Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Hallo Kollegen,
Windows Server 2012
Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
Entweder verbinden wir uns über die Remote Konsole (vSphere) oder via RDP.
Das ganze funktionierte jahrelang problemlos.
Seit einiger Zeit (Zeitpunkt nicht feststellbar) bekommen wir bei der Anmeldung via RDP
die Meldung, dass das Password nicht korrekt sei.
Falsches Tastaturlayout haben wir schon ausgeschlossen.
Jetzt haben wir in das Kennwort neu für den lokalen User neu gesetzt, und noch einmal geprüft,
dass er sich über RDP anmelden darf.
Trotzdem bekommen wir nach wie vor die Fehlermeldung, dass das Kennwort falsch sei.
Die Windows Logs sagen nichts Verwertbares.
Welche Ideen hättet ihr zu diesem Fehlerbild?
grüße vom it-frosch
LÖSUNG:
Die Server IP entsprach nicht der IP des DNS Eintrages.
Klassischer Fall von Wald und Bäumen.
Windows Server 2012
Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
Entweder verbinden wir uns über die Remote Konsole (vSphere) oder via RDP.
Das ganze funktionierte jahrelang problemlos.
Seit einiger Zeit (Zeitpunkt nicht feststellbar) bekommen wir bei der Anmeldung via RDP
die Meldung, dass das Password nicht korrekt sei.
Falsches Tastaturlayout haben wir schon ausgeschlossen.
Jetzt haben wir in das Kennwort neu für den lokalen User neu gesetzt, und noch einmal geprüft,
dass er sich über RDP anmelden darf.
Trotzdem bekommen wir nach wie vor die Fehlermeldung, dass das Kennwort falsch sei.
Die Windows Logs sagen nichts Verwertbares.
Welche Ideen hättet ihr zu diesem Fehlerbild?
grüße vom it-frosch
LÖSUNG:
Die Server IP entsprach nicht der IP des DNS Eintrages.
Klassischer Fall von Wald und Bäumen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 587339
Url: https://administrator.de/forum/anmelden-via-rdp-bringt-passwort-fehlerhaft-lokale-anmeldung-moeglich-587339.html
Ausgedruckt am: 22.12.2024 um 01:12 Uhr
36 Kommentare
Neuester Kommentar
Prüfe wohin man sich anmeldet. lokal oder in die Domäne bzw als lokaler User oder Domänen-User.
Unter dem Passwortfeld steht "Anmelden an: "
Man kann sich lokal anmelden oder auch an eine Domäne anmelden. Wenn der Server ein Domain Member ist und man sich lokal anmelden will, nutzt es nichts, wenn man einen Domain User eintippt. Genau so umgekehrt, wenn man sich an einen Server per Domänennamen anmelden will und man sich mit dem lokalen Namen versucht anzumelden, existiert der User lokal evtl überhaupt nicht.
Als lokaler User meldet man sich so an:
.\username oder
servername\username
Als Domänenuser meldet man sich so an:
domainname\username
wenn du nur: username eintippst, hängt es davon ab, was unter dem Passwort Feld bei "Anmelden an: " zu sehen ist. bei lokal würde da der Servername stehen.
Falls du das Feld "Anmelden an:" nicht siehst (bei Netzwerkvorauthentifizierung) solltest du dich nicht einfach darauf verlassen, indem du "nur" den usernamen eintippst.
Es kann natürlich auch ein anderer Fehler sein und ich schreibe hier ein Roman. Aber du hast ja keine Details genannt was du genau eintippst und wo du das Passwort geändert hast.
Unter dem Passwortfeld steht "Anmelden an: "
Man kann sich lokal anmelden oder auch an eine Domäne anmelden. Wenn der Server ein Domain Member ist und man sich lokal anmelden will, nutzt es nichts, wenn man einen Domain User eintippt. Genau so umgekehrt, wenn man sich an einen Server per Domänennamen anmelden will und man sich mit dem lokalen Namen versucht anzumelden, existiert der User lokal evtl überhaupt nicht.
Als lokaler User meldet man sich so an:
.\username oder
servername\username
Als Domänenuser meldet man sich so an:
domainname\username
wenn du nur: username eintippst, hängt es davon ab, was unter dem Passwort Feld bei "Anmelden an: " zu sehen ist. bei lokal würde da der Servername stehen.
Falls du das Feld "Anmelden an:" nicht siehst (bei Netzwerkvorauthentifizierung) solltest du dich nicht einfach darauf verlassen, indem du "nur" den usernamen eintippst.
Es kann natürlich auch ein anderer Fehler sein und ich schreibe hier ein Roman. Aber du hast ja keine Details genannt was du genau eintippst und wo du das Passwort geändert hast.
Welches Clientbetriebsystem nutz Ihr? MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, ist auch schon ein wenig her, daß ich das Problem auch hatte. Hab mir natürlich nicht gemerkt, wie ich es damals gelöst hatte. Ich weiß aber noch, daß Dies durch eins dieser ungefragen und ungewollten Updates kam.
🖖
🖖
Zitat von @Dr.Bit:
MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, >
🖖
MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, >
🖖
Das wird genau das mit dem CredSSP sein.
