bluebear89
Goto Top

Terminalserver Anmeldung über VPN nicht möglich

Guten Tag Zusammen

Zur Zeit habe ich ein Problem mit dem Terminalserver.
Und zwar kann man sich nicht auf den Server anmelden via VPN, ist man aber vor Ort oder auf einem anderen Server in der Domain funktioniert die Anmeldung Problemlos. Die MA arbeiten via RDP auf einem dem Terminalserver 2008 R2, dies funktioniert auch solange sie inhouse arbeiten, aber sobald sie von aussen arbeit wollen schlägt die Anmeldung fehl. Egal ob mit User oder Admin konto.
Die Domain Besten aus 3 DC (MAINSERVER, COMMSERVER, SQLSERVER) und diese Laufen auf 2 HyperV Servern ab.
Denkt ihr das die AD einen Schuss hat und neu aufgebaut werden muss?

Schräger Text ist aus dem Ereignisslog

Fehler beim Anmelden eines Kontos.

Ereigniss Fehler
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: [USER]
Kontodomäne: [ZIEL-DOMAIN]

Fehlerinformationen:
Fehlerursache: Die Domänen-SID ist inkonsistent.
Status: 0xc000006d
Unterstatus:: 0xc000019b

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: [REMOTE-PC]
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.



Mit freundlichen Grüßen
Andi

Content-ID: 300872

Url: https://administrator.de/contentid/300872

Ausgedruckt am: 23.11.2024 um 00:11 Uhr

emeriks
emeriks 04.04.2016 um 16:13:10 Uhr
Goto Top
Hi,
also erstens solltest Du Zitate (z.B. aus Eventlog-Medungen) kenntlich machen, damit man sie von Deinem Text unterscheiden kann.

Zweitens: Nein, nicht AD neu aufsetzen. Baust Du ein neues Haus, wenn das Fenster nur Samstags nicht aufgeht?

Wie weit kommt man denn noch, wenn man über VPN geht? Kann der VPN-Client den TS denn überhaupt erreichen?

E.
beidermachtvongreyscull
beidermachtvongreyscull 04.04.2016 um 16:15:17 Uhr
Goto Top
Ich nehme mal an, dass die Sicherheitseinstellung der RDP-Sitzungen etwas zu hoch sind und vom VPN nicht widergespiegelt werden.
Schau doch mal auf dem TS unter "konfiguration des Remotedesktop-Hosts", Eigenschaften von RDP-tcp.
Ist ein Haken bei "Nur Verbindungen von Computern zulassen, auf denen der Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird." dann mach den mal raus.
Bluebear89
Bluebear89 04.04.2016 aktualisiert um 17:03:41 Uhr
Goto Top
Danke für die Rasche Antwort!

@emeriks
Habe den Text editiert, bitte entschuldige.

Ja da gebe ich die vollkommen recht. Wir durften diese IT so übernehmen und da hat vorher jemand schon gewaltig rumgebastelt. Vor 1-2 Monaten hatte das Problem das die DC nicht mehr Repliziert haben, dies konnte ich aber beheben.

Ja man kann den Server erreichen, sprich das Anmeldefenster erscheint, Benutzername und Passwort Eingabe ist möglich. Es kommt aber immer die Meldung: "Der Anmeldeversuch ist Fehlgeschlagen"

@beidermachtvongreyscull
Danke!
Haken ist nicht drin
DopeEx1991
DopeEx1991 04.04.2016 um 18:06:27 Uhr
Goto Top
Hi,
Hat denn die Firewall/das VPN-Gateway irgendwelche Verweigerungen oder Fehler protokolliert?

LG
areanod
areanod 04.04.2016 aktualisiert um 19:16:04 Uhr
Goto Top
Zitat von @Bluebear89:

Es kommt aber immer die Meldung: "Der Anmeldeversuch ist Fehlgeschlagen"



Ha!

Das gleiche Problem hatte ich unlängst mit ipsec via Mikrotik.

Lösung des Problems in meinem Fall: fasttrack connections deaktivieren!

Andere mögliche Probleme: ist die MTU des VPN Tunnels korrekt eingestellt?

Wenn ein Router dazwischen versucht zu fragmentieren und die Packets haben das Do-Not-Fragment-Flag gesetzt wird dir die Verbindung fehlschlagen.

Lg


NACHTRAG:
Tja, nachgedacht mit Impulskraft während mit Warpgeschwindigkeit das Mundwerk / die Tastatur gelaufen ist.
Es ist zwar generell eine gute Idee zu checken, ob die MTUs beim VPN passen, habe jetzt aber noch einmal genauer in die Ereignislog-Anzeige hineingeschaut.

Fehlerursache: Die Domänen-SID ist inkonsistent. 

Darf ich davon ausgehen, dass du die Server im Hyper-V von einem Template einfach kopiert hast?
Wenn JA: Hast du SYSPREP laufen lassen?

lG
117471
117471 04.04.2016 um 20:03:01 Uhr
Goto Top
Mal 'ne ganz andere Frage: Kennt der Terminalserver eigentlich den Weg ins VPN?
broecker
broecker 04.04.2016 um 20:59:31 Uhr
Goto Top
und/oder der DNS-Server?! (und wird auf den in der VPN-Config bezug genommen?)
HG
Mark
Bluebear89
Bluebear89 04.04.2016 aktualisiert um 21:12:14 Uhr
Goto Top
Hoi

@DopeEx1991
Habe ich angeschaut, aber nichts entdeckt. Sonnst sollten doch die anderen Server auch nicht via RDP errechbar sein. Es können sich nur die Benutzer nicht anmelden. Als lokaler Admin vom Server kann ich mich Anmelden. Zum Testen habe ich vom VPN in die LAN Zone alle Ports geöffnet, hat aber keinen unterschied gebracht.

@areanod
Gute Frage wie der MTU wert ist, dies muss ich Prüfen.

Ehm kann ich dir leider nicht sagen, da wir die IT dieser Firma übernommen haben war das soweit eingerichtet.
SYSREP müsste ich mal machen allenfalls.

@fa-jka
Sollte er eigentlich kennen. Überprüfe ich aber auch noch.


Komischerweise tritt das Problem erst seit kurzem auf. Vor ein paar Wochen war der Zugriff noch IO, also muss ja irgend was passiert sein in dieser zeit. Werde eure Vorschläge mal Prüfen bis ende Woche.
Danke an alle!
emeriks
emeriks 05.04.2016 um 08:37:29 Uhr
Goto Top
@Bluebear89
Mit Anmeldefenster meinst Du den kleinen Dialog und nicht etwa ein Fenster, in welchem die Anmeldemaske des Servers zu sehen ist?
Data61
Data61 26.08.2016 um 10:27:13 Uhr
Goto Top
Da noch nicht gelöst ?
Würde mich mal mit IP Adresse in RDP Fenster statt der DNS Adresse anmelden.
Das ist bei mir das Problem. Mit IP geht LogIN gebe ich Name des Rechners ein. Dreht er mir Nase.