5
Windows Server 2003 Terminal Server - RPC Server nicht verfügbar
Hallo
Ich habe einen Windows Server 2003 als Terminal Server, der leider noch benötigt wird.
Die DC sind beide auf 2019. Bis vor einiger Zeit gab es noch einen DC mit 2008. Der ist aber runtergerüstet.
Seit der 2008er DC weg ist, klappt die RDP Verbindung auf den Server 2003 nicht mehr mit Domänenbenutzern.
Lokale Benutzer via RDP: Geht.
Domänen Benutzer via Konsole: Geht.
Domänen Benutzer via RDP:
"Das System kann Sie aufgrund des folgenden Fehlers nicht anmelden: Der RPC-Server ist nicht verfügbar. Wiederholen Sie den Vorgang, oder setzen Sie sich mit Ihrem Systemadministrator in Verbindung.
Den 2003er aus der Domäne raus wäre eine Notlösung. Der kann dann allerdings ja auch nicht mehr auf Netzlaufwerke zugreifen. Dann müsste ich die Daten, die er braucht auch lokal ablegen und eben die Benutzer per Hand auf dem Server lokal anlegen. Das wäre eine Möglichkeit zur Not.
Hat sonst jemand eine Idee, was man einstellen muss, damit das wieder funktioniert?
Danke
Ich habe einen Windows Server 2003 als Terminal Server, der leider noch benötigt wird.
Die DC sind beide auf 2019. Bis vor einiger Zeit gab es noch einen DC mit 2008. Der ist aber runtergerüstet.
Seit der 2008er DC weg ist, klappt die RDP Verbindung auf den Server 2003 nicht mehr mit Domänenbenutzern.
Lokale Benutzer via RDP: Geht.
Domänen Benutzer via Konsole: Geht.
Domänen Benutzer via RDP:
"Das System kann Sie aufgrund des folgenden Fehlers nicht anmelden: Der RPC-Server ist nicht verfügbar. Wiederholen Sie den Vorgang, oder setzen Sie sich mit Ihrem Systemadministrator in Verbindung.
Den 2003er aus der Domäne raus wäre eine Notlösung. Der kann dann allerdings ja auch nicht mehr auf Netzlaufwerke zugreifen. Dann müsste ich die Daten, die er braucht auch lokal ablegen und eben die Benutzer per Hand auf dem Server lokal anlegen. Das wäre eine Möglichkeit zur Not.
Hat sonst jemand eine Idee, was man einstellen muss, damit das wieder funktioniert?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93710503026
Url: https://administrator.de/contentid/93710503026
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Ach ja:
DNS Eintrag für den Server existiert und ping geht durch.
Fehler ist unabhängig vom Client und auch vom Benutzer, mit dem man sich anmelden will.
Zeitzone ist korrekt und Uhrzeit auch.
Dienst "Remoteregistrierung" ist gestartet .
Dienst "TCP/IP NetBIOS-Helfer" ist gestartet auf dem 2003.
Dienst "Anmeldedienst" ist gestartet auf dem 2003.
Dienst "RPC-Locator" ist gestartet auf dem 2003.
DNS Eintrag für den Server existiert und ping geht durch.
Fehler ist unabhängig vom Client und auch vom Benutzer, mit dem man sich anmelden will.
Zeitzone ist korrekt und Uhrzeit auch.
Dienst "Remoteregistrierung" ist gestartet .
Dienst "TCP/IP NetBIOS-Helfer" ist gestartet auf dem 2003.
Dienst "Anmeldedienst" ist gestartet auf dem 2003.
Dienst "RPC-Locator" ist gestartet auf dem 2003.
Welches Funktionslevel hat den die Domain?
Welche Version hat RDP auf dem W2K3 Server?
Welche RDP Version verwenden die Clients?
Eventuell Firewallproblem?
Was läuft auf dem W2K3 Terminalserver? Warum ist das noch lange nicht abgelöst worden?
