Anmeldung an Domäne über RDP nicht möglich wenn Kennwortänderung verlang wird
Gegeben ist: Windows Server 2008 R2 als DC und TS konfiguriert. Windows 7 SP1 64Bit Client der über Internet via RDP bzw. RemoteApp auf den Server zugreift und sich zur Authentifizierung als ein Domänenbenutzer anmeldet.
Hallo,
wenn wie oben angerissen ein User z.B. via RDP auf den TS Server zugreifen will und bei dem Domainuser mit dem er sich am Server anmeldet das Flag "Benutzer muss das Kennwort bei nächster Anmeldung ändern" aktiviert ist, kommt auf Clientseite immer folgende Fehlermeldung:
Remotedesktopverbindung
Authentifizierungsfehler.
Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.
Remotecomputer: xxxxxxxxxxxxx.org
OK
Ist die Kennwortänderung nicht gesetzt geht alles!
Woran liegt das?
Vielen Dank,
Wolfgang
Hallo,
wenn wie oben angerissen ein User z.B. via RDP auf den TS Server zugreifen will und bei dem Domainuser mit dem er sich am Server anmeldet das Flag "Benutzer muss das Kennwort bei nächster Anmeldung ändern" aktiviert ist, kommt auf Clientseite immer folgende Fehlermeldung:
Remotedesktopverbindung
Authentifizierungsfehler.
Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.
Remotecomputer: xxxxxxxxxxxxx.org
OK
Ist die Kennwortänderung nicht gesetzt geht alles!
Woran liegt das?
Vielen Dank,
Wolfgang
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 187412
Url: https://administrator.de/forum/anmeldung-an-domaene-ueber-rdp-nicht-moeglich-wenn-kennwortaenderung-verlang-wird-187412.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
9 Kommentare
Neuester Kommentar
Wenn ich das nachvollziehe mit einem aktuellen RDP-Client (6.1, wie bei Dir auch) bekomme ich lokal die Meldung "You must change your password before logging in for the first time. For assistance, contact your system administrator or technical support."
Ist ein Bug.
Mit dieser Meldung findet man schnell http://support.microsoft.com/kb/2648402/en-us?sd=rss&spid=14134
Ist ein Bug.
Mit dieser Meldung findet man schnell http://support.microsoft.com/kb/2648402/en-us?sd=rss&spid=14134
Hallo,
Eben. Was enthälst du uns an Informationen um dein problem zu Lösen?
DC = TS. Ist ein NoGo und sollte auch die bekannt sein.
RDP per Internet = ist ein weiteres NoGo. Stellt eueren DC mit installiertem TS doch gleich draussen auf die Strasse.
Was ist mit VPN?
Wer macht (wenn vorhanden) den VPN Server / Endpunckt?
Was ist mit evtl. Routen für das VPN?
Welche Clients werden für VPN benötigt?
Welche Ports sind für dein RDP per Internet geöffnet und wohin weitergeleitet?
Gibt es weitere geöffnete Ports?
Hast du mal mit einem Sniffer (MS NetworkMonitor oder Wireshark) geschaut welche Ports denn beim ändern einen Benutzerpassworts benötigt werden? Sind diese denn auch errreichbar von seitens des Clients der RDP per Internet macht? (VPN doch diese bessere Alternative?)
Mal hier http://technet.microsoft.com/pt-pt/library/dd772723(v=ws.10).aspx lesen.
Gruß,
Peter
Eben. Was enthälst du uns an Informationen um dein problem zu Lösen?
DC = TS. Ist ein NoGo und sollte auch die bekannt sein.
RDP per Internet = ist ein weiteres NoGo. Stellt eueren DC mit installiertem TS doch gleich draussen auf die Strasse.
Was ist mit VPN?
Wer macht (wenn vorhanden) den VPN Server / Endpunckt?
Was ist mit evtl. Routen für das VPN?
Welche Clients werden für VPN benötigt?
Welche Ports sind für dein RDP per Internet geöffnet und wohin weitergeleitet?
Gibt es weitere geöffnete Ports?
