36
Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Hallo Kollegen,
Windows Server 2012
Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
Entweder verbinden wir uns über die Remote Konsole (vSphere) oder via RDP.
Das ganze funktionierte jahrelang problemlos.
Seit einiger Zeit (Zeitpunkt nicht feststellbar) bekommen wir bei der Anmeldung via RDP
die Meldung, dass das Password nicht korrekt sei.
Falsches Tastaturlayout haben wir schon ausgeschlossen.
Jetzt haben wir in das Kennwort neu für den lokalen User neu gesetzt, und noch einmal geprüft,
dass er sich über RDP anmelden darf.
Trotzdem bekommen wir nach wie vor die Fehlermeldung, dass das Kennwort falsch sei.
Die Windows Logs sagen nichts Verwertbares.
Welche Ideen hättet ihr zu diesem Fehlerbild?
grüße vom it-frosch
LÖSUNG:
Die Server IP entsprach nicht der IP des DNS Eintrages.
Klassischer Fall von Wald und Bäumen.
Windows Server 2012
Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
Entweder verbinden wir uns über die Remote Konsole (vSphere) oder via RDP.
Das ganze funktionierte jahrelang problemlos.
Seit einiger Zeit (Zeitpunkt nicht feststellbar) bekommen wir bei der Anmeldung via RDP
die Meldung, dass das Password nicht korrekt sei.
Falsches Tastaturlayout haben wir schon ausgeschlossen.
Jetzt haben wir in das Kennwort neu für den lokalen User neu gesetzt, und noch einmal geprüft,
dass er sich über RDP anmelden darf.
Trotzdem bekommen wir nach wie vor die Fehlermeldung, dass das Kennwort falsch sei.
Die Windows Logs sagen nichts Verwertbares.
Welche Ideen hättet ihr zu diesem Fehlerbild?
grüße vom it-frosch
LÖSUNG:
Die Server IP entsprach nicht der IP des DNS Eintrages.
Klassischer Fall von Wald und Bäumen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 587339
Url: https://administrator.de/contentid/587339
Ausgedruckt am: 21.11.2024 um 15:11 Uhr
36 Kommentare
Neuester Kommentar
Prüfe wohin man sich anmeldet. lokal oder in die Domäne bzw als lokaler User oder Domänen-User.
Unter dem Passwortfeld steht "Anmelden an: "
Man kann sich lokal anmelden oder auch an eine Domäne anmelden. Wenn der Server ein Domain Member ist und man sich lokal anmelden will, nutzt es nichts, wenn man einen Domain User eintippt. Genau so umgekehrt, wenn man sich an einen Server per Domänennamen anmelden will und man sich mit dem lokalen Namen versucht anzumelden, existiert der User lokal evtl überhaupt nicht.
Als lokaler User meldet man sich so an:
.\username oder
servername\username
Als Domänenuser meldet man sich so an:
domainname\username
wenn du nur: username eintippst, hängt es davon ab, was unter dem Passwort Feld bei "Anmelden an: " zu sehen ist. bei lokal würde da der Servername stehen.
Falls du das Feld "Anmelden an:" nicht siehst (bei Netzwerkvorauthentifizierung) solltest du dich nicht einfach darauf verlassen, indem du "nur" den usernamen eintippst.
Es kann natürlich auch ein anderer Fehler sein und ich schreibe hier ein Roman. Aber du hast ja keine Details genannt was du genau eintippst und wo du das Passwort geändert hast.
Unter dem Passwortfeld steht "Anmelden an: "
Man kann sich lokal anmelden oder auch an eine Domäne anmelden. Wenn der Server ein Domain Member ist und man sich lokal anmelden will, nutzt es nichts, wenn man einen Domain User eintippt. Genau so umgekehrt, wenn man sich an einen Server per Domänennamen anmelden will und man sich mit dem lokalen Namen versucht anzumelden, existiert der User lokal evtl überhaupt nicht.
