rik.ko
17.05.2023
view4888
view27
0
Goto Top

Standortabhängige Probleme mit einer Remotedesktopverbindung

gelöstAllgemeinWindows 10
Habe ein merkwürdiges Problem mit der Remotedesktopverbindung und wäre sehr dankbar, wenn jemand mir einen Tipp geben könnte!

Im Betrieb haben wir einen PC mit Windows 10, der über eine Remotedesktopverbindung bedient werden soll.
Wenn ich diesen von Zuhause aus versuche zu erreichen, klappt dies immer einwandfrei.

Wenn ich mein Notebook zu meinem Kollegen mitnehme und versuche es bei ihm, klappt das nur, wenn der PC im Betrieb neu gestartet wurde.

Hat jemand eine Erklärung?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 7193519309

Url: https://administrator.de/contentid/7193519309

Ausgedruckt am: 24.11.2024 um 18:11 Uhr

27 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 17.05.2023 aktualisiert um 18:11:33 Uhr
Goto Top
WIE greifst du denn auf diesen Rechner von Remote zu??
  • Die gefährliche und fahrlässige Variante und ungeschützt über simples UDP/TCP 3389 Port Forwarding am Router oder...
  • wie es generell üblich ist, gesichert per VPN?
  • Wie ist die lokale Firewall an diesem Rechner eingestellt?
  • Wichtig wäre noch zu wissen ob der Kollege einen DS-Lite Provider Anschluss zuhause hat. Auch dazu machst du keinerlei hilfreiche Angaben.
Ohne das du solche grundlegenden technischen Details nennst können wir mit der oberflächlichen und wenig zielführenden Beschreibung wieder einmal nur zur üblichen Kristallkugel greifen und im freien Fall raten. face-sad
Für eine für dich hilfreiche Antwort braucht es ein paar mehr technische Details. Das weisst du als guter Administrator ja alles auch selber.
HansFenner
HansFenner 17.05.2023 um 19:06:14 Uhr
Goto Top
Dass man keine RDP Verbindung aufbauen kann, dafür würden mir auch einige Gründe einfallen, eben abhängig von der Verbindungsart, so wie von aqui beschrieben.

Allerdings alle diese möglichen Fehlerquellen lassen sich normalerweise nicht mit einem Neustart des Zielrechners beheben. Das finde ich schon noch speziell.

Ist es denn so, dass der Zielrechner oder eine Software darauf in irgendeiner Form crasht? Dies müsste ja in den Logs ersichtlich sein.
Visucius
Visucius 17.05.2023 um 19:35:29 Uhr
Goto Top
Gabs da nicht sowas wie User-Konten die nicht geschlossen werden?!
heart1
bloodstix
bloodstix 18.05.2023 um 00:04:21 Uhr
Goto Top
Hi,
es gibt nen reg-key um RDP von TCP auf UDP umzuschalten. Das hat uns mal bei einem brisanten Fehler geholfen.
Ist nicht das selbe wie bei dir, aber versuchen schadet ja nicht.
Weiss nur grad nicht mehr welcher Key genau das ist. Sieh dich mal im WWW um.

Grüße
bloody
aqui
aqui 18.05.2023 um 09:18:41 Uhr
Goto Top
um RDP von TCP auf UDP umzuschalten.
RDP wechselt da normalerweise dynamisch zw. UDP und TCP. Guckst du hier:
RDP-Client auf dem Apple iPad auf TCP umstellen
bloodstix
bloodstix 18.05.2023 um 10:25:02 Uhr
Goto Top
Bei apple vllt. bei Windows gibts dafür einen RegKey der das von vornherein festlegt.
Hatten bei RDPoverVPN öfter Probleme mit TCP. Ala Sitzung friert ein und so.
rik.ko
rik.ko 18.05.2023 um 10:41:23 Uhr
Goto Top
Zitat von @aqui:

WIE greifst du denn auf diesen Rechner von Remote zu??
  • Die gefährliche und fahrlässige Variante und ungeschützt über simples UDP/TCP 3389 Port Forwarding am Router oder...
  • wie es generell üblich ist, gesichert per VPN?
  • Wie ist die lokale Firewall an diesem Rechner eingestellt?
  • Wichtig wäre noch zu wissen ob der Kollege einen DS-Lite Provider Anschluss zuhause hat. Auch dazu machst du keinerlei hilfreiche Angaben.
Ohne das du solche grundlegenden technischen Details nennst können wir mit der oberflächlichen und wenig zielführenden Beschreibung wieder einmal nur zur üblichen Kristallkugel greifen und im freien Fall raten. face-sad
Für eine für dich hilfreiche Antwort braucht es ein paar mehr technische Details. Das weisst du als guter Administrator ja alles auch selber.