Hast du mal mit einem Sniffer (MS NetworkMonitor oder Wireshark) geschaut welche Ports denn beim ändern einen Benutzerpassworts benötigt werden? Sind diese denn auch errreichbar von seitens des Clients der RDP per Internet macht? (VPN doch diese bessere Alternative?)
Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.
Mal geschaut was sich bei deinem DC dahinter verbirgt und welche Ports dazu benötigt werden?Mal hier http://technet.microsoft.com/pt-pt/library/dd772723(v=ws.10).aspx lesen.
Woran liegt das?
Falsches Netzdesign zur Anbindung Externer Clients und gleichzeitigem DC=TS?Gruß,
Peter
Hallo!
Ich würde den Hotfix auf jeden Fall einspielen. Habe es so eben getan und das Problem ist damit behoben worden. Kein Neustart nötig!
Serverseitig (2008R2 multilingual): 1
Clientseitig (win7 x64 multilingual): 2
Was wieder super von MS ist: andere OS werden gar nicht berücksichtigt, dabei hat Vista das Problem auch, vermutlich ebenso 2008 Server.
Edit: Linkschreibweise korrigiert
Ich würde den Hotfix auf jeden Fall einspielen. Habe es so eben getan und das Problem ist damit behoben worden. Kein Neustart nötig!
Serverseitig (2008R2 multilingual): 1
Clientseitig (win7 x64 multilingual): 2
Was wieder super von MS ist: andere OS werden gar nicht berücksichtigt, dabei hat Vista das Problem auch, vermutlich ebenso 2008 Server.
Edit: Linkschreibweise korrigiert
Hallo,
Ja. Für RDP. Ist klar.
Gruß,
Peter
Ja. Für RDP. Ist klar.
- auch die Authentifizierung.
Ja. Die für den RDP Server.sofern ich nicht das "Kennwort ändern" Flag setze.
Und du bist dir sicher das dasDie lokale Sicherheitsautorität (LSA) ist nicht erreichbar
ausschließlich über Port 3389 erfolgt? LSA = Port 445. Also kann entweder dein Client den LSA nicht erreichen, oder dein TS kann den LSA (der DC auf dem der TS selbst läuft) nicht erreichen. Such es dir aus.Für VPN wäre zusätzliche Hardware nötig
Nein. Wenn es schon so gefordert (Kunde) wird das es nichts Kosten darf, dann nimm deinen vorhanden VPN Server. Dein Server 2008R2 kann sehr wohl als VPN Server dienen. Er kann dir sogar das PPTP zur verfügung stellen und fast alle Clients dieser Welt haben einen PPTP Client eingebaut. Das kosten genau 0 Euro in der Anschaffung. Es wird nur das GRE Protokoll und Port TCP 1723 genutzt. Fast alle Router können das weiterleiten. Uns selbst aus einem Mobilnetz ist ein PPTP erver erreichbar. Natürlich sind starke Passwörter vonnöten, aber die brauchst du bei einem offenen RDP (3389) noch mehr.(vorausgesetzt man konfiguriert es nicht falsch)
Funktioniert den ein Falsch konfiguriertes RDP? Also entweder es geht (und ist unsicher) oder es geht nicht (und ist sicher)so ein "NoGo" sein?
Leicht zu erraten was sich dahinter verbirgt? Somit schon bakannt wo mit welchen Werkzeugen angesetzt werden muss? Da ist selbst das PPTP tausendfach sicherer. Selbstverständlich alles abhängig einer Passwortstrategie).Gruß,
Peter
So, noch was: teste bitte, ob es nicht reicht, das Update 2 clientseitig zu installieren. Warum? Weil ich hier ebenso auf einem Server (2008 R2 Standard mit SP1) die Meldung bekomme, dass es nicht anwendbar ist. Dennoch kann ich mich nach dem Installieren des Clientpatches nun verbinden, um das Kennw. zu ändern - ging vorher nicht. Somit wird der Server-Patch wohl nur unter bestimmten Randumständen überhaupt gebraucht, siehe http://support.microsoft.com/kb/2648402 - offenbar nur bei NLA, das unterschied auch unsere beiden TS hier.