Als lokaler User meldet man sich so an:
.\username oder
servername\username
Als Domänenuser meldet man sich so an:
domainname\username
wenn du nur: username eintippst, hängt es davon ab, was unter dem Passwort Feld bei "Anmelden an: " zu sehen ist. bei lokal würde da der Servername stehen.
Falls du das Feld "Anmelden an:" nicht siehst (bei Netzwerkvorauthentifizierung) solltest du dich nicht einfach darauf verlassen, indem du "nur" den usernamen eintippst.
Es kann natürlich auch ein anderer Fehler sein und ich schreibe hier ein Roman. Aber du hast ja keine Details genannt was du genau eintippst und wo du das Passwort geändert hast.
Hallo NordicMike,
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das Kennwort haben wir lokal in der Benutzerverwaltung geändert.
grüße vom it-frosch
Aber du hast ja keine Details genannt was du genau eintippst und wo du das Passwort geändert hast.
Stimmt, hätte nicht geschadet. Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das Kennwort haben wir lokal in der Benutzerverwaltung geändert.
grüße vom it-frosch
Wie lautet die genaue Fehlermeldung? Manchmal ist es auch eine Ablehnung aus anderem Grund und kein fehlerhaftes Passwort.
Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.
Mit den zum Herstellen der Verbindung mit SERVERNAME
verwendeten Anmeldeinformationen konnte keine Verbindung
hergestellt werden. Geben Sie die neue Anmeldeinformation ein.
SERVERNAME\Local_User
Der Anmeldeversuch ist fehlgeschlagen.
grüße von it-frosch
Mit den zum Herstellen der Verbindung mit SERVERNAME
verwendeten Anmeldeinformationen konnte keine Verbindung
hergestellt werden. Geben Sie die neue Anmeldeinformation ein.
SERVERNAME\Local_User
Der Anmeldeversuch ist fehlgeschlagen.
grüße von it-frosch
Das muss nicht wirklich am Passwort liegen. In der Ereignisanzeige ist auf jeden Fall ein Eintrag. Der Fehlercode dahinter sagt dir warum.
versuche es mal von einem anderen Client (Stichwort CredSSP)
versuche es mal von einem anderen Client (Stichwort CredSSP)
Welches Clientbetriebsystem nutz Ihr? MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, ist auch schon ein wenig her, daß ich das Problem auch hatte. Hab mir natürlich nicht gemerkt, wie ich es damals gelöst hatte. Ich weiß aber noch, daß Dies durch eins dieser ungefragen und ungewollten Updates kam.
🖖
🖖
Zitat von @Dr.Bit:
MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, >
🖖
MS hat in der Authentifizierung von Win 10 Clients über RDP irgendwas geändert, weiß gerade nicht mehr was es war, >
🖖
Das wird genau das mit dem CredSSP sein.
Rrrrrrrrrrrichtiggggg! Das war´s, hab ich gerade überlesen. Hat mich fast zur Verzweiflung gebracht. Und war wahnsinnig viel Arbeit.
🖖
🖖
Welches Clientbetriebsystem nutz Ihr?
Windows 10Wir haben jetzt noch etwas getestet und festgestellt, dass wir uns an allen 2012er Servern nicht mehr mit lokalen Usern über RDP anmelden können.
Das scheint u.U. ein Feature unserer Sicherheitsabteilung zu sein.
Ich suche mal weiter.
Nicht herum raten. Fehlercode auslesen 😎
Der Patch wurde von den Kollegen eingespielt.
Die Fehlermeldung bekommen wir auch nicht, deshalb gehe ich mal davon aus, dass das nicht die Ursache ist.
Die Server haben letzte Woche ein neues Zertifkat bekommen. Das habe ich jetzt noch gefunden.
Die Fehlermeldung bekommen wir auch nicht, deshalb gehe ich mal davon aus, dass das nicht die Ursache ist.
Die Server haben letzte Woche ein neues Zertifkat bekommen. Das habe ich jetzt noch gefunden.
Nicht herum raten. Fehlercode auslesen 😎
Versuche ich schon länger. Ich finde nirgends einen Fehlercode.In welchen Logs sollte ich denn deiner Meinung nach suchen?
