问NLA的RDP不起作用，除非先在本地登录

EN

几个月来我都有同样的问题，周日早上我一直在寻找答案。大多数试图解释NLA的页面实际上并没有解释任何关于它的内容，除了一个我觉得对理解协议很有趣/有用的页面：https://syfuhs.net/how-authentication-works-when-you-use-remote-desktop

以下是我的理解：

• 如果不启用NLA，RDP连接将在主机上通过登录屏幕启动一个“桌面”实例。这将占用内存、资源，并可能使主机受到一些攻击。
• 启用NLA后，RDP连接只在身份验证完成后创建桌面。
• 此身份验证可以通过多种方式完成。
• 第一个也是最简单的场景是，您的客户端是与服务器相同的AD成员。将涉及一个KDS，您的客户将收到一个密钥或令牌，这将证明您已通过身份验证。此令牌将提交给RDP主机。
• 您的方案(和我的方案)涉及一台非AD成员的客户端计算机。因此，任何涉及与第三方对话的身份验证协议都将失败。在这种情况下，协议将在某种程度上涉及挑战RDP客户端解密只有适当的用户凭据才能解密的秘密。
• 但是要产生这个挑战，RDP主机还必须知道凭据。为此，需要缓存用户的凭据。这是不一样的，与缓存的登录无关:主机必须通过某种会话级别机制访问实际密码。
• 因为这与缓存的登录无关，所以它也没有理由在重新启动时保持持久性:一旦机器重新启动，这个信息就会丢失。
• 因此:为了使RDP服务器能够生成只有适当的用户凭据才能解密的秘密，它必须在重新启动后至少一次接收用户凭据。

这解释了为什么每次重新启动AD计算机时都需要在本地至少登录一次。我怀疑，如果您从未重新启动机器，也会自动过期，但根据我的经验，需要超过几天的时间才能完成。

我想我说的话有许多技术上的含糊不清或错误。请记住，这是对我根本不擅长的事情的天真理解:)

干杯。