Da bist du schon richtig. Auf dem Server und auf dem Client nachsehen.
Vielleicht erreicht es den richtigen Server auch gar nicht. Kontrollier mal am Client die DNS Auflösung und ob dabei auch die richtige IP raus kommt, die der Server haben müsste. Vielleicht willst du ja auf einem ganz falschen Server rein. Kontrolliere auf doppelte IP - fahre den Server runter und schau ob er dann auch wirklich nicht mehr anpingbar ist.
Vielleicht erreicht es den richtigen Server auch gar nicht. Kontrollier mal am Client die DNS Auflösung und ob dabei auch die richtige IP raus kommt, die der Server haben müsste. Vielleicht willst du ja auf einem ganz falschen Server rein. Kontrolliere auf doppelte IP - fahre den Server runter und schau ob er dann auch wirklich nicht mehr anpingbar ist.
Funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren. Aber den lokalen Admin, der nichts mit der Domäne zu tun hat? Wäre mal interessant.
Wenn dann bitte mal einer seine Domäne verbiegen möchte und es testen, damit wir es dann alle wissen.
🖖
Moin,
guck mal nach, ob das installiert ist:
https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1- ...
und ob auch TLS 1.1 und 1.2 aktiviert wurden. Wenn ich mich recht erinnere, hat MS mit einem Update bei Windows 10 TLS 1.0 abgeschaltet.
hth
Erik
guck mal nach, ob das installiert ist:
https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1- ...
und ob auch TLS 1.1 und 1.2 aktiviert wurden. Wenn ich mich recht erinnere, hat MS mit einem Update bei Windows 10 TLS 1.0 abgeschaltet.
hth
Erik
Ich denke lokal gibt es nur den Adminstrator?
Außerdem bin ich verwirrt, Du hast den am 13.07.2020 um 13:42 Uhr von @NordicMike Post als Lösung markiert. Ist das denn die Lösung? Wenn ja, bitte den Thread als gelöst markieren.
🖖
Zitat von @Kerbel3rd:
er schreibt:
darum mein Gedanke
er schreibt:
Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
darum mein Gedanke
Ok, aber wenn die lokalen User nicht sowieso als Remotedesktopuser eingetragen wären, hätte es von Vornherein nicht geklappt. Was aber noch keiner gefragt hat: ist der Server ein 2012 oder ein 2012 R2? Liegt hier vielleicht der Unterschied zwischen Anmeldung möglich und Anmeldung nicht möglich?
🖖
Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.
Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.
funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren.
Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.
Zitat von @NordicMike:
Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.
Wenn man jetzt aber so "intelligent" war und per GPO alle Domänenbenutzer in die Gruppe der lokalen Adminstrtoren aufgenommen hat..., ich will da gar nicht weiter drüber nachdenken, dann sollte man sich professionelle Hilfe holen. Auf den Clients, kann das aber durchaus Sinn ergeben bzw. notwendig sein. Es gibt leider immer noch Anwendungen, die auf dem Client Adminrechte erfordern. Ich nehme hierfür immer gerne die überwiegend schlampig programmierte Software für Schulen als Beispiel. Da hast du als Admin echt Spaß das Netzwerk dicht zu bekommen.Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.
funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren.
Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.
Ich bin faul, daher aktiviere ich immer den Adminstrator auf den Clients und auch den lokalen Admin auf den Servern. Falls was sein sollte. Beispiel: ich habe nur einen DC, der bricht weg, auf dem Fileserver liegen nun aber Daten, an die ich sofort ran muß. Auf dem Fileserver war der Domainadmin aber noch nie angemeldet. Da ist ein lokaler Admin doch schon sehr angenehm. Geschmacksache würde ich sagen.
Aber er schreibt auch, das er mit den Domainusern rankommt, nur mit den lokalen Usern nicht. Heißt, er hat sowohl lokale als auch Domainuser eingerichtet. Warum auch immer man so etwas macht.
🖖
Zitat von @it-frosch:
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Na dann füge den mal bei dem, bei dem es nicht funkt hinzu. Ist denn der Patch auf dem Server, der nicht geht, vorhanden?
Hat er doch geschrieben
Zitat von @it-frosch:
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
🖖
Zitat von @it-frosch:
Also werde ich den Rechner von den Kollegen jetzt aus der Domäne nehmen und wieder neu hinzufügen lassen. Das sollte das Problem
dann hoffentlich klären.
Trotzdem eine Rückmeldung geben, ob es das denn war. Also werde ich den Rechner von den Kollegen jetzt aus der Domäne nehmen und wieder neu hinzufügen lassen. Das sollte das Problem
dann hoffentlich klären.
🖖
Zitat von @Dr.Bit:
Hat er doch geschrieben
Hat er doch geschrieben
Zitat von @it-frosch:
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Na das heißt aber nicht, dass der Patch schon eingespielt ist. Es heißt nur, dass der Server keinen entsprechenden Eintrag hat. AFAIK spricht Server 2012 von Haus aus kein TLS 1.2 oder 1.3. Erst mit dem Patch ist das überhaupt erst möglich.