it-frosch
Goto Top

Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich

Hallo Kollegen,

Windows Server 2012

Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.

Entweder verbinden wir uns über die Remote Konsole (vSphere) oder via RDP.
Das ganze funktionierte jahrelang problemlos.

Seit einiger Zeit (Zeitpunkt nicht feststellbar) bekommen wir bei der Anmeldung via RDP
die Meldung, dass das Password nicht korrekt sei.
Falsches Tastaturlayout haben wir schon ausgeschlossen.

Jetzt haben wir in das Kennwort neu für den lokalen User neu gesetzt, und noch einmal geprüft,
dass er sich über RDP anmelden darf.

Trotzdem bekommen wir nach wie vor die Fehlermeldung, dass das Kennwort falsch sei.

Die Windows Logs sagen nichts Verwertbares.

Welche Ideen hättet ihr zu diesem Fehlerbild?

grüße vom it-frosch


LÖSUNG:
Die Server IP entsprach nicht der IP des DNS Eintrages.

Klassischer Fall von Wald und Bäumen. face-wink

Content-ID: 587339

Url: https://administrator.de/forum/anmelden-via-rdp-bringt-passwort-fehlerhaft-lokale-anmeldung-moeglich-587339.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

NordicMike
NordicMike 13.07.2020 aktualisiert um 10:43:25 Uhr
Goto Top
Prüfe wohin man sich anmeldet. lokal oder in die Domäne bzw als lokaler User oder Domänen-User.

Unter dem Passwortfeld steht "Anmelden an: "

Man kann sich lokal anmelden oder auch an eine Domäne anmelden. Wenn der Server ein Domain Member ist und man sich lokal anmelden will, nutzt es nichts, wenn man einen Domain User eintippt. Genau so umgekehrt, wenn man sich an einen Server per Domänennamen anmelden will und man sich mit dem lokalen Namen versucht anzumelden, existiert der User lokal evtl überhaupt nicht.

Als lokaler User meldet man sich so an:

.\username oder
servername\username

Als Domänenuser meldet man sich so an:

domainname\username

wenn du nur: username eintippst, hängt es davon ab, was unter dem Passwort Feld bei "Anmelden an: " zu sehen ist. bei lokal würde da der Servername stehen.

Falls du das Feld "Anmelden an:" nicht siehst (bei Netzwerkvorauthentifizierung) solltest du dich nicht einfach darauf verlassen, indem du "nur" den usernamen eintippst.

Es kann natürlich auch ein anderer Fehler sein und ich schreibe hier ein Roman. Aber du hast ja keine Details genannt was du genau eintippst und wo du das Passwort geändert hast.
it-frosch
it-frosch 13.07.2020 um 11:04:43 Uhr
Goto Top
Hallo NordicMike,

Aber du hast ja keine Details genannt was du genau eintippst und wo du das Passwort geändert hast.
Stimmt, hätte nicht geschadet. face-wink
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das Kennwort haben wir lokal in der Benutzerverwaltung geändert.

grüße vom it-frosch
NordicMike
NordicMike 13.07.2020 um 11:11:38 Uhr
Goto Top
Wie lautet die genaue Fehlermeldung? Manchmal ist es auch eine Ablehnung aus anderem Grund und kein fehlerhaftes Passwort.
it-frosch
it-frosch 13.07.2020 um 11:49:56 Uhr
Goto Top
Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.

Mit den zum Herstellen der Verbindung mit SERVERNAME
verwendeten Anmeldeinformationen konnte keine Verbindung
hergestellt werden. Geben Sie die neue Anmeldeinformation ein.

SERVERNAME\Local_User

Der Anmeldeversuch ist fehlgeschlagen.

grüße von it-frosch
NordicMike
NordicMike 13.07.2020 aktualisiert um 11:56:36 Uhr
Goto Top
Das muss nicht wirklich am Passwort liegen. In der Ereignisanzeige ist auf jeden Fall ein Eintrag. Der Fehlercode dahinter sagt dir warum.

versuche es mal von einem anderen Client (Stichwort CredSSP)
Dr.Bit
Dr.Bit 13.07.2020 um 12:00:26 Uhr
Goto Top
Welches Clientbetriebsystem nutz Ihr? MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, ist auch schon ein wenig her, daß ich das Problem auch hatte. Hab mir natürlich nicht gemerkt, wie ich es damals gelöst hatte. Ich weiß aber noch, daß Dies durch eins dieser ungefragen und ungewollten Updates kam.

