Neuer Windows Server 2025 nicht erreichbar per RDS
Guten Tag,
ich habe einen neuen Server mit Windows Server 2025 Betriebssystem, dieser ist, wie auch der Vorgänger, am Standort A untergebracht und hat nun auch die selbe IP. Der Alte Server befindet sich auch noch im Netzwerk, aber mit einer neuen IP. Die Mitarbeiter können sich nur vom Standort A aus mit ihm verbinden (per RDS), von den Standorten B und C jedoch nicht. Die Standorte B und C sind über dyndns mit Standort A verbunden. Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden. Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Ich kann den neuen Server aber anpingen.
ich habe einen neuen Server mit Windows Server 2025 Betriebssystem, dieser ist, wie auch der Vorgänger, am Standort A untergebracht und hat nun auch die selbe IP. Der Alte Server befindet sich auch noch im Netzwerk, aber mit einer neuen IP. Die Mitarbeiter können sich nur vom Standort A aus mit ihm verbinden (per RDS), von den Standorten B und C jedoch nicht. Die Standorte B und C sind über dyndns mit Standort A verbunden. Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden. Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Ich kann den neuen Server aber anpingen.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673139
Url: https://administrator.de/forum/windows-server-rds-verbindung-673139.html
Ausgedruckt am: 05.06.2025 um 20:06 Uhr
21 Kommentare
Neuester Kommentar
Moin @dfritsc,
schalte mal auf dem Server testweise die FireWall aus.
Gruss Alex
Ich kann den neuen Server aber anpingen.
schalte mal auf dem Server testweise die FireWall aus.
Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled FalseGruss Alex
1
Hallo @MysticFoxDE,
vielen Dank für deinen Hinweis, es leider keine Auswirkungen. In der Firewall sind ist der Port 3389 auch freigegeben. (wenn diese aktiv ist)
vielen Dank für deinen Hinweis, es leider keine Auswirkungen. In der Firewall sind ist der Port 3389 auch freigegeben. (wenn diese aktiv ist)
Moin,
Gruß
DivideByZero
Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden.
bedeutet das, dass im Normalbetrieb der Server ohne VPN von außen genutzt wird, also direkt im Internet steht? Das ist sicherheitstechnisch echt übel.Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Heißt was? Wenn Du 3 Standorte hast, kannst Du doch ganz einfach den gesamten Standort tunneln, also Router - Router-Tunnel, kein Road Warrior. Dann hast Du genau 2 Tunnel (A-B, A-C). Oder wie meinst Du das?Gruß
DivideByZero
Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden.
bedeutet das, dass im Normalbetrieb der Server ohne VPN von außen genutzt wird, also direkt im Internet steht? Das ist sicherheitstechnisch echt übel.Heißt was? Wenn Du 3 Standorte hast, kannst Du doch ganz einfach den gesamten Standort tunneln, also Router - Router-Tunnel, kein Road Warrior. Dann hast Du genau 2 Tunnel (A-B, A-C). Oder wie meinst Du das?
Das habe ich auch überlegt, statt DYNDNS VPN (WIREguard in den Fritzboxen zu verwenden). Ich weiß nur nich ob es das eigentliche Problem löst, oder nur "maskiert".Im normalbetrieb sind die Standorte per DYNDNS verbunden. Dann kommt man auf den Server. Ohne DYNDNS von außen kommt man nicht auf den Server. Das wäre fahrlässig.
?? DynDNS ist doch nichts anderes als ein dynamisches Mapping einer Domain auf eine IP, die ggf. wechselt. Per DynDNS kann da gar nichts verbunden sein, das ist doch eine Adressierungsfrage. Wenn da also einfach nur RDP genutzt wird, dann ist der Server unter seiner (jeweiligen) IP ungeschützt im Netz und z.B. Freiwild für diejenigen, die einfach IP-Adresskreise ausprobieren (da braucht es kein DynDNS, da bist Du einfach Beifang).Daher ja, fahrlässig und nachhaltig unsicher, wenn damit das Tor ins LAN geöffnet wird.
Das habe ich auch überlegt, statt DYNDNS VPN (WIREguard in den Fritzboxen zu verwenden). Ich weiß nur nich ob es das eigentliche Problem löst, oder nur "maskiert".
