4
RDH 2012R2 in 2008R2-Domäne mehrfache Anmeldung nötig
Moin!
Ich habe in ein bestehendes 2008er Netzwerk zwei neue Terminalserver 2012R2 integriert. Die bisherigen 2008er laufen zwar noch, werden aber dieser Tage abgeschaltet. Gearbeitet wird nicht mehr darauf.
Nun haben die Benutzer folgendes Problem:
User meldet sich an und bekommt die Meldung, das Passwort sei falsch. Zwei, drei, viermal. Irgendwann kann er sich dann anmelden. Sein Passwort ist definitiv nicht falsch. Das Ganze passiert auch bei einem neu angelegten Testuser. Im Eventlog ist auch genau das nachzulesen, dass der User ein falsches Passwort eingetragen hätte, aber glaubt mir: zwei Tage Tests mit mehreren Usern in allen denkbaren Geschwindigkeiten, jedes Zeichen zu zweit kontrolliert... die Passwörter werden definitiv korrekt eingegeben.
Jetzt handelt es sich hier um zwei Terminalserver und ich weiß im Moment der Anmeldung noch nicht, auf welchem der User ist, das wird erst durch den Broker verteilt. In welcher Reihenfolge sich da jetzt wer an welchem Server anmeldet und wer am Ende dann wo landet, ist egal. Dieses Verhalten gibt es immer wieder mal, aber nicht jedesmal.
Irgendeine Idee, was ich prüfen kann, was ich übersehen habe? Insbesondere der Brokerserver ist für mich neu, gibt es da was, was ich wissen sollte?
'nen schönen Feierabend erstmal!
Y.
Ich habe in ein bestehendes 2008er Netzwerk zwei neue Terminalserver 2012R2 integriert. Die bisherigen 2008er laufen zwar noch, werden aber dieser Tage abgeschaltet. Gearbeitet wird nicht mehr darauf.
Nun haben die Benutzer folgendes Problem:
User meldet sich an und bekommt die Meldung, das Passwort sei falsch. Zwei, drei, viermal. Irgendwann kann er sich dann anmelden. Sein Passwort ist definitiv nicht falsch. Das Ganze passiert auch bei einem neu angelegten Testuser. Im Eventlog ist auch genau das nachzulesen, dass der User ein falsches Passwort eingetragen hätte, aber glaubt mir: zwei Tage Tests mit mehreren Usern in allen denkbaren Geschwindigkeiten, jedes Zeichen zu zweit kontrolliert... die Passwörter werden definitiv korrekt eingegeben.
Jetzt handelt es sich hier um zwei Terminalserver und ich weiß im Moment der Anmeldung noch nicht, auf welchem der User ist, das wird erst durch den Broker verteilt. In welcher Reihenfolge sich da jetzt wer an welchem Server anmeldet und wer am Ende dann wo landet, ist egal. Dieses Verhalten gibt es immer wieder mal, aber nicht jedesmal.
Irgendeine Idee, was ich prüfen kann, was ich übersehen habe? Insbesondere der Brokerserver ist für mich neu, gibt es da was, was ich wissen sollte?
'nen schönen Feierabend erstmal!
Y.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 316440
Url: https://administrator.de/contentid/316440
Ausgedruckt am: 24.11.2024 um 15:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
was sagen die Ereignisanzeigen auf dem Broker und den neuen RDS-Hosts?
Was wird auf dem Domain Controller in der Ereignisanzeige -> Sicherheit zu dem Anmeldeversuch protokolliert?
Die Uhrzeiten/Datum sind überrall identisch und auch korrekt?
Tritt das Problem regelmäßig (z.B. täglich) aber bei unterschiedlichen Benutzern?
Wie verbindet sich der Benutzer dem Broker über RemoteApps oder MSTSC?
Gruß,
Dani
was sagen die Ereignisanzeigen auf dem Broker und den neuen RDS-Hosts?
Was wird auf dem Domain Controller in der Ereignisanzeige -> Sicherheit zu dem Anmeldeversuch protokolliert?
Die Uhrzeiten/Datum sind überrall identisch und auch korrekt?
Tritt das Problem regelmäßig (z.B. täglich) aber bei unterschiedlichen Benutzern?
Wie verbindet sich der Benutzer dem Broker über RemoteApps oder MSTSC?
Gruß,
Dani
Moin!
Der Broker ist gleichzeitig einer der RDH-Hosts.
Im Eventlog / Anwendung gibt's nur die Info, dass ein User ein falsches Passwort eingegeben hätte. Am DC gibt es gar keinen Hinweis, auch unter Sicherheit nicht. Mitgeloggt wird das aber durchaus.
Was mir aufgefallen ist, ist, dass unter dem Anmeldefeld zwar die Domäne steht und der User seinen einfachen Anmeldenamen einträgt. Wenn der Anmeldeversuch schiefgeht, steht im Benutzerfeld der Domänenanmeldename komplett drin. Als wenn die erste Anmeldung lokal wäre, obwohl der Domänenname da steht. Das müsste ich mal noch genauer prüfen.
Datum und Zeit ist korrekt, alles fragt den DC und der fragt ptbtime, das funktioniert auch.
Regelmäßig: jain. Letzte Woche noch, ja, bei jeder Anmeldung, auch mehrmals täglich, wenn zwischen Ab- und Anmeldung eine gewisse Zeit vergangen ist. Wie lang diese gewisse Zeit genau sein musste, habe ich nicht herausgefunden. Seit Freitag besteht das Problem anscheinend nicht mehr. Allerdings habe ich am Donnerstag eine fehlerhafte GPO korrigiert. Die hatte an sich nur was mit dem IE / Proxy zu tun, aber seitdem scheint Ruhe zu sein. Da bekomme ich im Moment aber keinen Zusammenhang hin.
