ad27283
Goto Top

RDS 2019 Anmeldung dauert ewig (sporadisch) SessionEnv

Moin zusammen,

seit Montag haben wir das Phänomen, dass die Anmeldung am Terminalserver bei einigen Benutzern ewig dauert.
Circa 10 Minuten erscheint nur "Warten auf Konfiguration für Remotedesktops".
Danach läuft alles ganz normal, kein Temp-Profil. Im Ereignisprotokoll erscheint folgende Meldung:

2

Ich kann dieses Phänomen in keiner weise nachstellen.
Ein User, der sich gerade mit diesem Fehler angemeldet hat, hat beim nächsten Anmelden keine Probleme mehr.
Ein anderer User, der sich in derselben Zeit versucht auf den selben Host anzumelden, hat ebenfalls keine Probleme.

Kennt vielleicht jemand dieses Phänomen vom RDS 2019?


Viele Grüße

Content-ID: 519034

Url: https://administrator.de/forum/rds-2019-anmeldung-dauert-ewig-sporadisch-sessionenv-519034.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

DerWoWusste
DerWoWusste 26.11.2019 aktualisiert um 16:00:28 Uhr
Goto Top
Hi.

Das kann zum Beispiel ein Problem mit der Authentifizierung sein.
Zum Feststellen, ob der Server wirklich der ist, der er vorgibt zu sein, wird Kerberos benutzt. Wenn einer Eurer DCs mit Kerbeors derzeit "nicht klar kommt", dann kann es dauern, während bei der nächsten Anfrage ein anderer DC gefragt wird, und es dann ganz schnell geht, da der kein Problem hat.

Ebenso könnte es mit dem Zertifikat des Servers zusammenhängen (falls Ihr Zertifikate für RDP überhaupt benutzt). Hier kann es zu Verzögerungen beim Prüfen der Gültigkeit des Zertifikates und Prüfen von Sperrlisten kommen.
AD27283
AD27283 26.11.2019, aktualisiert am 21.04.2022 um 15:16:28 Uhr
Goto Top
Wir haben tatsächlich einen primären (welch Wunder) und einen sekundären DC.
Ich werde mal eben dcdiag auf den DCs laufen lassen.

Edit: Alle Tests bestanden.

Kerberos scheint es aber nicht zu sein.

unbenannt

Das Problem tritt sogar auf, wenn ich mich versuche mit mstsc /admin an dem Host anzumelden..

Danke und Gruß
Dani
Lösung Dani 26.11.2019 um 19:15:37 Uhr
Goto Top
Moin,
Kennt vielleicht jemand dieses Phänomen vom RDS 2019?
Grundsätzlich erst einmal nicht.

Edit: Alle Tests bestanden.
das heißt nur, dass diverse Dienste das tun was sie sollen. Mehr aber auch nicht.
Was spucken die Ereignisprokolle der DCs zu dem Zeitpunkt aus? Da gibt es ja verschiedene Kategorien.

Ebenso könnte es mit dem Zertifikat des Servers zusammenhängen (falls Ihr Zertifikate für RDP überhaupt benutzt). Hier kann es zu Verzögerungen beim Prüfen der Gültigkeit des Zertifikates und Prüfen von Sperrlisten kommen.
Hat du die beiden Punkte geprüft? Falls Ja, wie. Nur um sicher zu gehen, dass wir alle die gleiche Informationen haben.


Gruß,
Dani
DerWoWusste
Lösung DerWoWusste 26.11.2019 um 20:02:31 Uhr
Goto Top
Hat du die beiden Punkte geprüft? Falls Ja, wie.
Dani, schau mal auf das Bild. Das erhält er, wenn er auf das Schloss-Icon des RDP-Verbindungsbalkens klickt. Würde er Zertifikate einsetzen, würde das dort stehen ("Kerberos und Zertifikat").
Kennt vielleicht jemand dieses Phänomen vom RDS 2019?
Ja. Wie gesagt, ich hatte mal eine Domäne gesehen, die das hatte und da war es ein Problem mit der Kerberos-Authentifizierung. Es gab nämlich Kerberos DNS-Einträge, die auf einen nicht mehr existenten DC verwiesen. Somit muss Du nicht nur mit DCDiag hantieren, sondern auch Dein DNS auf veraltete Einträge prüfen. Beispieleintrag siehe Bild (es gibt mehrere!):
capture
Dani
Dani 26.11.2019 aktualisiert um 21:33:35 Uhr
Goto Top
@DerWoWusste
Dani, schau mal auf das Bild. Das erhält er, wenn er auf das Schloss-Icon des RDP-Verbindungsbalkens klickt. Würde er Zertifikate einsetzen, würde das dort stehen ("Kerberos und Zertifikat").
Hmm, reden wir beide vom Selben? Es wird doch bei Aufbau einer RDP Verbindung das Serverzertifikat für dessen Identifizierung hergenommen. Du bist doch bei der Authentifzierung via Zertifikat (z.B. Smartcard).


Gruß,
Dani
DerWoWusste
DerWoWusste 26.11.2019, aktualisiert am 27.11.2019 um 08:30:05 Uhr
Goto Top
Ja, wir reden vom Selben. Der Screenshot beweist, dass sein Zielrechner kein Zertifikat verwendet.
Edit: So würde es aussehen, wenn der Server ein Zertifikat verwenden würde:
capture
AD27283
AD27283 27.11.2019 um 11:54:45 Uhr
Goto Top
Manchmal sieht man den Wald vor lauter Bäumen nicht..
Ich hatte tatsächlich einige alte Einträge eines 10 Jahre alten DCs...
Bis jetzt wurde mir keine Verzögerung gemeldet.
DerWoWusste
DerWoWusste 27.11.2019 um 13:36:14 Uhr
Goto Top
Sehr schön! Das wird auch auf andere Dinge mit Kerberos-Authentifizierung einen positiven Einfluss haben.