Windows远程桌面授权错误（授权超时）等报错信息疑难解答

该主题列出了可能出现在客户端计算机中的授权错误消息，并描述产生这些错误的原因及解决方案。尽管这些错误消息出现在客户端，但通常是由于 Windows Server 2003 终端服务器许可证服务器或终端服务器产生错误而显示这些消息的。因此，当您在对终端服务器授权问题进行故障排除时，请先确定这是服务器配置方面的问题还是网络连接问题，这一点非常有用。

要点

该主题中的解决方案旨在由管理员来实施。如果您不是管理员，那么请与您的服务器管理员联系，寻求解决错误消息的方法。如果您本人就是管理员，那么请协助防止终端服务器授权问题的发生，并尽快进行故障诊断，并郑重建议您参阅部署终端服务器指南 (http://go.microsoft.com/fwlink/?LinkID=34627) 和 Windows Server 2003 终端服务器授权问题和部署要求 (http://go.microsoft.com/fwlink/?LinkID=23444)。

您获得了哪条消息？

·             由于无法升级或续订本地计算机的客户端访问许可证，远程会话被中断。请与服务器管理员联系。

·             由于授权协议出错，远程计算机中断了会话。请尝试重新连接到远程计算机或者与服务器管理员联系。

·             由于授权协议中发生网络问题，远程会话被中断。请尝试再次连接到远程计算机。

·             客户端试图连接时，出现了授权错误。（授权超时。）请尝试再次连接到远程计算机。

·             由于这台计算机没有终端服务器客户端访问许可证，远程会话被中断。请与服务器管理员联系。

·             由于没有任何终端服务器许可证服务器可以提供许可证，远程会话被中断。请与服务器管理员联系。

·             由于安全性错误，客户端无法连接到终端计算机。确保您已登录到网络之后，请尝试重新连接服务器。

由于无法升级或续订本地计算机的客户端访问许可证，远程会话被中断。请与服务器管理员联系。

原因：  终端服务器中的终端服务器授权模式也许设置为“每设备”，而许可证服务器可能配置为仅颁发“每用户”客户端访问许可证 (CAL)。如果是这种情况，那么许可证服务器将仅颁发临时许可证，这是不能升级的。当临时许可证还有几天即将过期时，“事件 ID 26，源：应用程序弹出消息”将显示在客户端上的应用程序事件日志中。该事件消息指出临时许可证还有多少天即将过期。与此类似，“事件 ID 1011，源 TermService”也将显示在终端服务器上的应用程序事件日志中。

解决方案：  将终端服务器授权模式从“每设备”更改为“每用户”。

要点

终端服务器不监视每用户 CAL。这意味着即使许可证服务器数据库中只有一个每用户 CAL，使用它时，每用户 CAL 也不会减少。它不会通过从最终用户许可协议 (EULA) 要求中删除管理员来为每一个用户提供有效的终端服务器 CAL。如果未在使用每设备 CAL 却无法为每个用户获取一个每用户 CAL，则违反了 EULA。

请参阅以下文本，该文本选自 Windows Server 2003 的 EULA：

“您可以使用两种不同的 TS CAL：“设备”和“用户”。每个 TS 设备 CAL 允许一个设备（由任何用户使用）执行任何服务器上的 Windows 会话。每个 TS 用户 CAL 允许一个用户（使用任何设备）执行任何服务器上的 Windows 会话。您可同时混合使用 TS 设备 CAL 和 TS 用户 CAL，并可以将其与环境中的服务器软件同时使用。您可以让终端服务器请求每用户许可证或每设备许可证（默认值），但不能同时请求两种许可证。”

请参阅：   配置终端服务器授权模式

由于授权协议出错，远程计算机中断了会话。请尝试重新连接到远程计算机或者与服务器管理员联系。

原因：  终端服务器可能找不到许可证服务器。

解决方案：  请执行以下步骤：

1.       确认是否已正确安装许可证服务器。

2.       确认终端服务器授权服务是否正在许可证服务器上运行。

3.       通过确保在每一台计算机上正确配置了域名系统 (DNS)，验证客户端、终端服务器和许可证服务器可以通讯。要完成上述操作，请在每台计算机上使用 IP 地址、FQDN 和 NetBIOS 名称分别针对其他两台计算机运行ping命令。如果任何ping命令失败，请验证网络上的 DNS 配置。

4.       在终端服务器上，设置一个要连接到的首选授权服务器。通过如下方法可完成该操作：使用注册表、Windows Management Instrumentation (WMI) 脚本，或者在带有 Service Pack 1 的 Windows Server 2003 中，使用组策略设置或终端服务器配置。

请参阅：   安装终端服务器授权；设置首选终端服务器许可证服务器；终端服务器许可证服务器角色

解决方案：  如果上一个解决方案不能解决此问题，请在客户端上创建一个MSLicensing注册表项及其子项的备份，然后执行下列操作删除原始项和子项：

1.       在客户端上，导航到下列注册表子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing.

