9
Langsames RDP Login auf einem Server ohne Internetzugriff
Hallo zusammen,
Bei uns in der Firma betreiben wir eine separate Firewall Zone für Systeme die nicht direkt durch uns betreut werden.
Der Internet Zugang ist zu, auch auch sonst ist nur die Kommunikation auf der Firewall zugelassen was für die Applikation wirklich benötigt wird.
Der Server befindet sich in der Domäne, und ist ein Server 2019 (GUI) 1809 auf dem aktuellen Patchlevel.
Nun haben wir folgendes Phänomen, wenn ich mich per Konsole an der VM anmelde geht die Anmeldung ca. 5 Sekunden, wenn ich das ganze via RDP mache geht die Anmeldung mit dem selben Benutzer ca. 2.5 Minuten. bzw bleibt beim Welcome Screen für ca 2.5 Minuten stehen. Wenn ich die Firewall in Richtung Internet öffne geht die Anmeldung auch via RDP schnell, sobald die Ports zu sind ist wieder alles langsam. Im Event log finde ich nichts spezifisches.
Via Proess Monitor habe ich den Loginversuch von einem Kollegen getracert.
09:19:57.1711442 LogonUI.exe 1256 DeviceIoControl \\TSCLIENT\SCARD\4 CANCELLED Control: FSCTL_REQUEST_OPLOCK_LEVEL_2 NT AUTHORITY\SYSTEM 4 127.5668998
Smartcards haben wir nicht im Einsatz. Das hochschalufen habe ich nochmals explizit im RDP deaktiviert.
Muss ich was spezielles konfigurieren damit der Server weiss das er kein Internet hat?
Wie kann ich das noch anders tracen?
Grüsse
Thomas
Bei uns in der Firma betreiben wir eine separate Firewall Zone für Systeme die nicht direkt durch uns betreut werden.
Der Internet Zugang ist zu, auch auch sonst ist nur die Kommunikation auf der Firewall zugelassen was für die Applikation wirklich benötigt wird.
Der Server befindet sich in der Domäne, und ist ein Server 2019 (GUI) 1809 auf dem aktuellen Patchlevel.
Nun haben wir folgendes Phänomen, wenn ich mich per Konsole an der VM anmelde geht die Anmeldung ca. 5 Sekunden, wenn ich das ganze via RDP mache geht die Anmeldung mit dem selben Benutzer ca. 2.5 Minuten. bzw bleibt beim Welcome Screen für ca 2.5 Minuten stehen. Wenn ich die Firewall in Richtung Internet öffne geht die Anmeldung auch via RDP schnell, sobald die Ports zu sind ist wieder alles langsam. Im Event log finde ich nichts spezifisches.
Via Proess Monitor habe ich den Loginversuch von einem Kollegen getracert.
09:19:57.1711442 LogonUI.exe 1256 DeviceIoControl \\TSCLIENT\SCARD\4 CANCELLED Control: FSCTL_REQUEST_OPLOCK_LEVEL_2 NT AUTHORITY\SYSTEM 4 127.5668998
Smartcards haben wir nicht im Einsatz. Das hochschalufen habe ich nochmals explizit im RDP deaktiviert.
Muss ich was spezielles konfigurieren damit der Server weiss das er kein Internet hat?
Wie kann ich das noch anders tracen?
Grüsse
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667258
Url: https://administrator.de/contentid/667258
Printed on: May 8, 2024 at 03:05 o'clock
9 Comments
Latest comment
moin...
was hast du als gatewey und DNS eingetragen?
Frank
was hast du als gatewey und DNS eingetragen?
Frank
Hi,
Vielleicht mal das prüfen der Stammzertifkate aussschalten:
Computerkonfiguration | Administrative Vorlagen | System | Internet-Kommunikationsmanagement | Einstellungen für die Internetkommunikation
Grüße
Stefan
Vielleicht mal das prüfen der Stammzertifkate aussschalten:
Computerkonfiguration | Administrative Vorlagen | System | Internet-Kommunikationsmanagement | Einstellungen für die Internetkommunikation
Grüße
Stefan
Hallo Frank,
Als Gateway ist das Firewall interface der Zone hinterlegt. Als DNS Server sind zwei DC's einer anderen Zone hinterlegt. Firewall ist auch offen. Site and Services ist entsprechend konfiguriert. Im Firewall Log sind auch keine Zugriff gelistet, die dort auf was zugriffen wollen.
Gruss
Thomas
Als Gateway ist das Firewall interface der Zone hinterlegt. Als DNS Server sind zwei DC's einer anderen Zone hinterlegt. Firewall ist auch offen. Site and Services ist entsprechend konfiguriert. Im Firewall Log sind auch keine Zugriff gelistet, die dort auf was zugriffen wollen.
