最近远端桌面授权伺服器的事件纪录出现大量的 4105 警告讯息,内容如下:
远端桌面授权伺服器无法为 Active Directory 网域 “xxx.com.tw” 的使用者 “法案” 更新授权属性。请确定授权伺服器的电脑帐户是 Active Directory 网域 “xxx.com.tw” 的 Terminal Server License Servers 群组的成员。
出现此讯息的共有两位使用者,而他们实际仍然可以登入远端桌面伺服器,但是在「RD 授权管理员」则不会记录到这两位帐号的授权使用。上网查了资料后,似乎是因为两个帐号是在 Windows 2000 时期就已建立,之后因网域升级的关系,造成的一些安全性沟通问题,因此要透过一些设定,让该帐户可以正确取得远端授权的相关权限。
【解决方法】
◎ 开启「Active Directory 使用者和电脑」,对网域按右键,选择【委派控制】。
◎ 选择【新增】。
◎ 输入 “终端服务器许可证服务器“,按【确定】。
◎ 到下一步后,选择【建立自动工作来委派】,接着按【下一步】。
◎ 选择【只有在这个资料夹内的下列物件】,勾选【User 物件】,其他的都取消勾选,并点选【下一步】。
◎ 选择【一般】,勾选【读取并写入 终端机伺服器授权伺服器】,点选【下一步】。
◎ 点选【完成】。
◎ 回到「Active Directory 使用者和电脑」画面,在「检视」底下勾选【进阶功能】。
◎ 在目标帐户按右键,选择【内容】。
◎ 在「安全性」标签底下,点选「Terminal Sever License Servers」角色,确认底下的「读取 终端机伺服器授权伺服器」及「写入 终端机伺服器授权伺服器」的权限为【允许】。
我这边的环境在完成「委派工作」的步骤后,每个使用者就会自动出现最后一个步骤的权限,因此只须做检查即可。完成上述动作后,便不会再出现 4105 的错误讯息,而在「RD 授权管理员」也会出现该使用者的授权纪录。
【番外篇一】
当初在建立远端桌面授权伺服器后,也曾遇到同样的讯息,而当时出现警告讯息的使用者,全都来自另一个网域 B (有加信任),因此问题点其实就如该讯息下半部所告知的解决方式,只将授权伺服器的电脑名称加进网域 B 的「Terminal Sever License Servers」群组即可 (我原本只有加到网域 A)。
【番外篇二】
最近发生网域 B 的帐户在连线远端桌面时,会跳出「拒绝存取」的错误讯息,但伺服器的纪录看不到什么异常错误讯息,后来试着将网域 B 「Terminal Sever License Servers」群组里的授权伺服器电脑移除后,网域 B 的 User 便可以连线登入,之后再把电脑加回去,也都正常了。
【參考連結】
- FIX事件ID 4105: 远程桌面许可证服务器无法为Active Directory域中的用户更新许可证属性. – wintips.org – Windows提示 & 操作方法
- 终端服务许可 4105 –终端服务许可证服务器无法为用户“
“在Active Directory域中” ”
