Terminalserver Anmeldung über VPN nicht möglich

Mitglied: Bluebear89

Bluebear89 (Level 1) - Jetzt verbinden

04.04.2016, aktualisiert 16:26 Uhr, 2185 Aufrufe, 10 Kommentare

Guten Tag Zusammen

Zur Zeit habe ich ein Problem mit dem Terminalserver.
Und zwar kann man sich nicht auf den Server anmelden via VPN, ist man aber vor Ort oder auf einem anderen Server in der Domain funktioniert die Anmeldung Problemlos. Die MA arbeiten via RDP auf einem dem Terminalserver 2008 R2, dies funktioniert auch solange sie inhouse arbeiten, aber sobald sie von aussen arbeit wollen schlägt die Anmeldung fehl. Egal ob mit User oder Admin konto.
Die Domain Besten aus 3 DC (MAINSERVER, COMMSERVER, SQLSERVER) und diese Laufen auf 2 HyperV Servern ab.
Denkt ihr das die AD einen Schuss hat und neu aufgebaut werden muss?

Schräger Text ist aus dem Ereignisslog

Fehler beim Anmelden eines Kontos.

Ereigniss Fehler
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: [USER]
Kontodomäne: [ZIEL-DOMAIN]

Fehlerinformationen:
Fehlerursache: Die Domänen-SID ist inkonsistent.
Status: 0xc000006d
Unterstatus:: 0xc000019b

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: [REMOTE-PC]
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.



Mit freundlichen Grüßen
Andi
Mitglied: emeriks
04.04.2016 um 16:13 Uhr
Hi,
also erstens solltest Du Zitate (z.B. aus Eventlog-Medungen) kenntlich machen, damit man sie von Deinem Text unterscheiden kann.

Zweitens: Nein, nicht AD neu aufsetzen. Baust Du ein neues Haus, wenn das Fenster nur Samstags nicht aufgeht?

Wie weit kommt man denn noch, wenn man über VPN geht? Kann der VPN-Client den TS denn überhaupt erreichen?

E.
Bitte warten ..
Mitglied: beidermachtvongreyscull
04.04.2016 um 16:15 Uhr
Ich nehme mal an, dass die Sicherheitseinstellung der RDP-Sitzungen etwas zu hoch sind und vom VPN nicht widergespiegelt werden.
Schau doch mal auf dem TS unter "konfiguration des Remotedesktop-Hosts", Eigenschaften von RDP-tcp.
Ist ein Haken bei "Nur Verbindungen von Computern zulassen, auf denen der Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird." dann mach den mal raus.
Bitte warten ..
Mitglied: Bluebear89
04.04.2016, aktualisiert um 17:03 Uhr
Danke für die Rasche Antwort!

@emeriks
Habe den Text editiert, bitte entschuldige.

Ja da gebe ich die vollkommen recht. Wir durften diese IT so übernehmen und da hat vorher jemand schon gewaltig rumgebastelt. Vor 1-2 Monaten hatte das Problem das die DC nicht mehr Repliziert haben, dies konnte ich aber beheben.

Ja man kann den Server erreichen, sprich das Anmeldefenster erscheint, Benutzername und Passwort Eingabe ist möglich. Es kommt aber immer die Meldung: "Der Anmeldeversuch ist Fehlgeschlagen"

@beidermachtvongreyscull
Danke!
Haken ist nicht drin
Bitte warten ..
Mitglied: DopeEx1991
04.04.2016 um 18:06 Uhr
Hi,
Hat denn die Firewall/das VPN-Gateway irgendwelche Verweigerungen oder Fehler protokolliert?

LG
Bitte warten ..
Mitglied: areanod
04.04.2016, aktualisiert um 19:16 Uhr
Zitat von @Bluebear89:

Es kommt aber immer die Meldung: "Der Anmeldeversuch ist Fehlgeschlagen"


Ha!

Das gleiche Problem hatte ich unlängst mit ipsec via Mikrotik.

Lösung des Problems in meinem Fall: fasttrack connections deaktivieren!