  • Die Verbindung wird über ein VPN-Tunnel hergestellt - in beiden Fällen, da es dieselben Computer sind.
  • Auch die Firewall-Einstellungen sind in beiden Fällen identisch.
  • Was sich ändert, ist der Standort und somit auch die Internet-Verbindung. Aber wenn es an der Internet-Verbindung liegen würde, warum ist die Lösung der Neustart des Computers im Betrieb?
rik.ko
rik.ko 18.05.2023 um 10:44:31 Uhr
Goto Top
Zitat von @HansFenner:

Dass man keine RDP Verbindung aufbauen kann, dafür würden mir auch einige Gründe einfallen, eben abhängig von der Verbindungsart, so wie von aqui beschrieben.

Allerdings alle diese möglichen Fehlerquellen lassen sich normalerweise nicht mit einem Neustart des Zielrechners beheben. Das finde ich schon noch speziell.

Ist es denn so, dass der Zielrechner oder eine Software darauf in irgendeiner Form crasht? Dies müsste ja in den Logs ersichtlich sein.

Wenn eine "crashende" Software die Ursache wäre, müssten die Auswirkungen unabhängig vom Standort identisch sein.
rik.ko
rik.ko 18.05.2023 um 10:46:28 Uhr
Goto Top
Zitat von @bloodstix:

Hi,
es gibt nen reg-key um RDP von TCP auf UDP umzuschalten. Das hat uns mal bei einem brisanten Fehler geholfen.
Ist nicht das selbe wie bei dir, aber versuchen schadet ja nicht.
Weiss nur grad nicht mehr welcher Key genau das ist. Sieh dich mal im WWW um.

Grüße
bloody

Diesen Lösungsansatz habe ich schon ausprobiert, hat leider keine Änderung ergeben.
aqui
aqui 18.05.2023 aktualisiert um 11:42:18 Uhr
Goto Top
Die Verbindung wird über ein VPN-Tunnel hergestellt
Das ist schonmal gut! 👍
Wichtig ist hier das die Firewall Einstellung der lokalen Winblows Firewall korrekt eingestellt ist. Normal würde die alle eingehenden (RDP) IP Pakete aus fremden IP Netzen blocken, da sie per Default lediglich immer nur Traffic aus dem lokalen IP Netz zulässt.
Hier muss man also unter "Firewall mit erweiterter Sicherheit" einstellen das der Zugriff (Absender IP) sich auch aus fremden IP Netzen für den RDP Dienst im jeweiligen, verwendeten Profil (Privat, Öffentlich, Domäne) erlaubt ist.
Was sich ändert, ist der Standort und somit auch die Internet-Verbindung.
Wie gesagt da wäre es noch wichtig zu wissen ob der besuchte Kollege an einem DS-Lite Anschluss hängt. Also einen Internet Vertrag wo er keine öffentliche IPv4 mehr bekommt sondern nur noch eine IPv6 und der IPv4 Internet Zugang über ein zentralisiertes CGNAT beim Provider gelöst ist. Das kann ggf. Probleme beim VPN Zugang bereiten.