Du hast doch gesagt, es klappt, und da meiner Meinung nach eine professionelle Lösung ohne Schutz (also hier ohne VPN) nicht infrage kommt, ja, Wireguard einrichten. Da Du von der Mehrzahl redest, sind ja offenbar überall Fritzboxen im Einsatz. Dann geht es gar nicht einfacher: fritz.com/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/.2
Die Standorte B und C sind über dyndns mit Standort A verbunden
Wie macht man das denn nur mit DynDNS? Klingt spannend! Da wären Details einmal ganz interessant.Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Deshalb gehört auch eine Plaste Consumer Box wie die Fritte bekanntlich NICHT in ein Firmennetzwerk!! Das sollte man als verantwortungsvoller Admin eigentlich auch wissen. Details dazu hier.?? DynDNS ist doch nichts anderes als ein dynamisches Mapping einer Domain auf eine IP, die ggf. wechselt. Per DynDNS kann da gar nichts verbunden sein, das ist doch eine Adressierungsfrage. Wenn da also einfach nur RDP genutzt wird, dann ist der Server unter seiner (jeweiligen) IP ungeschützt im Netz und z.B. Freiwild für diejenigen, die einfach IP-Adresskreise ausprobieren (da braucht es kein DynDNS, da bist Du einfach Beifang).
Daher ja, fahrlässig und nachhaltig unsicher, wenn damit das Tor ins LAN geöffnet wird.
Ah, ok. Danke für den Hinweis. Neben dem DYNDNS haben wir ein VPN (IPsec zwischen den Standorten).Daher ja, fahrlässig und nachhaltig unsicher, wenn damit das Tor ins LAN geöffnet wird.
Du hast doch gesagt, es klappt, und da meiner Meinung nach eine professionelle Lösung ohne Schutz (also hier ohne VPN) nicht infrage kommt, ja, Wireguard einrichten. Da Du von der Mehrzahl redest, sind ja offenbar überall Fritzboxen im Einsatz. Dann geht es gar nicht einfacher: fritz.com/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/.
Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen, habe nur nicht daran gedacht. Verbindungen sind auch offen.Zudem hat es mit dem vorherigen Server auch geklappt.
Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen
Ist gleichwertig und klappt auch. Mit den mickrigen Ressourcen eine Plaste Consumerbox aber, wie oben schon gesagt, eben nur sehr schlecht und wenig skalierbar. Nur das du das als Admin auf dem Radar hast.Zitat von @aqui:
Ich kann es dir die Tage mal zukommen lassen.Die Standorte B und C sind über dyndns mit Standort A verbunden
Wie macht man das denn nur mit DynDNS? Klingt spannend! Da wären Details einmal ganz interessant.Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Deshalb gehört auch eine Plaste Consumer Box wie die Fritte bekanntlich NICHT in ein Firmennetzwerk!! Das sollte man als verantwortungsvoller Admin eigentlich auch wissen. Details dazu hier.Ah, ok. Danke für den Hinweis. Neben dem DYNDNS haben wir ein VPN (IPsec zwischen den Standorten).
Über die Fritzboxen? Dann aus Geschwindigkeitsgründen austauschen gegen Wireguard, das performt signifikant besser auf der Fritzbox.Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen, habe nur nicht daran gedacht.
VPN ist VPN, wichtig ist das Protokoll, das genutzt wird. Es gibt da alte unsichere Hündchen (PPTP), und dann solche, die nach heutigem Stand als sicher gelten (OpenVPN, IPSec, WireGuard), die jeweils ihre Vor- und Nachteile haben. Wenn es aber für die Anforderungen vor Ort passt, die ja sehr unterschiedlich sein können, dann geht jedes davon.Verbindungen sind auch offen.
Heißt was?Über die Fritzboxen? Dann aus Geschwindigkeitsgründen austauschen gegen Wireguard, das performt signifikant besser auf der Fritzbox.
Das mache ich, wenn der Server wieder erreichbar ist.Wenn VPN (IPSEC) gleichwertig ist, dann sollte es klappen, habe nur nicht daran gedacht.