2.       单击MSLicensing。

3.       在“注册表”菜单上，单击“导出注册表文件”。

4.       在“文件名”框中，键入mslicensingbackup，然后单击“保存”。

5.       如果以后需要还原此注册表项，请双击mslicensingbackup.reg。

6.       在“编辑”菜单上，单击“删除”，然后单击“是”确认删除MSLicensing注册表子项。

7.       关闭注册表编辑器并重新启动计算机。

客户端重新启动时，将重新创建缺少的注册表项。

警告

编辑注册表不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。

请参阅：  Removing Terminal Server Licenses From an RDP Client (http://go.microsoft.com/fwlink/?LinkId=38560)

由于授权协议中发生网络问题，远程会话被中断。请尝试再次连接到远程计算机。

原因：  终端服务器可能找不到许可证服务器。

解决方案：  请执行以下步骤：

1.       确认是否已正确安装许可证服务器。

2.       确认终端服务器授权服务是否正在许可证服务器上运行。

3.       通过确保在每一台计算机上正确配置了域名系统 (DNS)，验证客户端、终端服务器和许可证服务器可以通讯。要完成上述操作，请在每台计算机上使用 IP 地址、FQDN 和 NetBIOS 名称分别针对其他两台计算机运行ping命令。如果任何ping命令失败，请验证网络上的 DNS 配置。

4.       在终端服务器上，设置一个要连接到的首选授权服务器。通过如下方法可完成该操作：使用注册表、Windows Management Instrumentation (WMI) 脚本，或者在带有 Service Pack 1 的 Windows Server 2003 中，使用组策略设置或终端服务器配置。

请参阅：  安装终端服务器授权；设置首选终端服务器许可证服务器；终端服务器许可证服务器角色

原因：  许可证服务器也许正在运行 Windows 2000，并且也许配置为禁止匿名连接（除已明确授予权限可以访问服务器的那些资源）。

解决方案：  在 Windows 2000 许可证服务器中，请执行以下操作：

警告

编辑注册表不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。

·             在注册表中，请导航至HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous，将RestrictAnonymous注册表项设置为1或0。

·             在本地安全策略中，打开适当的策略，然后在控制台树中，导航至计算机配置\Windows 设置\安全设置\本地策略\安全选项。接下来，启用“不允许枚举 SAM 帐户与共享”（相当于将RestrictAnonymous 的值设置为1或None）或者“依赖默认权限”（相当于将RestrictAnonymous的值设置为0）。

注意

·             如果许可证服务器是 Active Directory 域中的成员，并且在组策略中为该许可证服务器配置了冲突安全设置，那么组策略设置将会替代本地安全设置。在这种情况下，要确保应用此安全设置之后生效，请在组策略中配置该设置。

·             在 Windows Server 2003 中，您无法通过将 RestrictAnonymous的值设置为2来禁止匿名连接。如果您需要禁止匿名用户被授予与 Everyone 组成员相同的访问权限，则必须在本地安全策略中使用Everyone Network access:Let Everyone permissions apply to anonymous users这项新的安全设置。

解决方案：  如果上一个解决方案不能解决此问题，请在客户端上创建一个MSLicensing注册表项及其子项的备份，然后执行下列操作删除原始项和子项：

1.       在客户端上，导航到下列注册表子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing。

2.       单击MSLicensing。

3.       在“注册表”菜单上，单击“导出注册表文件”。

4.       在“文件名”框中，键入mslicensingbackup，然后单击“保存”。

5.       如果以后需要还原此注册表项，请双击mslicensingbackup.reg。

6.       在“编辑”菜单上，单击“删除”，然后单击“是”确认删除MSLicensing注册表子项。

7.       关闭注册表编辑器并重新启动计算机。

客户端重新启动时，将重新创建缺少的注册表项。

警告

编辑注册表不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。

请参阅：   How To Use the RestrictAnonymous Registry Value in Windows 2000 (http://go.microsoft.com/fwlink/?LinkId=38561)

客户端试图连接时，出现了授权错误。（授权超时。）请尝试再次连接到远程计算机。

原因：  如果您正在使用 Internet 协议安全 (IPsec) 来帮助保护在客户端与终端服务器之间基于 TCP 的通讯，那么将会产生数据包碎片。因此，部分数据包可能无法到达目的地，客户端到终端服务器之间的连接也可能会中断。