Wird der VPN Zugang an sich allerdings korrekt hergestellt und ist der Ziel PC pdann pingbar, hat der Kollege @HansFenner schon Recht mit der Tatsache das sich sich normalerweise sowas nicht mit einem Neustart des Zielrechners beheben lässt. Das ist dann in der Tat ziemlich unüblich und "speziell" und zeigt das der Fehler vermutlich ganz woanders liegt.
rik.ko
rik.ko 19.05.2023 aktualisiert um 12:10:14 Uhr
Goto Top
Eine wichtige Sache habe ich vergessen: der Verbindungsversuch bleibt immer (also beim Kollegen, bevor ein Neustart ausgeführt wurde!) bei dem Punkt "Verbindungsqualität wird geschätzt" endlos hängen.
Den Ansatz "RDP Verbindung von UDP auf TCP umstellen (fClientDisableUDP)" habe ich versucht, jedoch erfolglos.
aqui
aqui 19.05.2023 aktualisiert um 19:49:24 Uhr
Goto Top
Die Realität sagt aber mehrheitlich etwas anderes:
https://www.borncity.com/blog/2022/10/07/windows-11-22h2-microsoft-unter ...
Hast du mit einem Wireshark Sniffer einmal überprüft ob dein Client auch wirklich TCP benutzt und der Registry Eintrag wirklich in der Praxis auch greift?!

Möglich auch das du mit einem VPN in ein MTU Problem getappt bist. Um das genau beurteilen zu können müsste man aber dein verwendetes VPN Protokoll bzw. deine verwendete WAN/Internet Infrastruktur kennen.
Hier hilft ggf. einmal die max. MTU mit aktivem VPN zu ermitteln:
https://vpntester.de/anleitung/optimale-mtu-groesse-bestimmen/
https://www.comconsult.com/vpn-tunnel-aus-dem-homeoffice-mit-mtu-tuning/
https://strongvpn.com/mtu-ping-test/
usw. usw.
HansFenner
HansFenner 19.05.2023 um 17:44:02 Uhr
Goto Top
So ganz selten scheint das Problem nicht zu sein, wenn ich ein bisschen im Internet lesen. Aber eine konkrete Lösung fand ich nicht.

Hier ein paar lesenswerte Links:
https://www.xadomir.de/betriebssysteme/windows/windows-remote-schlaegt-m ...
Windows Server 2012 R2 Terminalserver "Verbindungsqulität wird geschätzt"
https://support.matic-tec.de/portal/de/kb/articles/rdp-verbindungsaufbau ...

Grundsätzlich bin ich schon weiterhin der Meinung, dass man auf dem Zielrechner die Logs studieren müsste. Und wenn der Zielrechner nicht komplett abgestürzt ist, würde ich auch mal versuchen, statt den ganzen Rechner neu zu starten, nur einzelne Dienste neu zu starten um den Fehler einzugrenzen. Naheliegenderweise erst mal den RDP-Serverdienst.
heart2
rik.ko
rik.ko 22.05.2023 aktualisiert um 15:10:19 Uhr
Goto Top
Zitat von @aqui:

Die Realität sagt aber mehrheitlich etwas anderes:
https://www.borncity.com/blog/2022/10/07/windows-11-22h2-microsoft-unter ...
Ich habe Windows 10 Pro 21H1

Hast du mit einem Wireshark Sniffer einmal überprüft ob dein Client auch wirklich TCP benutzt und der Registry Eintrag wirklich in der Praxis auch greift?!
Wenn die Verbindung über UDP das Problem wäre, würde das Problem ja auch nach dem Neustart des Zielrechners bestehen.

Möglich auch das du mit einem VPN in ein MTU Problem getappt bist. Um das genau beurteilen zu können müsste man aber dein verwendetes VPN Protokoll bzw. deine verwendete WAN/Internet Infrastruktur kennen.
Hier hilft ggf. einmal die max. MTU mit aktivem VPN zu ermitteln:
https://vpntester.de/anleitung/optimale-mtu-groesse-bestimmen/
https://www.comconsult.com/vpn-tunnel-aus-dem-homeoffice-mit-mtu-tuning/
https://strongvpn.com/mtu-ping-test/
usw. usw.
Könnte ein Neustart des Zielrechners das MTU-Problem beheben?
rik.ko
rik.ko 22.05.2023 um 15:17:02 Uhr
Goto Top
Zitat von @HansFenner:

Grundsätzlich bin ich schon weiterhin der Meinung, dass man auf dem Zielrechner die Logs studieren müsste. Und wenn der Zielrechner nicht komplett abgestürzt ist, würde ich auch mal versuchen, statt den ganzen Rechner neu zu starten, nur einzelne Dienste neu zu starten um den Fehler einzugrenzen. Naheliegenderweise erst mal den RDP-Serverdienst.

