticação de senha, mas o servidor Gateway TS está esperando a autenticação de cartão inteligente (ou vice-versa).

Um cenário de exemplo

Definições de termos usados nas seções a seguir

  • um usuário externo ou grupo : um grupo de segurança ou de usuário que pertence a um domínio (domínio B) e que está incluído como um membro de um grupo de segurança é definido em outro domínio (domínio).
  • grupo de raiz de um CAP : um grupo de segurança que está incluído na diretiva de autorização de conexão de gateway RD (CAP RD).

Configuração

Para autorizar usuários que pertencem a um grupo de usuários entre florestas, você deve adicionar o grupo de usuários entre florestas diretamente como um dos grupos de usuários autorizados na diretiva RD gateway CAP.

Para autorizar usuários externos específicos e não todos os usuários em um grupo externo, você deve adicionar os usuários diretamente a grupos universais no domínio RD gateway.

Por exemplo, suponha que existe um grupo de segurança domínio local que é conhecido como ? CAP_root ?, e esse grupo de segurança é criado no domínio a. Esse grupo é adicionado como um grupo de usuários autorizados no CAP RD.

O grupo de segurança CAP_root tem os seguintes usuários e grupos de domínio A e B como seus membros:
Recolher esta tabelaExpandir esta tabela
Membros do ? CAP_root ? grupo de segurançaDescrição
UserAUsuário de domínio
PermissõesUsuário de domínio B
GroupAGrupo de segurança que foi criado no domínio A e que contém os usuários do domínio A
GroupBGrupo de segurança que foi criado no domínio B e que contém os usuários do domínio B
Nesse cenário de exemplo, todos os usuários e grupos do domínio B (permissões e todos os usuários que estão incluídos no GroupB) encontrar o problema é descrito nesta seção "Sintomas". Esteja ciente de que essa configuração funciona no Windows Server 2008. No entanto, quando você atualiza do Windows Server 2008 para o Windows Server 2008 R2, os usuários externos que anteriormente podem se conectar por meio do gateway RD agora receberão o erro descrito nesta seção.

Causa

Esse problema afeta todos os usuários externos do gateway RD e grupos. Esse problema ocorre em uma das seguintes configurações no CAP de gateway RD:
  • configuração 1: Os usuários externos são adicionados diretamente aos grupos de usuário local de domínio no domínio RD gateway. Nessa configuração, conexões dos usuários externos são negadas, mesmo se o grupo local de domínio for adicionado diretamente ao CAP RD gateway.
  • Configuração 2: O grupo externo está aninhado em um dos grupos de domínio pertencem ao domínio RD gateway. Nessa configuração, as conexões dos usuários que pertencem ao grupo externo são negadas, mesmo se o grupo de domínio pai é adicionado ao CAP RD gateway.

Como Contornar

Para contornar esse problema, não defina grupos locais de domínio como CAP raiz grupos em cenários que exigem autorização de usuários externos. Em tais situações, os grupos de segurança universal devem ser usados como CAP raiz grupos. No entanto, os grupos de segurança externos que estão aninhados no grupo raiz CAP não precisará ser universal. Os grupos de segurança externa podem ser global em vez disso.

Neste exemplo, se o grupo "CAP_root" é criado como universal (ou se o grupo CAP_root é convertido de domínio local para universal), em seguida, todas as aninhadas usuários e grupos estão autorizados adequadamente.

Observação Esta solução alternativa tem uma limitação. Como grupos universais não podem conter usuários ou grupos de outras florestas, o administrador deve criar um grupo universal para cada floresta possui usuários ou grupos que exigem conexões através do gateway RD.

Considere o seguinte cenário:
  1. Criar grupo de segurança universal ? CAP_root_ForestA ? e incluir usuários e grupos de domínios na floresta nela.
  2. Criar grupo de segurança universal ? CAP_root_ForestB ? e, em seguida, incluir usuários e grupos de domínios na floresta B nela.
  3. Criar uma diretiva de autorização de conexão de gateway RD com ambos os grupos, ? CAP_root_ForestA ? e ? CAP_root_ForestB ?, ou criar separado RD gateway conexão diretivas de autorização que tenha um dos grupos do CAP raiz em cada diretiva.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Esse problema também ocorre no Windows Server 2008 R2 Foundation, no Windows Small Business Server 2008 R2 e no Windows Essential Business Server 2008 R2.

Referências

Para obter mais informações sobre a definição e o escopo dos grupos de segurança do Windows, visite o seguinte site:
http://technet.microsoft.com/en-us/library/cc755692(WS.10).aspx
Para obter mais informações sobre como configurar uma diretiva de autorização de conexão de área de trabalho remoto, siga as etapas fornecidas no guia passo a passo de gateway RD. Para fazer isso, visite o seguinte site:
http://technet.microsoft.com/en-us/library/cc754252(WS.10).aspx#BKMK_CreateTSCAPTSGateway

Propriedades

ID do artigo: 972133 - Última revisão: quinta-feira, 16 de julho de 2009 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
Palavras-chave: 
kbmt kbexpertiseadvanced kbtshoot kbsurveynew kbprb KB972133 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 972133

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com