🖖
NordicMike
NordicMike 13.07.2020 aktualisiert um 12:02:21 Uhr
Goto Top
Zitat von @Dr.Bit:

MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, >
🖖

Das wird genau das mit dem CredSSP sein.
Dr.Bit
Dr.Bit 13.07.2020 um 12:07:50 Uhr
Goto Top
Rrrrrrrrrrrichtiggggg! Das war´s, hab ich gerade überlesen. Hat mich fast zur Verzweiflung gebracht. Und war wahnsinnig viel Arbeit.

🖖
it-frosch
it-frosch 13.07.2020 um 13:03:27 Uhr
Goto Top
Welches Clientbetriebsystem nutz Ihr?
Windows 10

Wir haben jetzt noch etwas getestet und festgestellt, dass wir uns an allen 2012er Servern nicht mehr mit lokalen Usern über RDP anmelden können.
Das scheint u.U. ein Feature unserer Sicherheitsabteilung zu sein. face-wink
Ich suche mal weiter.
NordicMike
NordicMike 13.07.2020 um 13:04:45 Uhr
Goto Top
Nicht herum raten. Fehlercode auslesen 😎
Dr.Bit
Dr.Bit 13.07.2020 um 13:14:26 Uhr
Goto Top
it-frosch
it-frosch 13.07.2020 um 13:22:55 Uhr
Goto Top
Der Patch wurde von den Kollegen eingespielt.
Die Fehlermeldung bekommen wir auch nicht, deshalb gehe ich mal davon aus, dass das nicht die Ursache ist.

Die Server haben letzte Woche ein neues Zertifkat bekommen. Das habe ich jetzt noch gefunden.
it-frosch
it-frosch 13.07.2020 aktualisiert um 13:36:03 Uhr
Goto Top
Nicht herum raten. Fehlercode auslesen 😎
Versuche ich schon länger. Ich finde nirgends einen Fehlercode.
In welchen Logs sollte ich denn deiner Meinung nach suchen?

Bisher habe ich in folgenden gesucht:
Windows Logs/Application
Windows Logs/Security
Windows Logs/System
Custom Views\Server Roles\Remote Desktop Services
Custom Views\Administrative Events

Nichts zu finden an Fehlern oder Warnungen.
NordicMike
Lösung NordicMike 13.07.2020 um 13:42:36 Uhr
Goto Top
Da bist du schon richtig. Auf dem Server und auf dem Client nachsehen.

Vielleicht erreicht es den richtigen Server auch gar nicht. Kontrollier mal am Client die DNS Auflösung und ob dabei auch die richtige IP raus kommt, die der Server haben müsste. Vielleicht willst du ja auf einem ganz falschen Server rein. Kontrolliere auf doppelte IP - fahre den Server runter und schau ob er dann auch wirklich nicht mehr anpingbar ist.
it-frosch
it-frosch 13.07.2020 um 13:54:11 Uhr
Goto Top
Vielleicht erreicht es den richtigen Server auch gar nicht.
Als Domain user kann ich mich sofort anmelden.
DNS Probleme haben wir mit Anmeldung über IP schon ausgeschlossen.

Aber am CLient schau ich jetzt noch mal, dass habe ich bisher noch nicht gemacht.
it-frosch
it-frosch 13.07.2020 um 14:56:40 Uhr
Goto Top
Wenn ich mich mit dem Client verbinden will, bekomme ich im Client Log die Meldung:

RDPClient_SSL: Fehler beim Übergang von "TsSslStateHandshakeInProgress" zu "TsSslStateDisconnecting" in Reaktion auf "TsSslEventHandshakeContinueFailed" (Fehlercode: 0x80004005).  

Diese Meldung bekomme ich aber auch, wenn ich mich mit dem Server verbinden kann.
Bei einer fehlgeschlagenen Verbindungsversuch ist die letzte Meldung im Log:

Die Verbindung mit RDP ClientActiveX wurde getrennt (Ursache= 1).

Laut: Disconnect Reasons The disconnection was initiated by an administrative tool on the server in another session.

Das hilft mir auch nicht so wirklich weiter.
Mittlerweile habe ich einige 2012er Server gefunden auf denen die Anmeldung mit dem lokalen User funktioniert.

Wenn jemand noch eine Idee hat, immer her damit.
NordicMike
NordicMike 13.07.2020 um 15:05:30 Uhr
Goto Top
Und ein Admin kann sich dort anmelden?

Ach übrigens:
Bei einer fehlgeschlagenen Verbindungsversuch ist die letzte Meldung im Log:
Die erste Meldung ist die wichtigste, die Letzte nur ein letztes Glied in der Kettenreaktion von darauffolgenden Fehlern.
it-frosch
it-frosch 13.07.2020 um 15:53:45 Uhr
Goto Top
Und ein Admin kann sich dort anmelden?
der lokale User, mit dem wir uns über RDP anmelden wollen, ist in der lokalen Admin Gruppe.
Und ja, lokal (über vSphere Remote Konsole) können wir uns mit diesem User problemlos anmelden.