Die Idee mit der Eingrenzung ist plausibel! Werde es versuchen.
Auch die Logs schaue ich mir bei nächster Gelegenheit mal an.
Danke!
aqui
aqui 22.05.2023 um 15:59:07 Uhr
Goto Top
Könnte ein Neustart des Zielrechners das MTU-Problem beheben?
Klares Nein!
heart1
aqui
aqui 27.05.2023 um 18:26:52 Uhr
Goto Top
Wenn's das denn war bitte nicht vergessen deinen Thread als erledigt zu schliessen!
rik.ko
rik.ko 30.05.2023 um 13:50:07 Uhr
Goto Top
Ich hoffe, dass ich hier noch die Lösung posten kann...
heart1
aqui
aqui 04.06.2023 um 14:40:32 Uhr
Goto Top
Das hoffen wir auch... face-wink
rik.ko
rik.ko 21.06.2023 aktualisiert um 15:24:23 Uhr
Goto Top
Mittlerweile waren es schon zwei Benutzer, die dieselben Probleme hatten.
Beide waren bei 1&1, vermutlich ein DS-Lite Anschluss.

Die Lösung war die Umstellung von UDP auf TCP.
Es reicht natürlich nicht aus, nur dem PC UDP zu verbieten, sondern die komplette Verbindung muss TCP sein, also auch die VPN-Client Konfiguration und der VPN-Server.

Und kaum macht man es richtig, schon geht's!


PS: Warum wurde die Verbindung mit UDP trotzdem aufgebaut, sobald es einen Clean Boot gab?
aqui
aqui 21.06.2023 aktualisiert um 16:15:45 Uhr
Goto Top
also auch die VPN-Client Konfiguration und der VPN-Server.
Das ist netztechnischer Unsinn zumindestens was IPsec, Wireguard, SSTP usw. als klassische VPN Protokolle anbetrifft weil die das gar nicht erlauben oder völlig andere Protokolle (z.B. ESP) nutzen.
Mal abgesehen davon das das bei VPN selber völlig absurd ist da ja der RDP Traffic so oder so getunnelt wird. Ob RDP mit UDP oder TCP daherkommt ist dem VPN Tunnel ziemlich Wumpe. Aber egal...vermutlich hast du dich auch nur gedrückt aus falsch?!
Warum wurde die Verbindung mit UDP trotzdem aufgebaut, sobald es einen Clean Boot gab?
Weil das bekanntlich immer der Default ist und wenn du TCP am Server nicht über die Registry oder das RDP Protokollsetup erzwingst ändert ein Reboot natürlich gar nix.
https://www.windows-faq.de/2020/04/26/fclientdisableudp-rdp-verbindung-u ...
rik.ko
rik.ko 22.06.2023 um 09:20:01 Uhr
Goto Top
Wir haben einen OpenVPN-Server im Einsatz. Die VPN-Verbindung wurde ja auch mit UDP ohne Probleme aufgebaut und auch die RDP-Verbindung wurde nach einem Neustart des Zielrechners aufgebaut... Das Problem ist oben beschrieben und weitere Details sind anschließend unter dem obigen Post.
Nun habe ich allerdings nur beim OpenVPN-Server und den VPN-Clients auf TCP umgestellt - und es läuft. Dann kann es nicht komplett "netztechnischer Unsinn" sein, denke ich face-smile