解决方案：  请将 IPsec 配置为保护基于 UDP 而不是 TCP 上的通讯。

请参阅：   定义 IPSec 策略

由于这台计算机没有终端服务器客户端访问许可证，远程会话被中断。请与服务器管理员联系。

原因：  许可证服务器中可能没有剩余的“每设备 CAL”来颁发。

解决方案：  使用终端服务器授权来确定许可证服务器中所剩 CAL 的数量。要打开终端服务器授权，请依次单击“开始”、“程序”、“管理员工具”，然后指向“终端服务器授权”。如果许可证服务器中没有剩余的 CAL 颁发给客户端，那么请根据需要购买并安装其他 CAL。

请参阅：   购买客户端访问许可证；安装客户端访问许可证；购买并在终端服务器许可证服务器上安装客户端访问许可证

原因：  终端服务器中的终端服务器授权模式可能设置为“每设备”，而许可证服务器可能仅有“每用户 CAL”。如果是这种情况，那么许可证服务器将仅颁发临时许可证，这是不能升级的。当临时许可证还有几天即将过期时，“事件 ID 26，源：应用程序弹出消息”将显示在客户端上的应用程序事件日志中。该事件消息指出临时许可证还有多少天即将过期。与此类似，“事件 ID 1011，源 TermService”也将显示在终端服务器上的应用程序事件日志中。

解决方案：  将终端服务器授权模式从“每设备”更改为“每用户”。

要点

终端服务器不监视每用户 CAL。这意味着即使许可证服务器数据库中只有一个每用户 CAL，使用它时，每用户 CAL 也不会减少。它不会通过从最终用户许可协议 (EULA) 要求中删除管理员来为每一个用户提供有效的终端服务器 CAL。如果未在使用每设备 CAL 却无法为每个用户获取一个每用户 CAL，则违反了 EULA。

请参阅以下文本，该文本选自 Windows Server 2003 的 EULA：

“您可以使用两种不同的 TS CAL：“设备”和“用户”。每个 TS 设备 CAL 允许一个设备（由任何用户使用）执行任何服务器上的 Windows 会话。每个 TS 用户 CAL 允许一个用户（使用任何设备）执行任何服务器上的 Windows 会话。您可同时混合使用 TS 设备 CAL 和 TS 用户 CAL，并可以将其与环境中的服务器软件同时使用。您可以让终端服务器请求每用户许可证或每设备许可证（默认值），但不能同时请求两种许可证。”

请参阅：   配置终端服务器授权模式

原因：  终端服务器可能找不到许可证服务器。

解决方案：  请执行以下步骤：

1.       确认是否已正确安装许可证服务器。

2.       确认终端服务器授权服务是否正在许可证服务器上运行。

3.       通过确保在每一台计算机上正确配置了域名系统 (DNS)，验证客户端、终端服务器和许可证服务器可以通讯。要完成上述操作，请在每台计算机上使用 IP 地址、FQDN 和 NetBIOS 名称分别针对其他两台计算机运行ping命令。如果任何ping命令失败，请验证网络上的 DNS 配置。

4.       在终端服务器上，设置一个要连接到的首选授权服务器。通过如下方法可完成该操作：使用注册表、WMI 脚本，或者在带有 Service Pack 1 的 Windows Server 2003 中，使用组策略设置或终端服务器配置。

请参阅：   安装终端服务器授权；设置首选终端服务器许可证服务器；终端服务器许可证服务器角色

解决方案：  如果上一个解决方案不能解决此问题，请在客户端上创建一个MSLicensing注册表项及其子项的备份，然后执行下列操作删除原始项和子项：

1.       在客户端上，导航到下列注册表子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing。

2.       单击MSLicensing。

3.       在“注册表”菜单上，单击“导出注册表文件”。

4.       在“文件名”框中，键入mslicensingbackup，然后单击“保存”。

如果以后需要还原此注册表项，请双击mslicensingbackup.reg。

5.       在“编辑”菜单上，单击“删除”，然后单击“是”确认删除MSLicensing注册表子项。

6.       关闭注册表编辑器并重新启动计算机。

客户端重新启动时，将重新创建缺少的注册表项。

警告

编辑注册表不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。

请参阅：   How To Use the RestrictAnonymous Registry Value in Windows 2000 (http://go.microsoft.com/fwlink/?LinkId=38561)

由于没有任何终端服务器许可证服务器可以提供许可证，远程会话被中断。请与服务器管理员联系。

原因：  终端服务器可能找不到许可证服务器。

解决方案：  请执行以下步骤：

1.       确认是否已正确安装许可证服务器。

2.       确认终端服务器授权服务是否正在许可证服务器上运行。

3.       通过确保在每一台计算机上正确配置了域名系统 (DNS)，验证客户端、终端服务器和许可证服务器可以通讯。要完成上述操作，请在每台计算机上使用 IP 地址、FQDN 和 NetBIOS 名称分别针对其他两台计算机运行ping命令。如果任何ping命令失败，请验证网络上的 DNS 配置。