Unterschiedliche Benutzer: ja, mindestens mehrere einschließlich eines extra zum Testen angelegten Testusers.
Verbindung: MSTSC
Im Moment scheint wie gesagt Ruhe zu sein. Obige Info ist also nur der Vollständigkeit halber. Dann kenne ich zwar die Ursache nicht, aber bei unserem derzeitigen Arbeitsaufkommen trauere ich dem nur bedingt hinterher
Gruß
Y.
Der Broker ist gleichzeitig einer der RDH-Hosts.
Im Eventlog / Anwendung gibt's nur die Info, dass ein User ein falsches Passwort eingegeben hätte. Am DC gibt es gar keinen Hinweis, auch unter Sicherheit nicht. Mitgeloggt wird das aber durchaus.
Was mir aufgefallen ist, ist, dass unter dem Anmeldefeld zwar die Domäne steht und der User seinen einfachen Anmeldenamen einträgt. Wenn der Anmeldeversuch schiefgeht, steht im Benutzerfeld der Domänenanmeldename komplett drin. Als wenn die erste Anmeldung lokal wäre, obwohl der Domänenname da steht. Das müsste ich mal noch genauer prüfen.
Datum und Zeit ist korrekt, alles fragt den DC und der fragt ptbtime, das funktioniert auch.
Regelmäßig: jain. Letzte Woche noch, ja, bei jeder Anmeldung, auch mehrmals täglich, wenn zwischen Ab- und Anmeldung eine gewisse Zeit vergangen ist. Wie lang diese gewisse Zeit genau sein musste, habe ich nicht herausgefunden. Seit Freitag besteht das Problem anscheinend nicht mehr. Allerdings habe ich am Donnerstag eine fehlerhafte GPO korrigiert. Die hatte an sich nur was mit dem IE / Proxy zu tun, aber seitdem scheint Ruhe zu sein. Da bekomme ich im Moment aber keinen Zusammenhang hin.
Unterschiedliche Benutzer: ja, mindestens mehrere einschließlich eines extra zum Testen angelegten Testusers.
Verbindung: MSTSC
Im Moment scheint wie gesagt Ruhe zu sein. Obige Info ist also nur der Vollständigkeit halber. Dann kenne ich zwar die Ursache nicht, aber bei unserem derzeitigen Arbeitsaufkommen trauere ich dem nur bedingt hinterher
Gruß
Y.
Moin,
Gruß,
Dani
Die hatte an sich nur was mit dem IE / Proxy zu tun, aber seitdem scheint Ruhe zu sein
Was hast du genau geändert? Ist es möglich, dass du einen Vorher/Nachher - Vergleich postet?Gruß,
Dani
Den Vergleich gibt es nicht mehr, so etwa sah das aus:
GPO für IE - Benutzerkonfiguration - Einstellungen - Systemsteuerungseinstellungen - Interneteinstellungen - [Die Einstellung]
Hier werden ja für die neueren IE die Einstellungen vorgenommen und dort gibt es auf der Registerkarte "Gemeinsame Optionen" den Button "Zielgruppenadressierung" und darin dann die Einstellung für die Version des IE, für den die Einstellungen gelten.
Alles, was dort zu sehen war, war auch korrekt, hat nur nicht funktioniert. Diese Einstellungen werden im Sysvol in einer XML-Datei gespeichert und darin gab es die Einstellung "FilterFile, hidden = 1". Damit wird eine Zeile versteckt. Das auf 0 gesetzt, wurde in der GUI eine zweite Zeile sichtbar, die auf eine andere Version abzielte. Dummerweise waren diese beiden Zeilen mit "AND" verbunden.
Wir haben viele Netzwerke mit ähnlichen Konstellationen, aber diese Einstellung ist anderswo nicht zu finden, Ich denke, das kam irgendwie durch eine andere Reihenfolge bei der Erstellung zustande.
Andere Einstellungen aus der gleichen GPO (Sicherheitseinstellungen für IE u.a., also nur IE-Dinge) wurden übernommen. Deswegen gehe ich davon aus, dass das nicht die Ursache sein konnte.
Gruß
Y.
GPO für IE - Benutzerkonfiguration - Einstellungen - Systemsteuerungseinstellungen - Interneteinstellungen - [Die Einstellung]
Hier werden ja für die neueren IE die Einstellungen vorgenommen und dort gibt es auf der Registerkarte "Gemeinsame Optionen" den Button "Zielgruppenadressierung" und darin dann die Einstellung für die Version des IE, für den die Einstellungen gelten.
Alles, was dort zu sehen war, war auch korrekt, hat nur nicht funktioniert. Diese Einstellungen werden im Sysvol in einer XML-Datei gespeichert und darin gab es die Einstellung "FilterFile, hidden = 1". Damit wird eine Zeile versteckt. Das auf 0 gesetzt, wurde in der GUI eine zweite Zeile sichtbar, die auf eine andere Version abzielte. Dummerweise waren diese beiden Zeilen mit "AND" verbunden.
Wir haben viele Netzwerke mit ähnlichen Konstellationen, aber diese Einstellung ist anderswo nicht zu finden, Ich denke, das kam irgendwie durch eine andere Reihenfolge bei der Erstellung zustande.
Andere Einstellungen aus der gleichen GPO (Sicherheitseinstellungen für IE u.a., also nur IE-Dinge) wurden übernommen. Deswegen gehe ich davon aus, dass das nicht die Ursache sein konnte.
Gruß
Y.
