ad27283

RDS 2019 Anmeldung dauert ewig (sporadisch) SessionEnv

Moin zusammen,

seit Montag haben wir das Phänomen, dass die Anmeldung am Terminalserver bei einigen Benutzern ewig dauert.
Circa 10 Minuten erscheint nur "Warten auf Konfiguration für Remotedesktops".
Danach läuft alles ganz normal, kein Temp-Profil. Im Ereignisprotokoll erscheint folgende Meldung:

2

Ich kann dieses Phänomen in keiner weise nachstellen.
Ein User, der sich gerade mit diesem Fehler angemeldet hat, hat beim nächsten Anmelden keine Probleme mehr.
Ein anderer User, der sich in derselben Zeit versucht auf den selben Host anzumelden, hat ebenfalls keine Probleme.

Kennt vielleicht jemand dieses Phänomen vom RDS 2019?


Viele Grüße
Share on Facebook
Share on X (Twitter)
Share on Reddit
Share on Linkedin

Content-ID: 519034

Url: https://administrator.de/forum/rds-2019-anmeldung-dauert-ewig-sporadisch-sessionenv-519034.html

Printed on: June 1, 2025 at 08:06 o'clock

DerWoWusste
DerWoWusste Nov 26, 2019 updated at 15:00:28 (UTC)
Goto Top
Hi.

Das kann zum Beispiel ein Problem mit der Authentifizierung sein.
Zum Feststellen, ob der Server wirklich der ist, der er vorgibt zu sein, wird Kerberos benutzt. Wenn einer Eurer DCs mit Kerbeors derzeit "nicht klar kommt", dann kann es dauern, während bei der nächsten Anfrage ein anderer DC gefragt wird, und es dann ganz schnell geht, da der kein Problem hat.

Ebenso könnte es mit dem Zertifikat des Servers zusammenhängen (falls Ihr Zertifikate für RDP überhaupt benutzt). Hier kann es zu Verzögerungen beim Prüfen der Gültigkeit des Zertifikates und Prüfen von Sperrlisten kommen.
AD27283
AD27283 Nov 26, 2019, updated at Apr 21, 2022 at 13:16:28 (UTC)
Goto Top
Wir haben tatsächlich einen primären (welch Wunder) und einen sekundären DC.
Ich werde mal eben dcdiag auf den DCs laufen lassen.

Edit: Alle Tests bestanden.

Kerberos scheint es aber nicht zu sein.

unbenannt

Das Problem tritt sogar auf, wenn ich mich versuche mit mstsc /admin an dem Host anzumelden..

Danke und Gruß
Dani
Solution Dani Nov 26, 2019 at 18:15:37 (UTC)
Goto Top
Moin,
Kennt vielleicht jemand dieses Phänomen vom RDS 2019?
Grundsätzlich erst einmal nicht.

Edit: Alle Tests bestanden.
das heißt nur, dass diverse Dienste das tun was sie sollen. Mehr aber auch nicht.
Was spucken die Ereignisprokolle der DCs zu dem Zeitpunkt aus? Da gibt es ja verschiedene Kategorien.

Ebenso könnte es mit dem Zertifikat des Servers zusammenhängen (falls Ihr Zertifikate für RDP überhaupt benutzt). Hier kann es zu Verzögerungen beim Prüfen der Gültigkeit des Zertifikates und Prüfen von Sperrlisten kommen.
Hat du die beiden Punkte geprüft? Falls Ja, wie. Nur um sicher zu gehen, dass wir alle die gleiche Informationen haben.


Gruß,
Dani
DerWoWusste
Solution DerWoWusste Nov 26, 2019 at 19:02:31 (UTC)
Goto Top
Hat du die beiden Punkte geprüft? Falls Ja, wie.
Dani, schau mal auf das Bild. Das erhält er, wenn er auf das Schloss-Icon des RDP-Verbindungsbalkens klickt. Würde er Zertifikate einsetzen, würde das dort stehen ("Kerberos und Zertifikat").
Kennt vielleicht jemand dieses Phänomen vom RDS 2019?
Ja. Wie gesagt, ich hatte mal eine Domäne gesehen, die das hatte und da war es ein Problem mit der Kerberos-Authentifizierung. Es gab nämlich Kerberos DNS-Einträge, die auf einen nicht mehr existenten DC verwiesen. Somit muss Du nicht nur mit DCDiag hantieren, sondern auch Dein DNS auf veraltete Einträge prüfen. Beispieleintrag siehe Bild (es gibt mehrere!):
capture
Dani
Dani Nov 26, 2019 updated at 20:33:35 (UTC)
Goto Top
@DerWoWusste
Dani, schau mal auf das Bild. Das erhält er, wenn er auf das Schloss-Icon des RDP-Verbindungsbalkens klickt. Würde er Zertifikate einsetzen, würde das dort stehen ("Kerberos und Zertifikat").
Hmm, reden wir beide vom Selben? Es wird doch bei Aufbau einer RDP Verbindung das Serverzertifikat für dessen Identifizierung hergenommen. Du bist doch bei der Authentifzierung via Zertifikat (z.B. Smartcard).


Gruß,
Dani
DerWoWusste
DerWoWusste Nov 26, 2019, updated at Nov 27, 2019 at 07:30:05 (UTC)
Goto Top
Ja, wir reden vom Selben. Der Screenshot beweist, dass sein Zielrechner kein Zertifikat verwendet.
Edit: So würde es aussehen, wenn der Server ein Zertifikat verwenden würde:
capture
AD27283
AD27283 Nov 27, 2019 at 10:54:45 (UTC)
Goto Top
Manchmal sieht man den Wald vor lauter Bäumen nicht..
Ich hatte tatsächlich einige alte Einträge eines 10 Jahre alten DCs...
Bis jetzt wurde mir keine Verzögerung gemeldet.
DerWoWusste
DerWoWusste Nov 27, 2019 at 12:36:14 (UTC)
Goto Top
Sehr schön! Das wird auch auf andere Dinge mit Kerberos-Authentifizierung einen positiven Einfluss haben.