VPN ist VPN, wichtig ist das Protokoll, das genutzt wird. Es gibt da alte unsichere Hündchen (PPTP), und dann solche, die nach heutigem Stand als sicher gelten (OpenVPN, IPSec, WireGuard), die jeweils ihre Vor- und Nachteile haben. Wenn es aber für die Anforderungen vor Ort passt, die ja sehr unterschiedlich sein können, dann geht jedes davon.
Verbindungen sind auch offen.
Heißt was?Über die Fritzboxen? Dann aus Geschwindigkeitsgründen austauschen gegen Wireguard, das performt signifikant besser auf der Fritzbox.
Das mache ich, wenn der Server wieder erreichbar ist.Ich bin verwirrt, Du hast doch oben geschrieben, über VPN lüppt das.
Moin @dfritsc,
hast du auch schon mal versucht, die RDP Verbindung per TCP anstelle von UDP aufzubauen?
Details dazu siehe z.B. hier:
https://itv4.de/rdp-verbindungen-von-udp-zu-tcp-umstellen/
Gruss Alex
hast du auch schon mal versucht, die RDP Verbindung per TCP anstelle von UDP aufzubauen?
Details dazu siehe z.B. hier:
https://itv4.de/rdp-verbindungen-von-udp-zu-tcp-umstellen/
Gruss Alex
1
Moin @dfritsc,
ähm, hast du nach der Umstellung des Servers die Fritze am Standort A auch schon mal neu gestartet?
Kannst du mal ...
auf dem Server ausführen und die Ausgabe davon, mal hier zurückposten.
Aber bitte das vorherige "schwärzen" von eventuell kritischen Infos nicht vergessen.
Gruss Alex
Das mag wohl sein, nur halt es vorher ja auch funktioniert.
ähm, hast du nach der Umstellung des Servers die Fritze am Standort A auch schon mal neu gestartet?
Kannst du mal ...
ipconfig /allauf dem Server ausführen und die Ausgabe davon, mal hier zurückposten.
Aber bitte das vorherige "schwärzen" von eventuell kritischen Infos nicht vergessen.
Gruss Alex
Guten Tag,
vielen Dank für deinen Hinweis.
vielen Dank für deinen Hinweis.
hast du auch schon mal versucht, die RDP Verbindung per TCP anstelle von UDP aufzubauen?
Details dazu siehe z.B. hier:
https://itv4.de/rdp-verbindungen-von-udp-zu-tcp-umstellen/
Ich habe es probiert, leider ändert es nicht. Auf den "alten" Terminalserver komme ich noch und es wird auch angezeigt, dass er TCP nutzt, auf "neuen" komme ich jedoch nicht.Details dazu siehe z.B. hier:
https://itv4.de/rdp-verbindungen-von-udp-zu-tcp-umstellen/
Hallo @MysticFoxDE,
einmal die Infos. wenn du etwas bestimmtes brachst nehme ich veränderte Informationen.
einmal die Infos. wenn du etwas bestimmtes brachst nehme ich veränderte Informationen.
Moin @dfritsc,
😯 ... Hyper-V Virtual Ethernet Adapter ... ähm, das wird nun etwas komplizierter. 😬
Kannst du mal bitte eine möglichst genaue Skizze von deinem Netzaufbau erstellen und hier posten, danke.
Standort A reicht erstmal aus.
Gruss Alex
einmal die Infos. wenn du etwas bestimmtes brachst nehme ich veränderte Informationen.
😯 ... Hyper-V Virtual Ethernet Adapter ... ähm, das wird nun etwas komplizierter. 😬
Kannst du mal bitte eine möglichst genaue Skizze von deinem Netzaufbau erstellen und hier posten, danke.
Standort A reicht erstmal aus.
Gruss Alex
Zitat von @dfritsc:
Guten Tag,
ich habe einen neuen Server mit Windows Server 2025 Betriebssystem, dieser ist, wie auch der Vorgänger, am Standort A untergebracht und hat nun auch die selbe IP. Der Alte Server befindet sich auch noch im Netzwerk, aber mit einer neuen IP. Die Mitarbeiter können sich nur vom Standort A aus mit ihm verbinden (per RDS), von den Standorten B und C jedoch nicht. Die Standorte B und C sind über dyndns mit Standort A verbunden. Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden. Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Ich kann den neuen Server aber anpingen.
