windows-server-2008-r2 – 远程桌面服务器场停止工作

一个以前运行良好的远程桌面服务器场啊两天前停止工作.
设置如下：

> DNS将“myfarm.mydomain.local”解析为所有场成员服务器的IP
>所有场成员服务器都配置为Broker MYBROKER上的场“myfarm”的场成员
>所有农场成员都是MYBROKER上本地会话经纪人组的成员
>客户端配置为连接到“myfarm”

(所涉及的所有服务器都是虚拟Windows2008R2盒).
突然,人们开始收到以下错误(从德语翻译)并且无法连接.

Unable to connect to terminal server.

The terminal server farm “myfarm” that you are trying to connect to is redirecting you to server “farmmemberX.mydomain.local”. Remote desktop cannot verify that this server belongs to the same server farm. This can occur if there is a server on your network with the same name as the server farm.
?It cannot be verified if both remote computers belong to the same remote desktop server farm. You must use the farm name,not the computer name,if you want to mak a connection to a remote desktop server farm.

Contact a network administrator to obtain support if you use a RDP connection that was prepared by the administrator.

If you want to connect with a specific farm member,use “mstsc /admin”

有时它似乎也被拒绝,好像输入了错误的凭据(他们没有,大多数都保存了他们的凭据)

问题1.您能否解释一下这背后的原因,特别是关于“无法验证”的问题：如果验证有效,该如何进行验证？毕竟,如果没有经纪人发起重定向甚至不会被重新调整…

我们尝试了什么：有时它有助于将客户端连接的名称替换为其他东西(即,我们向DNS添加了名称“foo”,解析为相同的IP并且用户连接到“foo”),但这远远不够从一致.

后来我们注意到在上面的错误消息中,始终相同的几个服务器显示为“farmmemberX”.我们从服务器场(在成员本身和DNS中)实验性地删除了这些,因此能够将损坏的八个服务器场减少到功能性两个服务器场.由于这不足以消除用户负载,我想克隆其中一个;为了做到这一点,我首先关闭它,然后重新启动它 – 从那一刻它就像其他六台服务器一样糟糕.显然重新启动RDP服务器是件致命的事情…根据日志,这个特定的服务器大约两个月没有重新启动.因此,实际上过去两个月所做的任何改变都是相关的.其中有

>我们将第一台Win2012 AD服务器添加到Win2003 AD结构中
>我记得有一些IE10 / SSL / TLS相关安全问题的案例需要人工干预(regedit和东西),但我仍然试图记住这些可能是什么
>大量的Windows更新
>无效证书之类的东西来到我家,但我没有发现这样的事情

问题2.这些问题中是否会出现这个问题？

目前,我们完全放弃了服务器场,即我们只通过DNS循环进行“穷人的负载平衡”(当然,我们特别想念重新连接到以前的会话功能)

主要问题.如何让我的农场再次进入工作状态？

编辑：我应该提到一些客户是幸运的,并没有与RDP农场peoblems：那些仍在运行Windows XP及其旧的RDP客户端……

评论后编辑：
似乎主要责备更新KB3002657,KB3035017要么没有安装,要么在相关服务器(客户端,RDP服务器,代理,DC)上的问题开始前几天安装,但我会尝试卸载它们无论如何.. .

UPDATE
更多信息：

>我增强了代理上的事件记录.根据该日志,一切正常(没有警告),会话重定向正常完成.只是在soe超时后,目标会话被删除.我尝试(失败)快速连接,在这种情况下,代理甚至记录它试图重用现有会话.
>如果目标RDP服务器设置为“RDP-Sercurity”而不是“negotiate”,则重定向有效(除了客户端出现可预期的恼人错误消息)
>我尝试了一个全新的农场(即具有不同主机的不同代理),并且该问题也可以在该系统中重现.这可能表明问题是客户端问题.

更新每条评论所要求的信息

如果我在RDP主机上将安全性设置为“TLS 1.0”(而不是“协商”),则问题仍然存在.如果我设置为“RDP”农场工作 – 但每个人都必须输入两次密码.在错误情况下,出于某种原因,我现在经常只是得到“无法使用给定的凭据建立连接”而不是原始错误.这伴随着登录失败事件4625,状态为0xc000006d,子状态为0.在您询问之前：所有DC的时钟都处于良好的同步状态;注册表中未配置LanMan compatabilty设置.

RDP主机客户端设置上的证书由仍然值得信赖的内部CA(根据GPO受到所有人信任)颁发,并且有效期至未来至少四个月.为了进行测试,我将这些证书归为“自动”证书并返回,但没有成功.

原始的德语错误消息文本读取

Von Remotedesktopverbindung kann keine Verbindung mit dem Remotecomputer hergestellt werden.

Vom Remotecomputer “FARMNAME”,mit dem Sie eine Verbindung herstellen m?chten,werden Sie zum Remotecomputer “FARMMEMBER.DOMAIN” umgeleitet. Es kann nicht überprüft werden,ob diebeiden Remotecomputer zur gleichen Remotedesktop-Sitzungshostserverfarm geh?ren. Sie müssen den Farmnamen,nicht den COmputernamen,verwenden,wenn Sie eine Verbindung mit einer Remotedesktop-Sitzungshostserverfarm herstellen m?chten.

Wenden Sie sich an den Netzwerkadministrator,um Unterstützung zu erhalten,wenn Sie eine RDP-Verbindung verwenden,die vom Administrator bereitgestellt wurde.

Wenn Sie eine Verbindung mit einem bestimmten Fammitglied herstellen m?chten,um es zu verwalten,geben Sie “mstsc.exe /admin” an der Eingabeaufforderung ein.

为了确定最近的一些cleint端更新是否有问题,我开始使用全新的Windows 7机箱并在每组更新后进行测试.似乎第一个比XP更好的客户端的引入现在已经引起了问题 – 但是第一个这样的客户端版本给出了不同的错误消息(不是很有意义)：

Die Verbindung kann nicht hergestellt werden,da es sich bei dem erreichten Remotecomputer nicht um den angegebenen Computer handelt. Dies kann durch einen veralteten Eintrag im DNS-Cache verursacht werden. Verwenden Sie statt des Namens die IP-Adresse es Computers.