Terminalserver Anmeldung über VPN nicht möglich
Guten Tag Zusammen
Zur Zeit habe ich ein Problem mit dem Terminalserver.
Und zwar kann man sich nicht auf den Server anmelden via VPN, ist man aber vor Ort oder auf einem anderen Server in der Domain funktioniert die Anmeldung Problemlos. Die MA arbeiten via RDP auf einem dem Terminalserver 2008 R2, dies funktioniert auch solange sie inhouse arbeiten, aber sobald sie von aussen arbeit wollen schlägt die Anmeldung fehl. Egal ob mit User oder Admin konto.
Die Domain Besten aus 3 DC (MAINSERVER, COMMSERVER, SQLSERVER) und diese Laufen auf 2 HyperV Servern ab.
Denkt ihr das die AD einen Schuss hat und neu aufgebaut werden muss?
Schräger Text ist aus dem Ereignisslog
Fehler beim Anmelden eines Kontos.
Ereigniss Fehler
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: [USER]
Kontodomäne: [ZIEL-DOMAIN]
Fehlerinformationen:
Fehlerursache: Die Domänen-SID ist inkonsistent.
Status: 0xc000006d
Unterstatus:: 0xc000019b
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: [REMOTE-PC]
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Mit freundlichen Grüßen
Andi
Zur Zeit habe ich ein Problem mit dem Terminalserver.
Und zwar kann man sich nicht auf den Server anmelden via VPN, ist man aber vor Ort oder auf einem anderen Server in der Domain funktioniert die Anmeldung Problemlos. Die MA arbeiten via RDP auf einem dem Terminalserver 2008 R2, dies funktioniert auch solange sie inhouse arbeiten, aber sobald sie von aussen arbeit wollen schlägt die Anmeldung fehl. Egal ob mit User oder Admin konto.
Die Domain Besten aus 3 DC (MAINSERVER, COMMSERVER, SQLSERVER) und diese Laufen auf 2 HyperV Servern ab.
Denkt ihr das die AD einen Schuss hat und neu aufgebaut werden muss?
Schräger Text ist aus dem Ereignisslog
Fehler beim Anmelden eines Kontos.
Ereigniss Fehler
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: [USER]
Kontodomäne: [ZIEL-DOMAIN]
Fehlerinformationen:
Fehlerursache: Die Domänen-SID ist inkonsistent.
Status: 0xc000006d
Unterstatus:: 0xc000019b
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: [REMOTE-PC]
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Mit freundlichen Grüßen
Andi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300872
Url: https://administrator.de/contentid/300872
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
also erstens solltest Du Zitate (z.B. aus Eventlog-Medungen) kenntlich machen, damit man sie von Deinem Text unterscheiden kann.
Zweitens: Nein, nicht AD neu aufsetzen. Baust Du ein neues Haus, wenn das Fenster nur Samstags nicht aufgeht?
Wie weit kommt man denn noch, wenn man über VPN geht? Kann der VPN-Client den TS denn überhaupt erreichen?
E.
also erstens solltest Du Zitate (z.B. aus Eventlog-Medungen) kenntlich machen, damit man sie von Deinem Text unterscheiden kann.
Zweitens: Nein, nicht AD neu aufsetzen. Baust Du ein neues Haus, wenn das Fenster nur Samstags nicht aufgeht?
Wie weit kommt man denn noch, wenn man über VPN geht? Kann der VPN-Client den TS denn überhaupt erreichen?
E.
Ich nehme mal an, dass die Sicherheitseinstellung der RDP-Sitzungen etwas zu hoch sind und vom VPN nicht widergespiegelt werden.
Schau doch mal auf dem TS unter "konfiguration des Remotedesktop-Hosts", Eigenschaften von RDP-tcp.
Ist ein Haken bei "Nur Verbindungen von Computern zulassen, auf denen der Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird." dann mach den mal raus.
Schau doch mal auf dem TS unter "konfiguration des Remotedesktop-Hosts", Eigenschaften von RDP-tcp.
Ist ein Haken bei "Nur Verbindungen von Computern zulassen, auf denen der Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird." dann mach den mal raus.
Ha!
Das gleiche Problem hatte ich unlängst mit ipsec via Mikrotik.
Lösung des Problems in meinem Fall: fasttrack connections deaktivieren!
Andere mögliche Probleme: ist die MTU des VPN Tunnels korrekt eingestellt?
Wenn ein Router dazwischen versucht zu fragmentieren und die Packets haben das Do-Not-Fragment-Flag gesetzt wird dir die Verbindung fehlschlagen.
Lg
NACHTRAG:
Tja, nachgedacht mit Impulskraft während mit Warpgeschwindigkeit das Mundwerk / die Tastatur gelaufen ist.
Es ist zwar generell eine gute Idee zu checken, ob die MTUs beim VPN passen, habe jetzt aber noch einmal genauer in die Ereignislog-Anzeige hineingeschaut.
Fehlerursache: Die Domänen-SID ist inkonsistent.
Darf ich davon ausgehen, dass du die Server im Hyper-V von einem Template einfach kopiert hast?
Wenn JA: Hast du SYSPREP laufen lassen?
lG
Mal 'ne ganz andere Frage: Kennt der Terminalserver eigentlich den Weg ins VPN?
@Bluebear89
Mit Anmeldefenster meinst Du den kleinen Dialog und nicht etwa ein Fenster, in welchem die Anmeldemaske des Servers zu sehen ist?
Mit Anmeldefenster meinst Du den kleinen Dialog und nicht etwa ein Fenster, in welchem die Anmeldemaske des Servers zu sehen ist?