RDP nur von Domänencomputern möglich

Remote Desktop Verbindung über VPN

Hallo,

ich betreue eine Windows Server 2003 Domäne und habe folgendes Problem. Wenn ich von einem Nicht-Domänen-Mitglieds System versuche eine Remote Desktop Verbindung aufzubauen schläg dies fehl - ich bekomme nichtmal das Login-Feld.

Szenario sieht wie folgt aus: Ich verbinde mich über eine VPN (IPsec/L2TP) mit einem RAS Server in der Domäne. Wenn ich mich mit diesem Server über RDP verbinden möchte, funktioniert dies ohne Probleme. Wenn ich mich jedoch zu einem Client (XP) in der Domäne verbinden möchte, bekomme ich keine Verbindung zu stande. Die Clientcomputer sind erreichbar (Ping) und über eine GPO ist der Remotedesktop aktiviert.

Knackpunkt ist, wenn ich mich über RDP zuerst auf den Server verbinde, und mich von dort aus auf einen Client, funktioniert dies. Kann mir da jemand helfen, ich habe schon 18 mal alle Richtlinien hoch und runter, aber ich finde keine Option dafür...

Please also mark the comments that contributed to the solution of the article

Content-Key: 34113

Url: https://administrator.de/contentid/34113

Printed on: April 16, 2024 at 11:04 o'clock

6 Comments

Latest comment

Hi,

welche IP-Adresse bekommst Du bei der Einwahl von deinen RAS-Server zugewiesen?
Kannst du die XP Worksation von deinen Remote-Rechner aus anpingen?
Überprüfe einmal diene Routing auf dem Server.

Trägst Du den Namen der Workstation oder die IP-Adresse in den RDP-Client ein?

Hans-Jürgen

Ja ich weiß wo die Überlegung hingehen soll, aber daran kanns nicht liegen. Ich habe z.B. einen "neuen" XP Computer der sich in einer Arbeitsgruppe und nicht in der Domäne befindet. Auf diesen Computer kann ich via RDP von dem Remote-Host zugreifen. Sobald ich ihn jetzt in die Domäne aufnehme kann ich von dem Remote-Host nicht mehr darauf zugreifen, jedoch ist er noch pingbar. Wenn ich jetzt von einem Computer im Unternehmen auf diesen Computer zugreifen möchte, geht es...

Aber zu Deinen Fragen, ich kann den Computer auch über den Namen anpingen, (DNS funktioniert also) und ich benutzte normalerweise den Namen für die Herstellung einer RDP Verbindung. Wie ich schon erwähnt habe sind die Clients pingbar. Ich bekomme eine IP Adresse im lokalen Subnetz von dem DHCP Server zugewiesen.

Irgendwas muss also passieren, sobald der Computer in die Domäne kommt. Der Domänencontroller ist übrigens unter anderem mit der HiSecDC Richtlinien-Vorlage konfiguriert und die Workstation sind standartmäßing unter anderem mit der HiSecWS Richtlinien-Vorlage konfiguriert. Die Windows Firewall ist auf den WS aktiv, jedoch ist der Port 3389 für die RDP offen.

Hi,

kann es vielleicht an deiner HiSecWS-Vorlage liegen?

Es gibt eine Einstellung welche die Kommunikation des RDP-Protokolls festlegt.

Richtlinien für Lokaler Computer \ Administrative Vorlagen \ Terminaldienste.

Versuch doch mal bitte von einem Arbeitsgruppen Rechner (aus dem lokalen Netz) auf deinen XP-Rechner zu zugreifen.

Hans-Jürgen

lokale Computer \ Windows Einstellungen \
Sicherheitseinstellungen \ Lokale Richtlinen
\
Zuweisen von Benutzerrechten "Anmeldung
über Terminaldienste verweigert"

Hier ist nichts konfiguriert

lokale Computer \ Windows Einstellungen \
Sicherheitseinstellungen \ Lokale Richtlinen
\
Zuweisen von Benutzerrechten "Anmeldung
über Terminaldienste zulassen"

Hier sollten die Gruppen Administrator und
Remotedekstop Benutzer eingtregen sein.

Ich persönlich denke die Überlegung geht in die falsche Richtung - die RDP Verbindung funktioniert ja, nur eben nicht von Nicht-Domänen-Computern aus

Deine Sicherheitsrichtline verändert
aber sicherlich auch die
IP-Sicherheitsrichtlinen auf dem lokalen
Computer (z. B. Sicherer Server
erforderlich). Deshalb denke ich dau
solltest einmal die Einstellungen unter:

Richtlinien für Lokaler Computer \
Administrative Vorlagen \ Terminaldienste \
Verschlüsselung und Sicherheit \
RPC-Sicherheitrichtline "Sicherer
Server"

Hier ist auch nichts konfiguriert

Es muss irgendwie eine Authentifizierung auf der Computerseite und eine Einstellung geben, die die Terminalverbindung nicht zulässt, wenn es bei der Anfrage um einen Nicht-Domänencomputer geht!

hmm, also ich hab jetzt mal versucht von einem "lokalen" Computer der in einer Arbeitsgruppe ist auf einen Client in der Domäne zuzugreifen - aber das funktoniert genauso wenig. Ich bin doch von dem Remote Host aus auch ein "lokaler" Computer aus der Sicht der XP Domänen Clients...

Es gibt eine Einstellung welche die Kommunikation des RDP-Protokolls festlegt
Richtlinien für Lokaler Computer \ Administrative Vorlagen \ Terminaldienste

Welche Einstellung meinst Du genau? Es gibt einen Pfad der
Lokaler Computer \ Administrative Vorlagen \ Windows-Komponenten \ Terminaldienste
heißt, aber dieser hat ja nix mit der imprortierten Sicherheitsvorlage "HiSecWS" zu tun, weil sich die Sicherheitsvorlage nur auf den Pfad
lokale Computer \ Windows Einstellungen \ Sicherheitseinstellungen
auswirkt. Welche Einstellung meinst Du genau?

Hi,

ich kann mir schon vorstellen, dass das ganze mit der Sicherheitsrichtline zutun hat.

Prüfe mal bitte die Einstellung unter:

lokale Computer \ Windows Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinen \
Zuweisen von Benutzerrechten "Anmeldung über Terminaldienste verweigert"

Hier sollte keine Gruppe eingetragen sein.

lokale Computer \ Windows Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinen \
Zuweisen von Benutzerrechten "Anmeldung über Terminaldienste zulassen"

Hier sollten die Gruppen Administrator und Remotedekstop Benutzer eingtregen sein.

Erlich gesagt wüde ich aber dann eine andere Fehlermeldung erwarten??

Deine Sicherheitsrichtline verändert aber sicherlich auch die IP-Sicherheitsrichtlinen auf dem lokalen Computer (z. B. Sicherer Server erforderlich). Deshalb denke ich dau solltest einmal die Einstellungen unter:

Richtlinien für Lokaler Computer \ Administrative Vorlagen \ Terminaldienste \ Verschlüsselung und Sicherheit \ RPC-Sicherheitrichtline "Sicherer Server"

überprüfen.

Hans-Jürgen

German Question Windows Server Microsoft