Welche RDP Version verwenden die Clients?
Eventuell Firewallproblem?
Was läuft auf dem W2K3 Terminalserver? Warum ist das noch lange nicht abgelöst worden?
Hi hausrocker,
Server 2019 schaltet die für WinSrv2K3/XP nötige RC4-Verschlüsselung für Kerberos-Tickets ab, daher können die nicht mehr miteinander reden.
Habe das Thema leider selbst noch an der Backe, hier läuft noch ein Schwung Legacy-Systeme, mittlerweile aber in einem separaten AD und komplett isoliert.
Evtl. würde es mit einem DC auf Basis Server 2016 noch funktionieren, allerdings hältst du dann im Gesamtnetz Legacy-Protokolle (bspw. SMBv1) aktiv, die eigentlich schon lange weg müssten.
Ich würde dir daher empfehlen, den Server aus dem AD zu nehmen (+ ggf. eigenes VLAN / DMZ, falls nicht schon geschehen) und die Netzlaufwerke manuell zu mounten o.ä. - nicht schön, aber in meinen Augen der Weg mit dem geringsten Übel für das Gesamtnetz.
Viele Grüße
mxrecord
Server 2019 schaltet die für WinSrv2K3/XP nötige RC4-Verschlüsselung für Kerberos-Tickets ab, daher können die nicht mehr miteinander reden.
Habe das Thema leider selbst noch an der Backe, hier läuft noch ein Schwung Legacy-Systeme, mittlerweile aber in einem separaten AD und komplett isoliert.
Evtl. würde es mit einem DC auf Basis Server 2016 noch funktionieren, allerdings hältst du dann im Gesamtnetz Legacy-Protokolle (bspw. SMBv1) aktiv, die eigentlich schon lange weg müssten.
Ich würde dir daher empfehlen, den Server aus dem AD zu nehmen (+ ggf. eigenes VLAN / DMZ, falls nicht schon geschehen) und die Netzlaufwerke manuell zu mounten o.ä. - nicht schön, aber in meinen Augen der Weg mit dem geringsten Übel für das Gesamtnetz.
Viele Grüße
mxrecord
4
Hi mxrecord
Danke für die Hintergrundinfo als Begründung. Klingt wie ein Plan.
Wie kriege ich denn die Netzlaufwerke wieder eingebunden manuell?
Den NetApp und seine CIFS Shares und auch einen Windows Server mit Freigaben kann ich zwar anpingen (sowohl via IP als auch DNS Namen), Zugriff geht aber mit einer lokalen Sitzung nicht. Es wird nicht mal die Freigabe gefunden via \\IP\ oder \\DNSName\, bringt beides "wurde nicht gefunden".
Wenn ich mich via Domänenadmin auf der Konsole einlogge, dann geht beides. Ich hätte ja an SMB 1.0 gedacht. Aber dann dürfte das ja auch in der Konsole nicht gehen mit dem Domänenadmin.
Separieren ist auf jeden Fall noch geplant. Domäne dafür behalten bei nur dem einen Server eher nicht.
Danke für die Hintergrundinfo als Begründung. Klingt wie ein Plan.
Wie kriege ich denn die Netzlaufwerke wieder eingebunden manuell?
Den NetApp und seine CIFS Shares und auch einen Windows Server mit Freigaben kann ich zwar anpingen (sowohl via IP als auch DNS Namen), Zugriff geht aber mit einer lokalen Sitzung nicht. Es wird nicht mal die Freigabe gefunden via \\IP\ oder \\DNSName\, bringt beides "wurde nicht gefunden".
Wenn ich mich via Domänenadmin auf der Konsole einlogge, dann geht beides. Ich hätte ja an SMB 1.0 gedacht. Aber dann dürfte das ja auch in der Konsole nicht gehen mit dem Domänenadmin.
Separieren ist auf jeden Fall noch geplant. Domäne dafür behalten bei nur dem einen Server eher nicht.
