Aparece el mensaje de error "No se puede contactar a la autoridad de seguridad local" cuando se restringe el inicio de sesión

Estoy tratando de definir logonHours para usuarios de Escritorio remoto en Windows Server 2012; Se requiere autenticación de nivel de red para conexiones remotas. Cuando una cuenta con inicio de sesión restringido (definido en ActiveDirectory) intenta conectarse en un momento denegado, el cliente (Conexión a Escritorio remoto) responde con:

An authentication error has occurred.
The Local Security Authority cannot be contacted.

Si la cuenta intenta iniciar sesión en los momentos permitidos, todo funciona bien. Si no se requiere la autenticación de nivel de red, el cliente se conecta al servidor, lo que deniega el inicio de sesión, pero muestra el mensaje de error mucho mejor "Su cuenta tiene restricciones de tiempo ..."

¿Hay alguna manera de exigir aún NLA, pero presentar el aviso más amigable sobre las restricciones de tiempo? ¿Me falta una configuración de política o alguna otra configuración?

El cliente RDP mostrará un mensaje de error agradable y utilizable si lo ejecuta desde una máquina que está unida a un dominio de confianza, y el cliente RDP debe poder resolver el nombre de host del servidor RDP (host de sesión).

• El cliente RDP debe estar unido a un dominio que confía en el dominio en el que se encuentra el servidor RDP
• La fecha y la hora deben estar sincronizadas
• Conéctese al servidor RDP utilizando el nombre de host o el FQDN, no su dirección IP

Este error ocurrirá si alguno de los requisitos anteriores no se cumple.

En este caso, esto en realidad es causado por la seguridad adicional proporcionada por NLA. Esta es una característica . Una computadora en la que no confía el dominio del servidor RDP no debería poder obtener ningún tipo de información sobre la cuenta que se está utilizando.

El mensaje de error "No se puede contactar a la Autoridad de Seguridad Local" evita que se filtre información sobre si la cuenta de usuario es inválida, caducada, no confiable, con restricción de tiempo o cualquier otra cosa que un atacante pueda usar para identificar cuentas válidas, a computadoras no confiables que ejecutan el cliente RDP .

Solicita un mensaje de error de la capa de aplicación pero desea una función de seguridad de la capa de red. No puedes tener tu pastel y comértelo también.

La capa de red no se puede conectar a la capa de aplicación. Entonces el mensaje que recibe es completamente exacto.

El mismo mensaje encontrado apareció de una conexión Win 7 RDP fallida a un servidor Win 2012 R2. Probé una conexión al mismo servidor usando la misma cuenta de mi macbook usando Royal TSX para RDP y recibí una advertencia de que la contraseña había expirado. Restablezca la contraseña y el usuario pudo iniciar sesión a través de su sesión Win 7 RDP.

Esto significa que su servicio de estación de trabajo ha sido deshabilitado. Vuelva a habilitarlo y debería estar listo para comenzar.

Encienda una línea de comandos con privilegios de administrador, ejecute el siguiente comando:

sc config LanmanWorkstation start= auto
sc start LanmanWorkstation

Tenga en cuenta que hay un espacio después de start = auto