usercrash
Goto Top

Verbindung zu Win2008R2-Terminalserver pausiert bei "Remoteverbindung wird gesichert"

Hallo allerseits,

Bezug (aus März 2011):
Verbindung zum Terminalserver dauert ...

Auch hier gibt es längere Pausen bei der Anmeldung an einem Win2008R2-Enterprise-Terminalserver bei "Remoteverbindung wird gesichert".

Konfig:
Win2008R2-Enterprise
Kein AD, kein DC, Arbeitsgruppe
RDP-Clients mit Win7prof-64, ein RDP-Client WinXP-Sp3 mit RDP-NLA-Patch (wg.alter Software),
!! alle Clients sind via Hardware-Firewall vom Internet getrennt !!

Und genau da vermute ich das Problem!?
Kann es sein, dass beim Aufbau der RDP-Verbindung irgendein Request in die unendlichen Weiten des Web erfolgt, der den Verbindungsaufbau beschleunigt? Dürfen die Clients auf das WWW zugreifen (im Regelbetrieb aber nicht beabsichtigt), scheint die Anmeldung schneller zu gehen.

Selten kommt ein gelbes Hinweisfenster 'Die Identität des Remotecomputers konnte nicht überprüft werden' bei der RDP Anmeldung, ob man der Verbindung zu Server XY wirklich vertrauen möchte. Klickt man 'Verbindung herstellen' und 'Nicht mehr fragen', ist Verbindung in den Folgewochen wieder ohne diesen Hinweis möglich.

Gibt es hier eine Lösung, vielleicht ohne Zertifikate?

Funktionieren Zertifikate überhaupt mit reinen Arbeitsgruppen und braucht man ein 'Kauf'zertifikat, welches von einer CA ausgestellt wurde?
Zudem scheint ein Zertifikat 'automatisch erstellt worden zu sein !?

Serverkonfig:
http://on.yourweb.de/rdp-anm.png

Danke und Gruß, uc

EDIT:
@ DerWoWusste:
"Prüfe bitte meinen Hinweis, es könnte auch ein falscher/veralteter DNS-Eintrag für einen Domänencontroller sein."


Ein DC ist/war nie eingerichtet, siehe Konfig oben. Wo würde ich solch veraltete Einträge finden?

Gruß, uc

Content-ID: 262394

Url: https://administrator.de/contentid/262394

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

BirdyB
BirdyB 05.02.2015 um 11:14:12 Uhr
Goto Top
Hallo usercrash,

da du ja kein AD betreibst: ist der Hostname deines Servers von den Clients per DNS auflösbar oder verbindest du RDP über die IP-Adresse? Bei letzterem solltest du mal einen DNS-EIntrag anlegen. Das könnte die Angelegenheit deutlich beschleunigen.
Die Zertifikate sollten kein Problem sein, hier sollte auch das selbst ausgestellte Zertifikat genügen...

Beste Grüße!


Berthold
usercrash
usercrash 05.02.2015 aktualisiert um 12:00:23 Uhr
Goto Top
Hallo und danke,

ja, Verbindung zum RDP-Server über IP-Adresse 192.168.1.1.

Auf dem Server ist kein DNS-Server installiert/aktiv, wo soll ich den DNS-Eintrag anlegen?
In der hosts-Datei der Win7-Clients?

This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
[...]
192.168.1.1 servername

Gruß, uc
BirdyB
BirdyB 05.02.2015 aktualisiert um 12:26:19 Uhr
Goto Top
Hallo usercrash,

dann wird in deinem Setup wahrscheinlich die IP deines Routers als DNS-Server verteilt? Falls das so ist, prüfe bitte, ob du auf deinem Router statische DNS-Einträge hinterlegen kannst und mache das dort.
Die hosts-Datei sollte immer der allerletzte Weg sein (falls man das überhaupt nutzt)

Beste Grüße!


Berthold

EDIT: Hab grade erst wieder daran gedacht, dass die Clients ja komplett vom Internet getrennt sind. Falls du garkeinen DNS-Zugriff hast, würde es sich vielleicht auch empfehlen einen kleinen DNS-Dienst für das lokale Netz aufzusetzen...
usercrash
usercrash 05.02.2015 um 18:06:01 Uhr
Goto Top
Hallo,

alle Clients, der Server und der Router haben fixe IP-Adressen, der Router fungiert als DNS-Server für WWW-Requests, allerdings hat nur der Server Zugriff auf Internet.

Habe mal eine der host-Dateien eines Win7-Clients ergänzt um die Auflösung der Server-IP:
This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
[...]
192.168.1.1 servername
Auch nach Reboot keine Besserung der Anmeldezeit.

Allerdings:
Die RDP-Anmeldemaske für den Server erscheint auf den Clients blitzartig, man kann User/Password eingeben, nur danach kommt die Kunstpause mit "Remoteverbindung wird gesichert". Steht die RDP-Verbindung, läuft alles stabil und performant.

Nach meinem Verständnis wurde der Server während der Abfrage der RDP-Anmeldung doch schon gefunden, oder?
Vielleicht liegt es nicht am DNS, sondern...???

Andere Ideen?

Danke + Gruß, uc
DerWoWusste
DerWoWusste 05.02.2015 um 23:30:13 Uhr
Goto Top
Hi.