Gruss
Thomas
moin...
Zitat von @Scatt82:
Hallo Frank,
Als Gateway ist das Firewall interface der Zone hinterlegt. Als DNS Server sind zwei DC's einer anderen Zone hinterlegt. Firewall ist auch offen. Site and Services ist entsprechend konfiguriert. Im Firewall Log sind auch keine Zugriff gelistet, die dort auf was zugriffen wollen.
sind die DNS Server, das AD und RD-Brocker etc.. erreichbar? Zertifikate?Hallo Frank,
Als Gateway ist das Firewall interface der Zone hinterlegt. Als DNS Server sind zwei DC's einer anderen Zone hinterlegt. Firewall ist auch offen. Site and Services ist entsprechend konfiguriert. Im Firewall Log sind auch keine Zugriff gelistet, die dort auf was zugriffen wollen.
Gruss
Thomas
FrankThomas
Guten Morgen,
schau mal bei euch auf die Firewall, wir hatten das gleiche Phänomen mit Server 2012 R2 ,warum auch immer hat RDP versucht auf eine externe IP zuzugreifen, das ganze 5 mal dann kam vermutlich ein Timeout und zack die RDP Sitzung war da.
Wir haben dann testweise mal einem Server Internet Zugriff erlaubt und es ging flott. Ich vermute er telefoniert mit MS oder so...
Grüße
schau mal bei euch auf die Firewall, wir hatten das gleiche Phänomen mit Server 2012 R2 ,warum auch immer hat RDP versucht auf eine externe IP zuzugreifen, das ganze 5 mal dann kam vermutlich ein Timeout und zack die RDP Sitzung war da.
Wir haben dann testweise mal einem Server Internet Zugriff erlaubt und es ging flott. Ich vermute er telefoniert mit MS oder so...
Grüße
Ich habe das mit Windows 10 Clients und Windows 2012 R2 RD-SH beobachtet. Das Problem tritt bei uns auf wenn der Client! keinen Internet-Zugang hat und zwar nicht grundsätzlich sondern dann erst nach einer gewissen Zeit, ich sag jetzt mal ca. 30 Tage von der Größenordnung her.
Mein Verdacht ist daher Prüfung der Zertifikate des RD-SH durch den Client im Internet. Absurderweise sind die Zertifikate sowieso selbst ausgestellt und werden über die Domäne als vertrauenswürdig verteilt, ich konnte der Sache leider noch nicht weiter nach gehen.
Mein Verdacht ist daher Prüfung der Zertifikate des RD-SH durch den Client im Internet. Absurderweise sind die Zertifikate sowieso selbst ausgestellt und werden über die Domäne als vertrauenswürdig verteilt, ich konnte der Sache leider noch nicht weiter nach gehen.
Wenn man nur einmal den Wireshark laufen lassen würde dann könnte man in Minutenschnelle sehen WAS der betroffene Server vom Internet genau will und müsste hier nicht im freien Fall spekulieren und rumraten sondern kann diese Problematik zielgerichtet genau erfassen und darauf entsprechend reagieren !
Wie immer: strategisch und zielgerichtet vorgehen führt zum Erfolg !
Wie immer: strategisch und zielgerichtet vorgehen führt zum Erfolg !
Zitat von @aqui:
Wenn man nur einmal den Wireshark laufen lassen würde dann könnte man in Minutenschnelle sehen WAS der betroffene Server vom Internet genau will und müsste hier nicht im freien Fall spekulieren und rumraten sondern kann diese Problematik zielgerichtet genau erfassen und darauf entsprechend reagieren !
Ich hab mir extra einen 10 Euro Hub in der Bucht geschossen um das demnächst mal öfters zu machen (auch Smart TVs) aber mir fehlt leider die Zeit.Wenn man nur einmal den Wireshark laufen lassen würde dann könnte man in Minutenschnelle sehen WAS der betroffene Server vom Internet genau will und müsste hier nicht im freien Fall spekulieren und rumraten sondern kann diese Problematik zielgerichtet genau erfassen und darauf entsprechend reagieren !
Hallo zusammen,
Ich hab das Problem lösen können. Der Server war AD-Hybrid Joind. Nachdem ich dies deaktivert hat die Anmeldung sauber funktioniert.
dsregcmd /status gibt den Status zurück
dsregcmd /leave kann das Gerät umstellt werden damit es nur Domain Joind ist.
Danke für die Imputs.
Gruss
Thomas
Ich hab das Problem lösen können. Der Server war AD-Hybrid Joind. Nachdem ich dies deaktivert hat die Anmeldung sauber funktioniert.
dsregcmd /status gibt den Status zurück
dsregcmd /leave kann das Gerät umstellt werden damit es nur Domain Joind ist.
Danke für die Imputs.
Gruss
Thomas
