登录时间受限时，出现“无法联系本地安全机构”错误消息

我正在尝试为Windows Server 2012上的远程桌面用户定义logonHours。远程连接需要网络级身份验证。当具有受限登录时间（在ActiveDirectory中定义）的帐户尝试在拒绝的时间进行连接时，客户端（远程桌面连接）将响应：

An authentication error has occurred.
The Local Security Authority cannot be contacted.

如果该帐户尝试在允许的时间登录，则一切正常。如果不需要网络级身份验证，则客户端将连接到服务器，该服务器拒绝登录，但显示出更好的错误消息“您的帐户有时间限制...”。

有什么方法仍然需要NLA，但要提供有关时间限制的友好通知？我是否缺少策略设置或其他配置？

如果从加入信任域的计算机上运行RDP客户端，它将显示一个不错的，可用的错误消息，并且RDP客户端必须能够解析RDP服务器（会话主机）的主机名。

• 必须将RDP客户端加入到信任RDP服务器所在域的域中
• 日期和时间必须同步
• 使用主机名或FQDN（而不是其IP地址）连接到RDP服务器

如果不满足上述任何要求，则会发生此错误。

在这种情况下，这实际上是由NLA提供的额外安全性引起的。这是一个功能。RDP服务器的域不信任的计算机应该不能获得有关所使用帐户的任何信息。

错误消息“无法联系本地安全机构”可防止信息泄露给运行RDP客户端的不受信任的计算机，有关该用户帐户是否无效，过期，不受信任，时间受限制或攻击者可能用来标识有效帐户的其他任何信息。

您正在询问应用程序层错误消息，但需要网络层安全功能。你不能吃蛋糕也不能吃。

网络层无法连接到应用程序层。因此，您收到的消息是完全准确的。

从失败的Win 7 RDP连接到Win 2012 R2服务器时，发现了相同的消息。我使用Royal TSX for RDP从我的Macbook中使用同一帐户测试了到同一服务器的连接，并收到警告密码已过期的警告。重置密码，用户便可以通过Win 7 RDP会话登录。

这意味着您的工作站服务已被禁用。重新启用它，您应该一切顺利。

使用管理员权限启动命令行，运行以下命令：

sc config LanmanWorkstation start= auto
sc start LanmanWorkstation

请注意，start = auto之后有一个空格