Die Antwort auf meine Frage...
Weil das bekanntlich immer der Default ist und wenn du TCP am Server nicht über die Registry oder das RDP Protokollsetup erzwingst ändert ein Reboot natürlich gar nix.
... habe ich allerdings nicht verstanden.
aqui
aqui 22.06.2023 aktualisiert um 10:16:59 Uhr
Goto Top
Wir haben einen OpenVPN-Server im Einsatz.
Wie gruselig. Dort mit TCP Encapsulation zu arbeiten ist keine gute Idee. Schafft einen immensen Overhead und erhöht gleichzeitig die MTU Problematik und reisst die von sich aus sehr schlechte Skalierbarkeit von OpenVPN noch weiter in den Keller.
Da gibt es deutlich bessere VPN Protokolle...
Dann kann es nicht komplett "netztechnischer Unsinn" sein, denke ich
Leider doch aus den o.a. Gründen... Aber egal, wenns damit rennt und du damit leben kannst ist doch gut. Ein gutes VPN Design sieht aber anders aus.
... habe ich allerdings nicht verstanden.
Was genau hast du daran nicht verstanden?? 🤔
Die Logik ist doch ganz einfach. Der RDP Client versucht beim Sessionaufbau zuerst immer UDP zu verwenden. Antwortet der Server mit UDP bleibt UDP als Transportprotokoll für RDP bestehen.
Du kannst TCP als Transportprotokoll nur erzwingen wenn du am RDP Server die Verwendung von TCP in der Registry festlegst!
Dann timed der UDP Request des RDP Clients aus weil der Server auf UDP nicht mehr antwortet und er versucht es danach mit TCP was der Server dann beantwortet. Damit hat man dann RDP fest auf TCP als Transportprokoll umgestellt.
Was ist an dieser banalen Logik nicht zu verstehen??
Das in sich schon schlechte OpenVPN dann nochmal auf TCP umzustellen macht wenig Sinn. Sogar OpenVPN rät dringenst von der Verwendung von TCP als Tunnel encapsulation ab. Wie gesagt es sei denn du kannst dann mit dem mickrigen Durchsatz leben.
rik.ko
rik.ko 22.06.2023 um 10:24:22 Uhr
Goto Top
Wir hatten früher IPsec. Den Unterschied merken die Anwender nicht. Also ist es ausreichend.

Meine Frage war ja:
Warum wurde die Verbindung mit UDP trotzdem aufgebaut, sobald es einen Clean Boot gab?
Ich verstehe nicht, warum die RDP-Verbindung NUR nach einem Neustart aufgebaut wurde, bzw. wie konnte diese nach einem Neustart des Zielrechners aufgebaut werden, wenn es generell unmöglich ist.
aqui
aqui 22.06.2023 um 10:40:36 Uhr
Goto Top
Den Unterschied merken die Anwender nicht. Also ist es ausreichend.
Gut bei RDP ist das auch klar. Dessen Datenvolumina entsprechend ja denen von damaligen 64kBit/s Modemzeiten. In sofern ist es es völlig egal aus der Sicht da hast du recht.
Warum man aber von IPsec oder L2TP und onboard Clients auf das deutlich schlechtere OpenVPN wechselt und sich damit dann auch noch die Frickelei mit externen VPN Clients antut muss man sicher nicht verstehen. Z.B.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Mikrotik L2TP Server
wie konnte diese nach einem Neustart des Zielrechners aufgebaut werden, wenn es generell unmöglich ist.
Da hätte sicher ein Wireshark Trace weitergeholfen der mal auf 3389 gesniffert hätte. face-wink
rik.ko
rik.ko 22.06.2023 um 12:09:07 Uhr
Goto Top
In unserer Umgebung war OpenVPN wesentlich einfacher einzurichten als IPsec.
Und OpenVPN Connect kommt wesentlich moderner als der VPN Client von Shrew Soft Inc. face-wink

Es kommt immer auch auf die Erfordernisse und die vorhandene Umgebung an.
Daher gibt es auch hier keine "eierlegende Wollmilchsau".
aqui
aqui 22.06.2023 aktualisiert um 12:55:27 Uhr
Goto Top
Und OpenVPN Connect kommt wesentlich moderner als der VPN Client von Shrew Soft Inc.
Wäre Unsinn, denn für IPsec braucht es gar keine externen (überflüssigen) Clients. Alle Betriebssysteme und Smartphones haben ausnahmslos von sich aus immer IPsec und L2TP Clients an Bord so das es keiner Frickelei mit extra Software bedarf. Weder Shrew noch OVPN.
Wenn es nur nach der Einfachheit der VPN Einrichtung geht müsstest du Wireguard verwenden. Damit würde man per se auch schon die miese Performance von OpenVPN ersetzen. face-wink
Ein Bild sagt mehr als 1000 Worte...
wgper
Auch IPsec mit PSKs erfordert deutlich weniger Setup Aufwand als OpenVPN mit all der Zertifikats Generierung usw. Aber egal...es rennt ja bei dir und gut iss. face-wink
gelöstAllgemeinWindows 10
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 Kommentare