Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nach August-Updates: RDP zu Server 2008 verhält sich anders

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

10.08.2016, aktualisiert 20:10 Uhr, 4600 Aufrufe, 8 Kommentare, 3 Danke

...und zwar (man muss nun genau lesen): nutzt man ein gesondertes Konto, um sich per RDP mit einem Server 2008 zu verbinden, das nicht das Recht hat, sich lokal an der eigenen Workstation anzumelden, dann erhält man die Meldung, dass sich dieses Konto wegen Logonbeschränkunden nicht anmelden darf.
Grund: ein Patch hat NLA verschärft und somit wird geprüft, ob sich das Konto am Client anmelden darf. Ist dies nicht der Fall, muss man das Konto dazu berechtigen.

Nochmal ohne "Juristendeutsch": wer seit den letzten Serverupdates nicht mehr per RDP auf Server 2008 kommt (vermutlich auch 2008 R2 betroffen), der muss das Konto, mit dem er sich verbindet, dazu berechtigen, sich am eigenen Client anzumelden.

Dieses Problem wird also nur sehr selten auftreten. Typischer Fall: Kollege X will Kollege Y am PC von Y zeigen, wie irgendwas im eigenen Profil (X) auf dem Server (Terminalserver) läuft und nutzt RDP dazu. X hat aber kein Anmelderecht für Y und darf deshalb neuerdings von Y aus auch keine Verbindung mehr zum Server aufbauen.

Immer noch nicht alle Klarheiten beseitigt? Dann lest https://social.technet.microsoft.com/Forums/windows/en-US/fab6f026-86c2- ... - Zitat Microsoft:
The RDP client behaviour is changed in 8.1 and it now it enforces NLA which uses CREDSSP – it is more secure.
Previous behaviour is that it allowed fallback to “no NLA” when NLA failed.
If NLA is set to “required” on the RDP server side then it is expected that the client connection will fail due to the workstation not being in the list. NLA is using Kerberos or NTLM authentication which > cares about where you log on from as per above attribute. In addition if you take RDP out of the loop and browse to a share, for example, on the same RDP server from any OS workstation which is not in > the <log onto> list it will also fail with the same error STATUS_INVALID_WORKSTATION!.
Available options here:
1. Use this setting: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-tcp "SecurityLayer", Default is 1 (SSL). -> Set this to 0.
2. On the client workstation, open the RDP file with Notepad and add the string enablecredsspsupport:i:0
3. Add the source server that the user is connecting to into the LogonTo field.
Mitglied: Lochkartenstanzer
10.08.2016, aktualisiert um 10:47 Uhr
Zitat von DerWoWusste:

Immer noch nicht alle Klarheiten beseitigt?

Ich weiß gar ncht was Du hast. Sofort mit dem ersten Satz war doch klar, was gemeint ist.

Wenn man sich nicht lokal mit einem Konto anmelden darf, darf man auch nicht mit diesem Konto per RDP von diesem Client aus auf den Server.

Dürfte imho wirklich nur in Ausnahmefällen zum problem werden.

lks
Bitte warten ..
Mitglied: DerWoWusste
10.08.2016 um 11:00 Uhr
Ah, ich werde verstanden
Es ist nicht zu erwarten, dass es viele betrifft, nein. Aber die Jenigen dürften gerade wahnsinnig werden
Und dass MS sowas erst nach Jahren "reinpatcht", ist schon nicht so witzig. NLA war schließlich schon seit 2008 im Einsatz, lief aber 8 Jahre lang nicht so, wie es eigentlich gedacht war.
Bitte warten ..
Mitglied: Philipp711
19.08.2016 um 18:40 Uhr
Ich versuche das Szenario gerade im Kopf durchzuspielen um für kommende Probleme gewappnet zu sein. Bisher habe ich noch keine Probleme gehabt. Dieses Update könnte aber zum Problem bei uns werden...konkret geht es darum, dass einige externe Mitarbeiter und auch die Chefs über VPNs auf eine kleine TS-Farm (2008r2) zugreifen. Die jeweiligen Rechner sind nicht in der Domäne da es z.B. der private Rechner des Chefs ist. Zum einloggen auf dem TS nutzt er natürlich das Domänenkonto. Dieses wiederum ist logischerweise nicht zum anmelden an dem lokalen Rechner berechtigt...genau da müsste es doch nach diesem Update "krachen", richtig? Kann ich ein Domänen-Konto auf einem Rechner zum anmelden berechtigen der gar nicht in der Domäne ist??

