最近遠端桌面授權伺服器的事件紀錄出現大量的 4105 警告訊息,內容如下:
遠端桌面授權伺服器無法為 Active Directory 網域 “xxx.com.tw” 的使用者 “bill” 更新授權屬性。請確定授權伺服器的電腦帳戶是 Active Directory 網域 “xxx.com.tw” 的 Terminal Server License Servers 群組的成員。
出現此訊息的共有兩位使用者,而他們實際仍然可以登入遠端桌面伺服器,但是在「RD 授權管理員」則不會記錄到這兩位帳號的授權使用。上網查了資料後,似乎是因為兩個帳號是在 Windows 2000 時期就已建立,之後因網域升級的關係,造成的一些安全性溝通問題,因此要透過一些設定,讓該帳戶可以正確取得遠端授權的相關權限。
【解決方法】
◎ 開啟「Active Directory 使用者和電腦」,對網域按右鍵,選擇【委派控制】。
◎ 選擇【新增】。
◎ 輸入 “terminal server license servers“,按【確定】。
◎ 到下一步後,選擇【建立自動工作來委派】,接著按【下一步】。
◎ 選擇【只有在這個資料夾內的下列物件】,勾選【User 物件】,其他的都取消勾選,並點選【下一步】。
◎ 選擇【一般】,勾選【讀取並寫入 終端機伺服器授權伺服器】,點選【下一步】。
◎ 點選【完成】。
◎ 回到「Active Directory 使用者和電腦」畫面,在「檢視」底下勾選【進階功能】。
◎ 在目標帳戶按右鍵,選擇【內容】。
◎ 在「安全性」標籤底下,點選「Terminal Sever License Servers」角色,確認底下的「讀取 終端機伺服器授權伺服器」及「寫入 終端機伺服器授權伺服器」的權限為【允許】。
我這邊的環境在完成「委派工作」的步驟後,每個使用者就會自動出現最後一個步驟的權限,因此只須做檢查即可。完成上述動作後,便不會再出現 4105 的錯誤訊息,而在「RD 授權管理員」也會出現該使用者的授權紀錄。
【番外篇一】
當初在建立遠端桌面授權伺服器後,也曾遇到同樣的訊息,而當時出現警告訊息的使用者,全都來自另一個網域 B (有加信任),因此問題點其實就如該訊息下半部所告知的解決方式,只將授權伺服器的電腦名稱加進網域 B 的「Terminal Sever License Servers」群組即可 (我原本只有加到網域 A)。
【番外篇二】
最近發生網域 B 的帳戶在連線遠端桌面時,會跳出「拒絕存取」的錯誤訊息,但伺服器的紀錄看不到什麼異常錯誤訊息,後來試著將網域 B 「Terminal Sever License Servers」群組裡的授權伺服器電腦移除後,網域 B 的 User 便可以連線登入,之後再把電腦加回去,也都正常了。
【參考連結】
- FIX Event ID 4105: Remote Desktop license server cannot update the license attributes for user in Active Directory Domain. – wintips.org – Windows Tips & How-tos
- TerminalServices-Licensing 4105 – The Terminal Services license server cannot update the license attributes for user “
” in Active Directory Domain “ ”