Bisher habe ich in folgenden gesucht:
Windows Logs/Application
Windows Logs/Security
Windows Logs/System
Custom Views\Server Roles\Remote Desktop Services
Custom Views\Administrative Events
Nichts zu finden an Fehlern oder Warnungen.
Da bist du schon richtig. Auf dem Server und auf dem Client nachsehen.
Vielleicht erreicht es den richtigen Server auch gar nicht. Kontrollier mal am Client die DNS Auflösung und ob dabei auch die richtige IP raus kommt, die der Server haben müsste. Vielleicht willst du ja auf einem ganz falschen Server rein. Kontrolliere auf doppelte IP - fahre den Server runter und schau ob er dann auch wirklich nicht mehr anpingbar ist.
Vielleicht erreicht es den richtigen Server auch gar nicht. Kontrollier mal am Client die DNS Auflösung und ob dabei auch die richtige IP raus kommt, die der Server haben müsste. Vielleicht willst du ja auf einem ganz falschen Server rein. Kontrolliere auf doppelte IP - fahre den Server runter und schau ob er dann auch wirklich nicht mehr anpingbar ist.
Vielleicht erreicht es den richtigen Server auch gar nicht.
Als Domain user kann ich mich sofort anmelden.DNS Probleme haben wir mit Anmeldung über IP schon ausgeschlossen.
Aber am CLient schau ich jetzt noch mal, dass habe ich bisher noch nicht gemacht.
Wenn ich mich mit dem Client verbinden will, bekomme ich im Client Log die Meldung:
Diese Meldung bekomme ich aber auch, wenn ich mich mit dem Server verbinden kann.
Bei einer fehlgeschlagenen Verbindungsversuch ist die letzte Meldung im Log:
Laut: Disconnect Reasons The disconnection was initiated by an administrative tool on the server in another session.
Das hilft mir auch nicht so wirklich weiter.
Mittlerweile habe ich einige 2012er Server gefunden auf denen die Anmeldung mit dem lokalen User funktioniert.
Wenn jemand noch eine Idee hat, immer her damit.
RDPClient_SSL: Fehler beim Übergang von "TsSslStateHandshakeInProgress" zu "TsSslStateDisconnecting" in Reaktion auf "TsSslEventHandshakeContinueFailed" (Fehlercode: 0x80004005). Diese Meldung bekomme ich aber auch, wenn ich mich mit dem Server verbinden kann.
Bei einer fehlgeschlagenen Verbindungsversuch ist die letzte Meldung im Log:
Die Verbindung mit RDP ClientActiveX wurde getrennt (Ursache= 1).Laut: Disconnect Reasons The disconnection was initiated by an administrative tool on the server in another session.
Das hilft mir auch nicht so wirklich weiter.
Mittlerweile habe ich einige 2012er Server gefunden auf denen die Anmeldung mit dem lokalen User funktioniert.
Wenn jemand noch eine Idee hat, immer her damit.
Und ein Admin kann sich dort anmelden?
Ach übrigens:
Ach übrigens:
Bei einer fehlgeschlagenen Verbindungsversuch ist die letzte Meldung im Log:
Die erste Meldung ist die wichtigste, die Letzte nur ein letztes Glied in der Kettenreaktion von darauffolgenden Fehlern.Und ein Admin kann sich dort anmelden?
der lokale User, mit dem wir uns über RDP anmelden wollen, ist in der lokalen Admin Gruppe.Und ja, lokal (über vSphere Remote Konsole) können wir uns mit diesem User problemlos anmelden.
Für mich gibt es jetzt zwei vermutliche Gründe für dieses Verhalten.
Entweder ist auf einigen Servern die RDP Anmeldung mit lokalen Benutzerkonten verboten (wie auch immer konfiguriert).
Oder es ist an den Servern, wo die Anmeldung via RDP möglich ist, für die SSL Fehler (siehe oben) ein "fallback" konfiguriert.