Guten Tag,
ich habe einen neuen Server mit Windows Server 2025 Betriebssystem, dieser ist, wie auch der Vorgänger, am Standort A untergebracht und hat nun auch die selbe IP. Der Alte Server befindet sich auch noch im Netzwerk, aber mit einer neuen IP. Die Mitarbeiter können sich nur vom Standort A aus mit ihm verbinden (per RDS), von den Standorten B und C jedoch nicht. Die Standorte B und C sind über dyndns mit Standort A verbunden. Wenn man sich per VPN zum Standort A verbindet, kann man sich mit dem Server verbinden. Jedoch kann die Fritzbox nicht alle Mitarbeiter über WireGuard aufnehmen.
Ich kann den neuen Server aber anpingen.
Hi,
könntest du mal beschreiben, was du eigentlich mit "kann sich nicht verbinden" meinst? Fehlermeldung? Anmeldung? Irgendeine Firewallsoftware installiert und nicht richtig konfiguriert? RDP Zugriff via DNS oder IP? Was sagt ein "Test-NetConnection ipOderDNSvomZielServer -port 3389" von den anderen Standorten aus? (3389 TCP muss freigegeben sein)?
MfG
Also das ist alles ziemlich wirr.
1) Warum eigentlich dieser IP-Wechsel beim alten Server, warum nicht einfach einen neuen Server mit einer IP im selben Netz? Geht es nur um Port-Forwarding? Jedenfalls macht das alles schnell unübersichtlich.
2) RDP != RD-Session Host. Am Anfang war nur von RDP die Rede, jetzt von einem Terminal Server. Kannst du dich von intern verbinden? Wie sieht der Fehler aus, kannst du den Server nicht erreichen? Nutzt du die RDP-File mit Angabe der Collection oder versuchst du dich als Admin zu verbinden?
3) Hyper-V. Was ist jetzt neu, der Hyper-V Host oder die VM mit RD-SH?
4) Ist eventuell auch die Domäne komplett neu aufgesetzt? Sind eventuell beide Server noch als DC aktiv mit dem selben Domänennamen?
Mir dämmern da Probleme.
1) Warum eigentlich dieser IP-Wechsel beim alten Server, warum nicht einfach einen neuen Server mit einer IP im selben Netz? Geht es nur um Port-Forwarding? Jedenfalls macht das alles schnell unübersichtlich.
2) RDP != RD-Session Host. Am Anfang war nur von RDP die Rede, jetzt von einem Terminal Server. Kannst du dich von intern verbinden? Wie sieht der Fehler aus, kannst du den Server nicht erreichen? Nutzt du die RDP-File mit Angabe der Collection oder versuchst du dich als Admin zu verbinden?
3) Hyper-V. Was ist jetzt neu, der Hyper-V Host oder die VM mit RD-SH?
4) Ist eventuell auch die Domäne komplett neu aufgesetzt? Sind eventuell beide Server noch als DC aktiv mit dem selben Domänennamen?
Mir dämmern da Probleme.
Das hört sich ja echt wild an was du da alles baust ;)
Verabschiede dich bitte von FritzBox, DynDns und dem SoHo gerümpel, am ende kostet das mehr als was vernünftiges.
Evtl. hast du auf den Clients eine GPO im Einsatz welche das unverschlüsselte verbinden zum WTS host verbietet und der neue hat noch kein Zertifikat.
Verabschiede dich bitte von FritzBox, DynDns und dem SoHo gerümpel, am ende kostet das mehr als was vernünftiges.
Evtl. hast du auf den Clients eine GPO im Einsatz welche das unverschlüsselte verbinden zum WTS host verbietet und der neue hat noch kein Zertifikat.
Hallo,
wie verbindest du dich genau mit dem alten RDS?
Dyndns-name + port per RDP-Client?
oder
VPN-Client verbinden und dann auf die interne IP per RDP?
cya
wie verbindest du dich genau mit dem alten RDS?
Dyndns-name + port per RDP-Client?
oder
VPN-Client verbinden und dann auf die interne IP per RDP?
cya