4.       在终端服务器上，设置一个要连接到的首选授权服务器。通过如下方法可完成该操作：使用注册表、WMI 脚本，或者在带有 Service Pack 1 的 Windows Server 2003 中，使用组策略设置或终端服务器配置。

请参阅：   安装终端服务器授权；设置首选终端服务器许可证服务器；终端服务器许可证服务器角色

原因：  客户端也许已超过终端服务器授权的宽限期，并且许可证服务器尚未安装或未激活，所以无法为客户端颁发 CAL。

解决方案：  安装终端服务器授权，激活许可证服务器，然后安装并购买足够数量的 CAL 来支持组织中的客户端。

请参阅：   终端服务器授权宽限期；安装终端服务器授权；激活终端服务器许可证服务器；购买客户端访问许可证；安装客户端访问许可证; 购买并在终端服务器许可证服务器上安装客户端访问许可证；激活终端服务器许可证服务器

由于安全性错误，客户端无法连接到终端计算机。确保您已登录至网络之后，请尝试再次连接服务器。

原因：  如果您将 Windows NT 域升级至 Windows 2000 或 Windows Server 2003，那么终端服务器中的证书可能会损坏。因此，Windows 2000 终端服务客户端在访问终端服务器时会受到多次拒绝。

解决方案：  在每一台终端服务器和客户端中，请执行以下步骤：

1.       在每一台终端服务器中，创建注册表备份。

2.       导航至以下注册表子项：HKLM\SYSTEM\CurrentControlSet\Services\TermServices\Parameters。

3.       在“注册表”菜单上，单击“导出注册表文件”。

4.       在“文件名”框中，键入exported-parameters，然后单击“保存”。

如果您需要日后恢复此注册表子项，那么请双击exported-parameters.reg。

5.       在Parameters 注册表子项下，在下列值上右键单击每一项：

·             证书

·             X509 Certificate

·             X509 Certificate ID

6.       单击“删除”，然后单击“是”确认删除操作。

7.       关闭注册表编辑器并重新启动每一台终端服务器。

8.       在客户端，创建MSLicensing注册表项与其子项的备份，然后执行以下操作删除原始项与子项：

·             导航至以下注册表子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing。

·             单击MSLicensing。

·             在“注册表”菜单上，单击“导出注册表文件”。

·             在“文件名”框中，键入mslicensingbackup，然后单击“保存”。

·             如果以后需要还原此注册表项，请双击mslicensingbackup.reg。

·             在“编辑”菜单上，单击“删除”，然后单击“是”确认删除MSLicensing注册表子项。

·             关闭注册表编辑器并重新启动客户端计算机。

警告

编辑注册表不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。

解决方案：  如果客户端仍然无法连接至终端服务器，那么请执行以下过程，作为备选方案：

1.       停用许可证服务器。

2.       通过使用“终端服务器许可证服务器向导”中的电话连接方法来停用许可证服务器。

当您通过使用电话选项来激活终端服务器授权时，终端服务器授权将使用其他证书。

3.       在每一台终端服务器中，创建一个注册表备份，然后依次删除Certificate、X509 Certificate以及X509 Certificate ID注册表项，如执行过程中所述。

4.       关闭注册表编辑器并重新启动每一台终端服务器。

5.       在客户端，创建MSLicensing注册表项与其子项的备份，然后删除原始项与子项，如执行过程中所述：

6.       关闭注册表编辑器并重新启动计算机。

客户端重新启动时，将重新创建缺少的注册表项。

请参阅：   停用终端服务器许可证服务器；重新激活终端服务器许可证服务器

原因：  基于 Windows XP 的客户端也许正在通过非宽带网络尝试连接基于 Windows 2000 的终端服务服务器，在这种环境下，客户端会话将会加密。在这种情况下，IP 数据包碎片将会导致已经过加密的数据帧（来自客户端）受到不正确的解密。

解决方案：  获取最新 Windows 2000 Service Pack。

原因：  终端服务器计算机与客户端中的远程桌面协议 (RDP) 加密设置也许不兼容。例如，终端服务器也许正在运行 128 位加密，并且加密级别设置为“高”。如果发生这种情况，那么会在终端服务器中的系统事件日志中出现“Event ID 50, Source:TermDD”。

解决方案：  将终端服务器 RDP 加密级别更改为“中”或“低”。

请参阅：   由于安全性错误，客户端无法连接到终端服务器 (http://support.microsoft.com/default.aspx?scid=kb;en-us;329896)；由于解密错误，终端服务会话被断开 (http://go.microsoft.com/fwlink/?LinkId=38563)；终端服务客户端无法连接到运行 128 位加密的服务器 (http://go.microsoft.com/fwlink/?LinkId=38559)；在服务器上配置身份验证和加密