Ob es verboten ist, kannst du in der Systemsteuerung - System - Remoteeinstellungen kontrollieren. Dort gibt es auch noch einen Button, ob nur sichere Clients zugelassen werden. Ich habe das bei meinen Servern einfach per GPO an alle Server verteilt.
Funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren. Aber den lokalen Admin, der nichts mit der Domäne zu tun hat? Wäre mal interessant.
Wenn dann bitte mal einer seine Domäne verbiegen möchte und es testen, damit wir es dann alle wissen.
🖖
Moin,
guck mal nach, ob das installiert ist:
https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1- ...
und ob auch TLS 1.1 und 1.2 aktiviert wurden. Wenn ich mich recht erinnere, hat MS mit einem Update bei Windows 10 TLS 1.0 abgeschaltet.
hth
Erik
guck mal nach, ob das installiert ist:
https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1- ...
und ob auch TLS 1.1 und 1.2 aktiviert wurden. Wenn ich mich recht erinnere, hat MS mit einem Update bei Windows 10 TLS 1.0 abgeschaltet.
hth
Erik
Ob es verboten ist, kannst du in der Systemsteuerung - System - Remoteeinstellungen kontrollieren.
Du meinst Allow connections only from computers running Remote Desktop with Network Level Authentication (recommend).Daran liegt es nicht.
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Trotzdem danke.
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Trotzdem danke.
und den lokalen Benutzer einfach mal zu den Remote Desktop Users hinzufügen?
Ich denke lokal gibt es nur den Adminstrator?
Außerdem bin ich verwirrt, Du hast den am 13.07.2020 um 13:42 Uhr von @NordicMike Post als Lösung markiert. Ist das denn die Lösung? Wenn ja, bitte den Thread als gelöst markieren.
🖖
er schreibt:
darum mein Gedanke
Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
darum mein Gedanke
Zitat von @Kerbel3rd:
er schreibt:
darum mein Gedanke
er schreibt:
Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
Die Anmeldung erfolgt mit Servernamen\lokal_user.
Das ist für die Applikation notwendig.
darum mein Gedanke
Ok, aber wenn die lokalen User nicht sowieso als Remotedesktopuser eingetragen wären, hätte es von Vornherein nicht geklappt. Was aber noch keiner gefragt hat: ist der Server ein 2012 oder ein 2012 R2? Liegt hier vielleicht der Unterschied zwischen Anmeldung möglich und Anmeldung nicht möglich?
🖖
Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.
Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.
funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren.
Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.
Deine User melden sich als lokaler Admin an und nicht als lokale User?
Nachtrag:
schon mal n neuen lokalen Benutzer angelegt und geprüft ob Remote Desktop mit mit dem Benutzer funktioniert?
Nachtrag:
schon mal n neuen lokalen Benutzer angelegt und geprüft ob Remote Desktop mit mit dem Benutzer funktioniert?
Zitat von @NordicMike:
Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.
Wenn man jetzt aber so "intelligent" war und per GPO alle Domänenbenutzer in die Gruppe der lokalen Adminstrtoren aufgenommen hat..., ich will da gar nicht weiter drüber nachdenken, dann sollte man sich professionelle Hilfe holen. Auf den Clients, kann das aber durchaus Sinn ergeben bzw. notwendig sein. Es gibt leider immer noch Anwendungen, die auf dem Client Adminrechte erfordern. Ich nehme hierfür immer gerne die überwiegend schlampig programmierte Software für Schulen als Beispiel. Da hast du als Admin echt Spaß das Netzwerk dicht zu bekommen.Es gibt ja den lokalen Administrator und die Gruppe Administratoren. Default hat ja nur der lokale User "Administrator" das Recht. Alle User, die in der Gruppe "Administratoren" sind, sind damit noch gar nicht angesprochen.
funktioniert das auch für den lokalen Admin? Ich kann User per GPO zu lokalen Admins an den Client´s machen und RDP entsprechend freischalten und konfigurieren.