Für mich gibt es jetzt zwei vermutliche Gründe für dieses Verhalten.
Entweder ist auf einigen Servern die RDP Anmeldung mit lokalen Benutzerkonten verboten (wie auch immer konfiguriert).
Oder es ist an den Servern, wo die Anmeldung via RDP möglich ist, für die SSL Fehler (siehe oben) ein "fallback" konfiguriert.
NordicMike
NordicMike 13.07.2020 um 15:59:22 Uhr
Goto Top
Ob es verboten ist, kannst du in der Systemsteuerung - System - Remoteeinstellungen kontrollieren. Dort gibt es auch noch einen Button, ob nur sichere Clients zugelassen werden. Ich habe das bei meinen Servern einfach per GPO an alle Server verteilt.
Dr.Bit
Dr.Bit 13.07.2020 um 17:56:14 Uhr
Goto Top
Zitat von @NordicMike:

Ich habe das bei meinen Servern einfach per GPO an alle Server verteilt.

Funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren. Aber den lokalen Admin, der nichts mit der Domäne zu tun hat? Wäre mal interessant.
Wenn dann bitte mal einer seine Domäne verbiegen möchte und es testen, damit wir es dann alle wissen. face-smile

🖖
erikro
erikro 13.07.2020 um 18:15:07 Uhr
Goto Top
Moin,

guck mal nach, ob das installiert ist:
https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1- ...
und ob auch TLS 1.1 und 1.2 aktiviert wurden. Wenn ich mich recht erinnere, hat MS mit einem Update bei Windows 10 TLS 1.0 abgeschaltet.

hth

Erik
it-frosch
it-frosch 14.07.2020 um 08:17:41 Uhr
Goto Top
Ob es verboten ist, kannst du in der Systemsteuerung - System - Remoteeinstellungen kontrollieren.
Du meinst Allow connections only from computers running Remote Desktop with Network Level Authentication (recommend).

Daran liegt es nicht.
it-frosch
it-frosch 14.07.2020 um 08:19:33 Uhr
Goto Top
Hallo Erik,

die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.

Trotzdem danke. face-wink
Kerbel3rd
Kerbel3rd 14.07.2020 um 08:39:36 Uhr
Goto Top
und den lokalen Benutzer einfach mal zu den Remote Desktop Users hinzufügen?
admin
Dr.Bit
Dr.Bit 14.07.2020 um 08:50:15 Uhr
Goto Top
Zitat von @Kerbel3rd:

und den lokalen Benutzer einfach mal zu den Remote Desktop Users hinzufügen?

Ich denke lokal gibt es nur den Adminstrator?

Außerdem bin ich verwirrt, Du hast den am 13.07.2020 um 13:42 Uhr von @NordicMike Post als Lösung markiert. Ist das denn die Lösung? Wenn ja, bitte den Thread als gelöst markieren.

🖖
Kerbel3rd
Kerbel3rd 14.07.2020 aktualisiert um 08:56:58 Uhr
Goto Top
er schreibt:


Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.

darum mein Gedanke
Dr.Bit
Dr.Bit 14.07.2020 aktualisiert um 09:04:15 Uhr
Goto Top
Zitat von @Kerbel3rd:

er schreibt:


Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.

darum mein Gedanke

Ok, aber wenn die lokalen User nicht sowieso als Remotedesktopuser eingetragen wären, hätte es von Vornherein nicht geklappt. Was aber noch keiner gefragt hat: ist der Server ein 2012 oder ein 2012 R2? Liegt hier vielleicht der Unterschied zwischen Anmeldung möglich und Anmeldung nicht möglich?

🖖
NordicMike
NordicMike 14.07.2020 um 09:04:24 Uhr
Goto Top
Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.

funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren.

Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.
Kerbel3rd
Kerbel3rd 14.07.2020 aktualisiert um 09:22:02 Uhr
Goto Top
Deine User melden sich als lokaler Admin an und nicht als lokale User?

Nachtrag:

schon mal n neuen lokalen Benutzer angelegt und geprüft ob Remote Desktop mit mit dem Benutzer funktioniert?
Dr.Bit
Dr.Bit 14.07.2020 um 09:20:16 Uhr
Goto Top
Zitat von @NordicMike:

Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.