Hast Du den geprüft, ob die Verbindung authentifiziert wurde? Ist ein Schloss-Icon im Balken am oberen Rand? Was kommt, wenn Du draufklickst, "authentifiziert über Kerberos"?
usercrash
usercrash 06.02.2015 um 08:44:50 Uhr
Goto Top
Guten Morgen,

am oberen Bilderand der RDP-Sitzung gibt es die übliche blaue Leiste mit "Verbindungsleiste lösen", der Server-IP und den Fenstericons, kein Schloß.

Kerboros: Wurde meines Wissens nie (aktiv) eingerichtet, der Server ist kein DC und nicht im AD, reine Arbeitsgruppe mit festen IP-Adressen,ist nicht sooo groß ;) .

Gruß uc
DerWoWusste
DerWoWusste 06.02.2015 um 09:24:23 Uhr
Goto Top
Ok, dann lass Deinen TS ein Zertifikat selbst erstellen, pfleg das ein auf Server und Client und dann läuft das auch schnell.
Ist alles schnell ergoogelt, hab gerade keine Zeit für Details.
usercrash
usercrash 06.02.2015 um 10:47:50 Uhr
Goto Top
Hallo,
der Server hat bereits ein Zertifikat erstellt, daran liegt es wohl nicht, siehe OP:
Serverkonfig:
http://on.yourweb.de/rdp-anm.png

Gruß uc
DerWoWusste
DerWoWusste 06.02.2015 um 10:57:54 Uhr
Goto Top
...und das ist am Client auch installiert?
usercrash
usercrash 06.02.2015 aktualisiert um 11:57:44 Uhr
Goto Top
Hallo,

das macht keinen Unterschied.

Serverauthentifizierung für TLS-1.0 eingestellt und kontrolliert nach:
https://technet.microsoft.com/de-de/library/cc770833.aspx

Ergibt ein Eigenzertifikat, 'Automatisch erstellt':
http://on.yourweb.de/rdp-anm.png

Meldet man sich von einem Win7-Client an, kommt folgende Warnung:
http://on.yourweb.de/crt.png

Ist m.E.klar, da das Eigenzertifikat nicht von einer CA stammt.

Es ist egal, ob man dieses Zertifikat auf dem Client installiert (landet im certmgr.msc-Speicher Zwischenzertifizierungsstellen) oder nicht:
Es dauert...

Gruß uc
DerWoWusste
DerWoWusste 06.02.2015 um 12:59:01 Uhr
Goto Top
landet im certmgr.msc-Speicher Zwischenzertifizierungsstellen
...und genau das ist der Fehler. In der Meldung steht, wohin Du es manuell installieren musst. Windows' Wizard legt es in den falschen Ort.
usercrash
usercrash 08.02.2015 aktualisiert um 11:06:20 Uhr
Goto Top
Hallo,

angepriesen wird im Win7-Client "Speicher für vertrauenswürdige Stammzertifizierungsstellen".

Installiere ich das Eigenzertifikat des Servers auf dem Win7-Client dorthin, gibt es trotzdem die folgende Warnmeldung,
http://on.yourweb.de/crtinstall.png
die man mit 'Nicht erneut fragen' und 'Ja' wegklicken kann.

Zudem sind die Eigenzertifikate des Win2008-Servers nur 6 Monate gültig und müssten dann auf allen Clients jeweils neu installiert werden!?

Danke+ Gruß,uc
DerWoWusste
DerWoWusste 08.02.2015 um 11:32:23 Uhr
Goto Top
Das dürfte nicht so sein. Kontrolliere, ob das Zertifikat im Speicher angekommen ist.
usercrash
usercrash 08.02.2015, aktualisiert am 09.02.2015 um 13:32:44 Uhr
Goto Top
Hallo,
Zertifikat ist angekommen und gültig, siehe Screenshot 'wts...' direkt über dem gelben Warnfenster:
http://on.yourweb.de/crtinstall.png

Beim Installieren des Eigenzertifikates meldet der Win7-Client (richtigerweise):
http://on.yourweb.de/import.png

Gruß uc

Edit:
Zusätzliche Info:
Ein Remotedesktopgateway-Server ist nicht installiert, da der Zugriff auf das interne Lan und den Win2008-TS via VPN-Router läuft. Auf den Win2008-TS greifen nur MS-RDP-Clients via Lan (nicht via Web) zu. Nach meinem Verständnis ist der Aufbau einer authentifizierten TLS-Verbindung (mit gelbem Schloß in der RDP-Titelleiste) dafür nicht notwendig, CredSSP läuft mit NLA.
Werde langsam unglücklich... face-sad
usercrash
usercrash 03.06.2015 aktualisiert um 08:38:08 Uhr
Goto Top
Sodele, muss mir mal selbst antworten - Problem gelöst:

Bei Win7-RDP-Clients OHNE WWW-Zugang dauert das RDP-Login sehr lange, da automatisch vor dem RDP-Login erst auf widerufene Zertifikate geprüft wird via ctldl.windowsupdate.com. Und dieser Zugriff ist mangels WWW-Verbindung nicht möglich.

Abfrage kann man z.B. via gpedit.msc abstellen, siehe auch:
https://support.microsoft.com/de-de/kb/2677070/de

Für die Aktualisierung der Zertifikate muss man dann allerdings händisch sorgen, Anleitung ebenfalls im obigen Link...

Gruß, uc.
DerWoWusste
DerWoWusste 03.06.2015 um 10:06:37 Uhr
Goto Top
Moin.

Schön, dass Du eine Lösung gefunden hast. Dennoch verwunderlich, denn hier hat kein Rechner Internetzugang - dennoch keine solche Verzögerung.