Andere mögliche Probleme: ist die MTU des VPN Tunnels korrekt eingestellt?

Wenn ein Router dazwischen versucht zu fragmentieren und die Packets haben das Do-Not-Fragment-Flag gesetzt wird dir die Verbindung fehlschlagen.

Lg


NACHTRAG:
Tja, nachgedacht mit Impulskraft während mit Warpgeschwindigkeit das Mundwerk / die Tastatur gelaufen ist.
Es ist zwar generell eine gute Idee zu checken, ob die MTUs beim VPN passen, habe jetzt aber noch einmal genauer in die Ereignislog-Anzeige hineingeschaut.


Darf ich davon ausgehen, dass du die Server im Hyper-V von einem Template einfach kopiert hast?
Wenn JA: Hast du SYSPREP laufen lassen?

lG
Bitte warten ..
Mitglied: altmetaller
04.04.2016 um 20:03 Uhr
Mal 'ne ganz andere Frage: Kennt der Terminalserver eigentlich den Weg ins VPN?
Bitte warten ..
Mitglied: broecker
04.04.2016 um 20:59 Uhr
und/oder der DNS-Server?! (und wird auf den in der VPN-Config bezug genommen?)
HG
Mark
Bitte warten ..
Mitglied: Bluebear89
04.04.2016, aktualisiert um 21:12 Uhr
Hoi

@DopeEx1991
Habe ich angeschaut, aber nichts entdeckt. Sonnst sollten doch die anderen Server auch nicht via RDP errechbar sein. Es können sich nur die Benutzer nicht anmelden. Als lokaler Admin vom Server kann ich mich Anmelden. Zum Testen habe ich vom VPN in die LAN Zone alle Ports geöffnet, hat aber keinen unterschied gebracht.

@areanod
Gute Frage wie der MTU wert ist, dies muss ich Prüfen.

Ehm kann ich dir leider nicht sagen, da wir die IT dieser Firma übernommen haben war das soweit eingerichtet.
SYSREP müsste ich mal machen allenfalls.

@FA-jka
Sollte er eigentlich kennen. Überprüfe ich aber auch noch.


Komischerweise tritt das Problem erst seit kurzem auf. Vor ein paar Wochen war der Zugriff noch IO, also muss ja irgend was passiert sein in dieser zeit. Werde eure Vorschläge mal Prüfen bis ende Woche.
Danke an alle!
Bitte warten ..
Mitglied: emeriks
05.04.2016 um 08:37 Uhr
@Bluebear89
Mit Anmeldefenster meinst Du den kleinen Dialog und nicht etwa ein Fenster, in welchem die Anmeldemaske des Servers zu sehen ist?
Bitte warten ..
Mitglied: Data61
26.08.2016 um 10:27 Uhr
Da noch nicht gelöst ?
Würde mich mal mit IP Adresse in RDP Fenster statt der DNS Adresse anmelden.
Das ist bei mir das Problem. Mit IP geht LogIN gebe ich Name des Rechners ein. Dreht er mir Nase.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 20 StundenFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...

Soziale Netzwerke
Anzahl Postings auslesen
gelöst r2d2r3poVor 1 TagFrageSoziale Netzwerke13 Kommentare

Hallo, habe seit 2014 eine Fanpage und wir posten jeden Tag. Kennt jemand einen Weg wie man die Anzahl der Postings seit 2014 auslesen ...

Windows 10
Lizenzfrage WDS mit Windows 10 OEM und E3 für Enterprise
noodellsVor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen, ich habe mal eine generelle Lizenzfrage zum Thema WDS. Ich möchte mehrere PCs installieren, die schon vom Hersteller eine funktionierende Windows 10 ...

Hardware
COM-Ports verstellen sich immer wieder
gelöst hanheikVor 1 TagFrageHardware6 Kommentare

Hallo, an 3 neuen Windows 10-Rechnern sind Strichcode-Scanner (mit RS232-Schnittstelle) per USB-Com-Adapter angeschlossen. Die anzusprechende Schnittstelle COMx ist jeweils in der Kassensoftware hinterlegt. Leider ...