A mensagem de erro "Autoridade de segurança local não pode ser contatada" quando o logonHours é restrito

Estou tentando definir o logonHours para usuários da Área de Trabalho Remota no Windows Server 2012; A autenticação no nível da rede é necessária para conexões remotas. Quando uma conta com logonHours restrito (definido no ActiveDirectory) tenta se conectar em um momento negado, o cliente (Conexão de Área de Trabalho Remota) responde com:

An authentication error has occurred.
The Local Security Authority cannot be contacted.

Se a conta tentar entrar nos horários permitidos, tudo funcionará bem. Se a autenticação no nível da rede não for necessária, o cliente se conectará ao servidor, que nega o logon, mas exibe a mensagem de erro muito mais agradável "Sua conta tem restrições de tempo ..."

Ainda existe alguma maneira de exigir o NLA, mas apresente um aviso mais amigável sobre restrições de tempo? Estou faltando uma configuração de diretiva ou alguma outra configuração?

O cliente RDP exibirá uma mensagem de erro útil e agradável se você a executar em uma máquina que ingressou em um domínio confiável, e o cliente RDP deve ser capaz de resolver o nome do host do servidor RDP (host da sessão).

• O cliente RDP deve estar associado a um domínio que confia no domínio em que o servidor RDP está
• Data e hora devem ser sincronizadas
• Conecte-se ao servidor RDP usando o nome do host ou o FQDN, não o endereço IP

Este erro ocorrerá se algum dos requisitos acima não for atendido.

Nesse caso, isso é realmente causado pela segurança adicional fornecida pelo NLA. Este é um recurso . Um computador que não seja confiável pelo domínio do servidor RDP não poderá obter nenhum tipo de informação na conta que está sendo usada.

A mensagem de erro "Autoridade de segurança local não pode ser contatada" evita o vazamento de informações sobre se a conta do usuário é inválida, expirada, não confiável, com restrição de tempo ou qualquer outra coisa que um invasor possa usar para identificar contas válidas para computadores não confiáveis ​​que executam o cliente RDP .

Você está solicitando uma mensagem de erro da camada de aplicativo, mas deseja um recurso de segurança da camada de rede. Você não pode comer o seu bolo e comê-lo também.

A camada de rede não pode se conectar à camada de aplicativo. Portanto, a mensagem que você recebe é completamente precisa.

A mesma mensagem encontrada apareceu de uma falha na conexão RDP do Win 7 com um servidor Win 2012 R2. Testei uma conexão com o mesmo servidor usando a mesma conta do meu macbook usando o Royal TSX for RDP e recebi um aviso de que a senha expirou. Redefina a senha e o usuário pôde fazer logon por meio da sessão RDP do Win 7.

Isso significa que o serviço da estação de trabalho foi desativado. Reative-o e você deve estar pronto.

Inicie uma linha de comando com privilégios de administrador e execute o seguinte comando:

sc config LanmanWorkstation start= auto
sc start LanmanWorkstation

Observe que há um espaço após o início = auto