dfritsc

Neuer Windows Server 2025 nicht erreichbar per RDS

Guten Tag,

ich habe einen neuen Server mit Windows Server 2025 Betriebssystem, dieser ist, wie auch der Vorgänger, am Standort A untergebracht und hat nun auch die selbe IP. Der Alte Server befindet sich auch noch im Netzwerk, aber mit einer neuen IP. Die Mitarbeiter können sich nur vom Standort A aus mit ihm verbinden (per RDS), von den Standorten B und C jedoch nicht. Die Standorte B und C sind über dyndns mit Standort A verbunden. Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden. Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Ich kann den neuen Server aber anpingen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673139

Url: https://administrator.de/forum/windows-server-rds-verbindung-673139.html

Ausgedruckt am: 05.06.2025 um 20:06 Uhr

MysticFoxDE
MysticFoxDE 02.06.2025 um 12:08:38 Uhr
Goto Top
Moin @dfritsc,

Ich kann den neuen Server aber anpingen.

schalte mal auf dem Server testweise die FireWall aus.

Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled False

Gruss Alex
dfritsc
dfritsc 02.06.2025 aktualisiert um 12:15:20 Uhr
Goto Top
Hallo @MysticFoxDE,

vielen Dank für deinen Hinweis, es leider keine Auswirkungen. In der Firewall sind ist der Port 3389 auch freigegeben. (wenn diese aktiv ist)
DivideByZero
DivideByZero 02.06.2025 um 12:16:55 Uhr
Goto Top
Moin,

Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden.
bedeutet das, dass im Normalbetrieb der Server ohne VPN von außen genutzt wird, also direkt im Internet steht? Das ist sicherheitstechnisch echt übel.

Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Heißt was? Wenn Du 3 Standorte hast, kannst Du doch ganz einfach den gesamten Standort tunneln, also Router - Router-Tunnel, kein Road Warrior. Dann hast Du genau 2 Tunnel (A-B, A-C). Oder wie meinst Du das?

Gruß

DivideByZero
dfritsc
dfritsc 02.06.2025 um 12:24:37 Uhr
Goto Top
Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden.
bedeutet das, dass im Normalbetrieb der Server ohne VPN von außen genutzt wird, also direkt im Internet steht? Das ist sicherheitstechnisch echt übel.
Im normalbetrieb sind die Standorte per DYNDNS verbunden. Dann kommt man auf den Server. Ohne DYNDNS von außen kommt man nicht auf den Server. Das wäre fahrlässig.

Heißt was? Wenn Du 3 Standorte hast, kannst Du doch ganz einfach den gesamten Standort tunneln, also Router - Router-Tunnel, kein Road Warrior. Dann hast Du genau 2 Tunnel (A-B, A-C). Oder wie meinst Du das?
Das habe ich auch überlegt, statt DYNDNS VPN (WIREguard in den Fritzboxen zu verwenden). Ich weiß nur nich ob es das eigentliche Problem löst, oder nur "maskiert".
DivideByZero
DivideByZero 02.06.2025 aktualisiert um 12:29:57 Uhr
Goto Top
Im normalbetrieb sind die Standorte per DYNDNS verbunden. Dann kommt man auf den Server. Ohne DYNDNS von außen kommt man nicht auf den Server. Das wäre fahrlässig.
?? DynDNS ist doch nichts anderes als ein dynamisches Mapping einer Domain auf eine IP, die ggf. wechselt. Per DynDNS kann da gar nichts verbunden sein, das ist doch eine Adressierungsfrage. Wenn da also einfach nur RDP genutzt wird, dann ist der Server unter seiner (jeweiligen) IP ungeschützt im Netz und z.B. Freiwild für diejenigen, die einfach IP-Adresskreise ausprobieren (da braucht es kein DynDNS, da bist Du einfach Beifang).
Daher ja, fahrlässig und nachhaltig unsicher, wenn damit das Tor ins LAN geöffnet wird.

Das habe ich auch überlegt, statt DYNDNS VPN (WIREguard in den Fritzboxen zu verwenden). Ich weiß nur nich ob es das eigentliche Problem löst, oder nur "maskiert".
Du hast doch gesagt, es klappt, und da meiner Meinung nach eine professionelle Lösung ohne Schutz (also hier ohne VPN) nicht infrage kommt, ja, Wireguard einrichten. Da Du von der Mehrzahl redest, sind ja offenbar überall Fritzboxen im Einsatz. Dann geht es gar nicht einfacher: fritz.com/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/.
aqui
aqui 02.06.2025 aktualisiert um 12:40:15 Uhr
Goto Top
Die Standorte B und C sind über dyndns mit Standort A verbunden
Wie macht man das denn nur mit DynDNS? Klingt spannend! Da wären Details einmal ganz interessant.
Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Deshalb gehört auch eine Plaste Consumer Box wie die Fritte bekanntlich NICHT in ein Firmennetzwerk!! Das sollte man als verantwortungsvoller Admin eigentlich auch wissen. Details dazu hier.
dfritsc
dfritsc 02.06.2025 um 12:39:39 Uhr
Goto Top
?? DynDNS ist doch nichts anderes als ein dynamisches Mapping einer Domain auf eine IP, die ggf. wechselt. Per DynDNS kann da gar nichts verbunden sein, das ist doch eine Adressierungsfrage. Wenn da also einfach nur RDP genutzt wird, dann ist der Server unter seiner (jeweiligen) IP ungeschützt im Netz und z.B. Freiwild für diejenigen, die einfach IP-Adresskreise ausprobieren (da braucht es kein DynDNS, da bist Du einfach Beifang).
Daher ja, fahrlässig und nachhaltig unsicher, wenn damit das Tor ins LAN geöffnet wird.
Ah, ok. Danke für den Hinweis. Neben dem DYNDNS haben wir ein VPN (IPsec zwischen den Standorten).