Wenn man jetzt aber so "intelligent" war und per GPO alle Domänenbenutzer in die Gruppe der lokalen Adminstrtoren aufgenommen hat..., ich will da gar nicht weiter drüber nachdenken, dann sollte man sich professionelle Hilfe holen. Auf den Clients, kann das aber durchaus Sinn ergeben bzw. notwendig sein. Es gibt leider immer noch Anwendungen, die auf dem Client Adminrechte erfordern. Ich nehme hierfür immer gerne die überwiegend schlampig programmierte Software für Schulen als Beispiel. Da hast du als Admin echt Spaß das Netzwerk dicht zu bekommen.

funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren.

Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.

Ich bin faul, daher aktiviere ich immer den Adminstrator auf den Clients und auch den lokalen Admin auf den Servern. Falls was sein sollte. Beispiel: ich habe nur einen DC, der bricht weg, auf dem Fileserver liegen nun aber Daten, an die ich sofort ran muß. Auf dem Fileserver war der Domainadmin aber noch nie angemeldet. Da ist ein lokaler Admin doch schon sehr angenehm. Geschmacksache würde ich sagen.

Aber er schreibt auch, das er mit den Domainusern rankommt, nur mit den lokalen Usern nicht. Heißt, er hat sowohl lokale als auch Domainuser eingerichtet. Warum auch immer man so etwas macht.

🖖
erikro
erikro 14.07.2020 um 13:57:07 Uhr
Goto Top
Zitat von @it-frosch:

Hallo Erik,

die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.

Na dann füge den mal bei dem, bei dem es nicht funkt hinzu. face-wink Ist denn der Patch auf dem Server, der nicht geht, vorhanden?
Dr.Bit
Dr.Bit 14.07.2020 um 14:00:46 Uhr
Goto Top
Zitat von @erikro:

Ist denn der Patch auf dem Server, der nicht geht, vorhanden?

Hat er doch geschrieben

Zitat von @it-frosch:

Hallo Erik,

die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.


🖖
it-frosch
it-frosch 14.07.2020 aktualisiert um 14:11:00 Uhr
Goto Top
und den lokalen Benutzer einfach mal zu den Remote Desktop Users hinzufügen?
Der lokale User ist in der Local Admin group und natürlich auch als Remote Desktop User eingetragen.

ist der Server ein 2012 oder ein 2012 R2
Es sind alles 2012 R2, die bei denen die Anmeldung funktioniert und auch die wo es nicht geht


schon mal n neuen lokalen Benutzer angelegt und geprüft ob Remote Desktop mit mit dem Benutzer funktioniert?
An den betreffenden Servern ist die RDP Anmeldung mit gar keinem lokalen user möglich, auch nicht mit einem neu angelegten.


Jetzt hatte ich mich spaßeshalber mit meinem Domain Account versucht anzumelden. Da bekam ich dann sofort eine Meldung,
dass es Probleme mit dem DNS Cache und der Computernamen gibt und ich solle es über IP versuchen.
Mach ich das, gibt es die Meldung, dass mein Benutzer nicht authorisiert ist.
Also werde ich den Rechner von den Kollegen jetzt aus der Domäne nehmen und wieder neu hinzufügen lassen. Das sollte das Problem
dann hoffentlich klären.

Danke an alle die mitgedacht haben. face-smile

Wenn es das wirklich war, setzte ich das Ticket auf erledigt.

@NordicMike
Du lagst mit dem DNS doch richtig. face-wink


grüße vom it-frosch
Dr.Bit
Dr.Bit 14.07.2020 um 14:07:22 Uhr
Goto Top
Zitat von @it-frosch:

Also werde ich den Rechner von den Kollegen jetzt aus der Domäne nehmen und wieder neu hinzufügen lassen. Das sollte das Problem
dann hoffentlich klären.

Trotzdem eine Rückmeldung geben, ob es das denn war. face-smile

🖖
erikro
erikro 14.07.2020 um 15:27:44 Uhr
Goto Top
Zitat von @Dr.Bit:

Zitat von @erikro:

Ist denn der Patch auf dem Server, der nicht geht, vorhanden?

Hat er doch geschrieben

Zitat von @it-frosch:

Hallo Erik,

die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.

Na das heißt aber nicht, dass der Patch schon eingespielt ist. Es heißt nur, dass der Server keinen entsprechenden Eintrag hat. AFAIK spricht Server 2012 von Haus aus kein TLS 1.2 oder 1.3. Erst mit dem Patch ist das überhaupt erst möglich.
Dr.Bit
Dr.Bit 14.07.2020 um 15:35:04 Uhr
Goto Top
Setzt der Patch nicht automatisch die Registry Einträge?

🖖