Den Gedanken habe ich mir noch gar nicht gemacht, weil, wenn es eine Domäne gibt, macht nur noch einer in der Domäne verwalteter Administrator einen Sinn. Wenn beide (<- Annahme) Domain Controller weg brechen sollten, dann hast du andere Probleme, als diese VM lokal administrieren zu wollen. Man kann sich trotzdem noch lokal an der Console anmelden statt über RDP. Man kommt auch immer noch über RDP mit dem Schalter /console drauf, wenn die VM selbst der Grund ist, dass sie die Domain Controller nicht mehr sieht.
Ich bin faul, daher aktiviere ich immer den Adminstrator auf den Clients und auch den lokalen Admin auf den Servern. Falls was sein sollte. Beispiel: ich habe nur einen DC, der bricht weg, auf dem Fileserver liegen nun aber Daten, an die ich sofort ran muß. Auf dem Fileserver war der Domainadmin aber noch nie angemeldet. Da ist ein lokaler Admin doch schon sehr angenehm. Geschmacksache würde ich sagen.
Aber er schreibt auch, das er mit den Domainusern rankommt, nur mit den lokalen Usern nicht. Heißt, er hat sowohl lokale als auch Domainuser eingerichtet. Warum auch immer man so etwas macht.
🖖
Zitat von @it-frosch:
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Na dann füge den mal bei dem, bei dem es nicht funkt hinzu.
Ist denn der Patch auf dem Server, der nicht geht, vorhanden?Hat er doch geschrieben
Zitat von @it-frosch:
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
🖖
und den lokalen Benutzer einfach mal zu den Remote Desktop Users hinzufügen?
Der lokale User ist in der Local Admin group und natürlich auch als Remote Desktop User eingetragen. ist der Server ein 2012 oder ein 2012 R2
Es sind alles 2012 R2, die bei denen die Anmeldung funktioniert und auch die wo es nicht gehtschon mal n neuen lokalen Benutzer angelegt und geprüft ob Remote Desktop mit mit dem Benutzer funktioniert?
An den betreffenden Servern ist die RDP Anmeldung mit gar keinem lokalen user möglich, auch nicht mit einem neu angelegten.Jetzt hatte ich mich spaßeshalber mit meinem Domain Account versucht anzumelden. Da bekam ich dann sofort eine Meldung,
dass es Probleme mit dem DNS Cache und der Computernamen gibt und ich solle es über IP versuchen.
Mach ich das, gibt es die Meldung, dass mein Benutzer nicht authorisiert ist.
Also werde ich den Rechner von den Kollegen jetzt aus der Domäne nehmen und wieder neu hinzufügen lassen. Das sollte das Problem
dann hoffentlich klären.
Danke an alle die mitgedacht haben.
Wenn es das wirklich war, setzte ich das Ticket auf erledigt.
@NordicMike
Du lagst mit dem DNS doch richtig.
grüße vom it-frosch
Zitat von @it-frosch:
Also werde ich den Rechner von den Kollegen jetzt aus der Domäne nehmen und wieder neu hinzufügen lassen. Das sollte das Problem
dann hoffentlich klären.
Trotzdem eine Rückmeldung geben, ob es das denn war. Also werde ich den Rechner von den Kollegen jetzt aus der Domäne nehmen und wieder neu hinzufügen lassen. Das sollte das Problem
dann hoffentlich klären.
🖖
Zitat von @Dr.Bit:
Hat er doch geschrieben
Hat er doch geschrieben
Zitat von @it-frosch:
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Hallo Erik,
die im Patch beschriebenen Reg Schlüssel gibt es weder auf den Servern,
zu denen die Verbindung funktioniert noch auch denen wo es nicht funktioniert.
Na das heißt aber nicht, dass der Patch schon eingespielt ist. Es heißt nur, dass der Server keinen entsprechenden Eintrag hat. AFAIK spricht Server 2012 von Haus aus kein TLS 1.2 oder 1.3. Erst mit dem Patch ist das überhaupt erst möglich.
Setzt der Patch nicht automatisch die Registry Einträge?
🖖
🖖