Danke für die Antworten!
Bitte warten ..
Mitglied: DerWoWusste
19.08.2016 um 18:53 Uhr
Dazu musst du diese Konten überall anmeldeberechtigen, das ist auch schon der default.
Bitte warten ..
Mitglied: Philipp711
20.08.2016, aktualisiert um 09:00 Uhr
Zitat von DerWoWusste:

Dazu musst du diese Konten überall anmeldeberechtigen, das ist auch schon der default.

Sorry bin schwer von Begriff...inwiefern ist das der "default"? Anmeldeberechtigen heißt: einfach in die jeweiligen Dom-Benutzer in lokale Gruppe "Remotedesktopbenutzer" packen?
Bitte warten ..
Mitglied: DerWoWusste
20.08.2016 um 17:29 Uhr
Nein, das AD-userobjekt hat die Erlaubnis, sich überall anzumelden schon per default. Bei uns trat das Problem nur auf, weil wir das verschärft hatten, also unter "anmelden an" nur ausgesuchte Rechner eingetragen haben.
Bitte warten ..
Mitglied: Philipp711
21.08.2016 um 09:46 Uhr
Okay, aber die Rechner sind ja in meinem genannten Beispiel gar nicht in der AD.
Bitte warten ..
Mitglied: DerWoWusste
21.08.2016 um 16:05 Uhr
Ich weiß. Das macht nichts. Wenn ein Nutzer sich überall anmelden darf, dann sind auch unbekannte Workstations mit drin.
Bitte warten ..
Ähnliche Inhalte
Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgbornWindows Update6 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Windows Server

SBS 2011 nach August-Updates massive Probleme mit DNS, Exchange und AD

Tipp von the-buccaneerWindows Server3 Kommentare

Moin zusammen! Vor wenigen Tagen nervte mich ein SBS 2011 Server nachdem sich der Kunde beschwerte, dass er nicht ...

Microsoft

August 2018 Update KB4343205 (IE Update) und KB4343900 blocken Single-Sign-On

Information von kgbornMicrosoft1 Kommentar

Nur ganz kurz zur Info - möglicherweise wissen das die Betroffenen - für Leute, die die Updates noch nicht ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von ModdryWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 18 StundenSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Mozillas "DNS over HTTPS" in pfSense blockieren

Anleitung von FA-jka vor 20 StundenDNS4 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Batch & Shell
Ip-Adresse-Konfiguration speichern zur Wiederherstellung
gelöst Frage von alex1991Batch & Shell20 Kommentare

Hallo, ich bin eigentlich nicht in der IT-Abteilung, aber als Programmierer bin ich noch am nächsten dran. Deshalb wurde ...

Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

LAN, WAN, Wireless
Haus Netzwerk neu Strukturieren aber wie am besten? Pfsense, WLAN AP
Frage von Motte990LAN, WAN, Wireless14 Kommentare

Hallo Liebe ITler, ich habe endlich die Freigabe meiner Regierung bekommen das Haus Netzwerk umzubauen. Sprich neuer großer Switch ...

Batch & Shell
Computer bei disconnecting mit bluetoothgerät herunterfahren
gelöst Frage von Renrep88Batch & Shell14 Kommentare

Hallo, ist es mithilfe von einer .cmd oder .bat datei möglich einen computer herunterzufahren wenn die verbindung zu einem ...