Du hast doch gesagt, es klappt, und da meiner Meinung nach eine professionelle Lösung ohne Schutz (also hier ohne VPN) nicht infrage kommt, ja, Wireguard einrichten. Da Du von der Mehrzahl redest, sind ja offenbar überall Fritzboxen im Einsatz. Dann geht es gar nicht einfacher: fritz.com/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/.
Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen, habe nur nicht daran gedacht. Verbindungen sind auch offen.

Zudem hat es mit dem vorherigen Server auch geklappt.
aqui
aqui 02.06.2025 aktualisiert um 12:42:33 Uhr
Goto Top
Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen
Ist gleichwertig und klappt auch. Mit den mickrigen Ressourcen eine Plaste Consumerbox aber, wie oben schon gesagt, eben nur sehr schlecht und wenig skalierbar. Nur das du das als Admin auf dem Radar hast.
dfritsc
dfritsc 02.06.2025 um 12:56:49 Uhr
Goto Top
Zitat von @aqui:

Die Standorte B und C sind über dyndns mit Standort A verbunden
Wie macht man das denn nur mit DynDNS? Klingt spannend! Da wären Details einmal ganz interessant.
Ich kann es dir die Tage mal zukommen lassen.

Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Deshalb gehört auch eine Plaste Consumer Box wie die Fritte bekanntlich NICHT in ein Firmennetzwerk!! Das sollte man als verantwortungsvoller Admin eigentlich auch wissen. Details dazu hier.
Das mag wohl sein, nur halt es vorher ja auch funktioniert.
DivideByZero
DivideByZero 02.06.2025 aktualisiert um 13:00:48 Uhr
Goto Top
Ah, ok. Danke für den Hinweis. Neben dem DYNDNS haben wir ein VPN (IPsec zwischen den Standorten).
Über die Fritzboxen? Dann aus Geschwindigkeitsgründen austauschen gegen Wireguard, das performt signifikant besser auf der Fritzbox.

Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen, habe nur nicht daran gedacht.
VPN ist VPN, wichtig ist das Protokoll, das genutzt wird. Es gibt da alte unsichere Hündchen (PPTP), und dann solche, die nach heutigem Stand als sicher gelten (OpenVPN, IPSec, WireGuard), die jeweils ihre Vor- und Nachteile haben. Wenn es aber für die Anforderungen vor Ort passt, die ja sehr unterschiedlich sein können, dann geht jedes davon.

Verbindungen sind auch offen.
Heißt was?
dfritsc
dfritsc 02.06.2025 um 13:04:37 Uhr
Goto Top
Über die Fritzboxen? Dann aus Geschwindigkeitsgründen austauschen gegen Wireguard, das performt signifikant besser auf der Fritzbox.
Das mache ich, wenn der Server wieder erreichbar ist.

Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen, habe nur nicht daran gedacht.
VPN ist VPN, wichtig ist das Protokoll, das genutzt wird. Es gibt da alte unsichere Hündchen (PPTP), und dann solche, die nach heutigem Stand als sicher gelten (OpenVPN, IPSec, WireGuard), die jeweils ihre Vor- und Nachteile haben. Wenn es aber für die Anforderungen vor Ort passt, die ja sehr unterschiedlich sein können, dann geht jedes davon.
Danke für den Hinweis. face-smile

Verbindungen sind auch offen.
Heißt was?
Das die Router sich gegenseitig sehen können und die VPN Verbindungen laufen. (Offen ist da die flasche Wortwahl)
DivideByZero
DivideByZero 02.06.2025 um 13:10:26 Uhr
Goto Top
Über die Fritzboxen? Dann aus Geschwindigkeitsgründen austauschen gegen Wireguard, das performt signifikant besser auf der Fritzbox.
Das mache ich, wenn der Server wieder erreichbar ist.

Ich bin verwirrt, Du hast doch oben geschrieben, über VPN lüppt das.
MysticFoxDE
MysticFoxDE 02.06.2025 um 13:27:16 Uhr
Goto Top
Moin @dfritsc,

hast du auch schon mal versucht, die RDP Verbindung per TCP anstelle von UDP aufzubauen?

