我在Windows Server 2016上继续登录请求。 每次它请求不同的IP地址,也是我们肯定没有用户的国家,因为我们在一个办公室只有一个国家/地区的10个用户,我们确定都在一个国家/地区。我知道我们的服务器应该只有一个国家的特定IP地址,但是为什么下面记录了我们得到的不同国家的IP
我们正在努力防止这种情况发生。
为什么或登录下面是什么?
如果我们在下面阻止,我们仍然可以访问 RDP 上的服务器吗? 我们仍然需要 RDP...
在事件查看器服务器日志中。
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Versand
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: workstation
Source Network Address: xxx.x.x.x.x
Source Port: 0
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
NTLM只是Windows域网络上的身份验证协议,与Microsoft发布的较新协议相比Kerberos它仍然被广泛使用。禁用NTLM将意味着您可以阻止使用该协议的任何用户进行连接。一种选择是禁用NTLM并使用Kerberos但这意味着所有用户也必须配置为使用Kerberos。
查看此页面以获取更多信息:http://woshub.com/disable-ntlm-authentication-windows/
如果您知道所有 10 个用户的 IP 地址,我建议您限制可以通过 RDP 连接的 IP 地址,而不是这样做。
打开Windows Firewall with Advanced Security,单击Inbound Rules并找到 RDP 规则并右键单击,然后Properties并单击Scope选项卡。在Remote IP Addresses部分中,您应该能够手动添加应该能够连接的用户的IP地址。不在范围内的任何 IP 地址都将无法连接。
参考: https://support.managed.com/kb/a2499/restrict-rdp-access-by-ip-address.aspx
另外,您指出登录尝试来自不同的国家/地区,因此您无法消除用户使用 VPN 的可能性。