Details dazu siehe z.B. hier:
https://itv4.de/rdp-verbindungen-von-udp-zu-tcp-umstellen/

Gruss Alex
MysticFoxDE
MysticFoxDE 02.06.2025 aktualisiert um 13:31:41 Uhr
Goto Top
Moin @dfritsc,

Das mag wohl sein, nur halt es vorher ja auch funktioniert.

ähm, hast du nach der Umstellung des Servers die Fritze am Standort A auch schon mal neu gestartet?

Kannst du mal ...

ipconfig /all

auf dem Server ausführen und die Ausgabe davon, mal hier zurückposten.
Aber bitte das vorherige "schwärzen" von eventuell kritischen Infos nicht vergessen.

Gruss Alex
dfritsc
dfritsc 02.06.2025 um 13:40:44 Uhr
Goto Top
Guten Tag,

vielen Dank für deinen Hinweis.
hast du auch schon mal versucht, die RDP Verbindung per TCP anstelle von UDP aufzubauen?

Details dazu siehe z.B. hier:
https://itv4.de/rdp-verbindungen-von-udp-zu-tcp-umstellen/
Ich habe es probiert, leider ändert es nicht. Auf den "alten" Terminalserver komme ich noch und es wird auch angezeigt, dass er TCP nutzt, auf "neuen" komme ich jedoch nicht.
dfritsc
dfritsc 02.06.2025 um 13:51:35 Uhr
Goto Top
Hallo @MysticFoxDE,

einmal die Infos. wenn du etwas bestimmtes brachst nehme ich veränderte Informationen.
capture1
capture2
MysticFoxDE
MysticFoxDE 02.06.2025 um 14:03:50 Uhr
Goto Top
Moin @dfritsc,

einmal die Infos. wenn du etwas bestimmtes brachst nehme ich veränderte Informationen.

😯 ... Hyper-V Virtual Ethernet Adapter ... ähm, das wird nun etwas komplizierter. 😬

Kannst du mal bitte eine möglichst genaue Skizze von deinem Netzaufbau erstellen und hier posten, danke.
Standort A reicht erstmal aus.

Gruss Alex
support-m
support-m 02.06.2025 um 14:55:24 Uhr
Goto Top
Zitat von @dfritsc:

Guten Tag,

ich habe einen neuen Server mit Windows Server 2025 Betriebssystem, dieser ist, wie auch der Vorgänger, am Standort A untergebracht und hat nun auch die selbe IP. Der Alte Server befindet sich auch noch im Netzwerk, aber mit einer neuen IP. Die Mitarbeiter können sich nur vom Standort A aus mit ihm verbinden (per RDS), von den Standorten B und C jedoch nicht. Die Standorte B und C sind über dyndns mit Standort A verbunden. Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden. Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Ich kann den neuen Server aber anpingen.

Hi,
könntest du mal beschreiben, was du eigentlich mit "kann sich nicht verbinden" meinst? Fehlermeldung? Anmeldung? Irgendeine Firewallsoftware installiert und nicht richtig konfiguriert? RDP Zugriff via DNS oder IP? Was sagt ein "Test-NetConnection ipOderDNSvomZielServer -port 3389" von den anderen Standorten aus? (3389 TCP muss freigegeben sein)?

MfG
ukulele-7
ukulele-7 02.06.2025 um 15:37:39 Uhr
Goto Top
Also das ist alles ziemlich wirr.

1) Warum eigentlich dieser IP-Wechsel beim alten Server, warum nicht einfach einen neuen Server mit einer IP im selben Netz? Geht es nur um Port-Forwarding? Jedenfalls macht das alles schnell unübersichtlich.

2) RDP != RD-Session Host. Am Anfang war nur von RDP die Rede, jetzt von einem Terminal Server. Kannst du dich von intern verbinden? Wie sieht der Fehler aus, kannst du den Server nicht erreichen? Nutzt du die RDP-File mit Angabe der Collection oder versuchst du dich als Admin zu verbinden?

3) Hyper-V. Was ist jetzt neu, der Hyper-V Host oder die VM mit RD-SH?

4) Ist eventuell auch die Domäne komplett neu aufgesetzt? Sind eventuell beide Server noch als DC aktiv mit dem selben Domänennamen?

Mir dämmern da Probleme.
user217
user217 02.06.2025 um 15:57:26 Uhr
Goto Top
Das hört sich ja echt wild an was du da alles baust ;)
Verabschiede dich bitte von FritzBox, DynDns und dem SoHo gerümpel, am ende kostet das mehr als was vernünftiges.
Evtl. hast du auf den Clients eine GPO im Einsatz welche das unverschlüsselte verbinden zum WTS host verbietet und der neue hat noch kein Zertifikat.
gammelobst
gammelobst 02.06.2025 um 15:59:31 Uhr
Goto Top
Hallo,

wie verbindest du dich genau mit dem alten RDS?
Dyndns-name + port per RDP-Client?
oder
VPN-Client verbinden und dann auf die interne IP per RDP?

cya