Anmeldung an RDP-Server funktioniert nicht

[JackC]

Hallo,

ich habe zwei Server mit Windows Server 2008 R2 und habe auf einem einen DC installiert und konfiguriert. Der Server ist zugleich DNS Server.

Der zweite Server ist Mitglied in der Domäne und wurde als RDP Server konfiguriert. Die Lizenzen wurden bereits installiert und es läuft auch eigentlich alles.

Aber. Ich kann keine User der Domäne an dem Terminalserver anmelden. Wenn ich lokale User am RDP-Server in die Gruppe "Remotedesktopbenutzer" reinsetze, dann klappt das. Bei Usern aus der AD allerdings nicht.

Ich hab folgendes am AD-Server gemacht:

Neue Gruppe erstellt: "RDP-User"

Der Gruppe User zugewiesen die auch das Recht haben RDP Session aufzubauen. So auch den Domänenadministrator.

Ich hab dann folgendes auf dem RDP-Server gemacht:

Konfiguration des Remotedesktop-Sitzungshosts rechtsklick auf "RDP-TCP" -> Eigenschaften -> Registerkarte "Sicherheit" die RDP-User Gruppe hinzugefügt.

Dann unter Lokale Sichheitsrichtlinie -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> "Anmelden über Remotedesktopdienste zulassen" Die Gruppe RDP-User hinzugefügt. (Das hat er zwar gemacht. Öffne ich aber das Fenster nochmals, steht nicht die Gruppe drin, sondern die ID also z.B. *S-1-5-21-1223123124125214-12312313-1116)

Das ganze klappt also nicht und ich weiß nicht was ich sonst noch versuchen soll. Jemand ne Idee?

[pantsoff]

Schmeiss deine AD Gruppe "RDP_User" in die lokale Remodesktopbenutzer Gruppe des Terminalservers. Wird dort anschließend der Gruppenname aufgelöst oder auch als SID angezeigt?

[FfFCMAD]

Die Sicherheits- Einstellungen koennen zudem ebenfalls angepasst werden. Normalen Benutzern wird wegen der lokalen Sicherheitsrichtlinien vielleicht die Verbindung zum Server per RDP oder lokaler Login untersagt, wenn nciht anders eingestellt. Hier auf jeden Fall einmal schauen. Das dort nur noch eine IDE auftaucht heist glaube ich, das zu dieser ID kein "Name" gefunden wird. In der Sicherheitsbeschreibung steht nur die ID, das OS kann diese ID aber keinem User zuordnen und zeigt deswegen keinen Namen an.

Ist auf den Systemen die Windows Firewall aktiiv? Wenn, ausschalten oder entsprechend konfigurieren.

[pantsoff]

Die Firewall würde ich nun nicht gerade abdrehen. Sobald der Server über die Rollen zum TS gemacht wurde, sollten Windows-seitig die FW Ausnhamen sowieso geöffnet/angepasst werden. Solange sich der Administrator mit RDP verbinden kann, kann die FW eignetlich als Fehlerquelle sowieso ausgeschlossen werden. Wird die SID angezeigt und kein AD-Objekt aufgelöst, ist der Fehler sowieso eher am DC zu suchen. Die Frage ist, ob die Gruppe an anderen "Stellen" sauber aufgelöst wird. Die lokalen SIcherheitsrichtlinien musste ich bei meinen letzten TS Installationen btw nie anfassen.

[JackC]

Also die Firewall ist aus. die RDP-User Gruppe in die Remotedesktopbenutzer Gruppe reinpacken hab ich auch schon versucht. Nimmt er nicht an bzw. trägt es nicht ein. Ich hab mal versucht eine SMB Freigabe zu machen und der Gruppe RDP-User Zugriff zu gewähren. Da klappt alles wunderbar und er zeigt auch den Namen der Gruppe an. Bisher hat aber leider noch nichts dazu geführt das der User sich anmelden kann!

[pantsoff]

Tu deinem Server einen Gefallen und dreh die Firewall nicht ab. Präzisier mal du kannst die Gruppe nicht hinzufügen. Gibt es eine Fehlermeldung?

[JackC]

nein es gibt überhaupt keine Fehlermeldung. Ich klick auf OK und er fügt einfach nichts ein.

[JackC]

ich hab gerade noch nachgeschaut. Wenn ich auf dem RDP server in die Gruppe gehe, so ist diese leer. Füge ich einen User der AD oder die Gruppe hinzu, so sagt er mir, dass dieser User bereits in dieser Gruppe angelegt ist.

[pantsoff]

Kannst du das ganze auf einem zweiten Test TS-Server nachstellen?

Solltest du nicht so flexibel sein, nimm den TS aus der Domäne und joine neu...

Dein DC hat mit der REmotedesktop Gruppe keine Probleme?

Erstell mal eine neue Gruppe und probiere es erneut (anderer Gruppenname!)

[JackC]

das ist ja gerade das Problem. Ich hab beides schon zwei mal neu aufgesetzt. DC sowie TS sind nagelneu.

[pantsoff]

Zufaellig eine Verteiler anstatt einer Sicherheitsgruppe erstellt?

Bitte spezifiziere nochmals genau, was funktioniert und was nicht.

1. lokale User des TS Servers können hinzugefügt werden und eine Anmeldung funktioniert

2. Die RDP User Gruppe kann nicht hinzugefügt werden (nimmt er ohne Fehlermeldung nicht an), die RDP User Gruppe kann aber

in den lokalen Sicherheitsrichtlininen hinzugefügt werden wird dann allerdings nur als SID angezeigt

3. Administratoren können sich anmelden

4. Eine SMB Freigabe mit der entsprechenden Gruppe funktioniert

Ist das so korrekt?

Bearbeitet 31. Dezember 2011 von pantsoff

[pantsoff]

Was sagt die Eventlog? Funktioniert die Gruppe für NTS Freigaben? Mal versucht die SID aufzulösen, ob es wirklich die der Gruppe ist?

Gibte s eine Fehlermeldung, wenn sich die User versuchen anzumelden? Wenn ja welche? Kannst du der lokalen Remotedesktopgruppe des TS Servers einen einzelnen AD User hinzufügen?

[JackC]

@pantsoff:

1. Ja

2. Wenn ich am TS in die Gruppe "Remotedesktopbenutzer" schaue, so ist diese leer. Auf dem AD-Server sind in der Gruppe zwei User eingetragen. Wenn ich nun am TS versuche die Gruppe "RDP-User" einzutragen, so erhalte ich die Meldung: ""RDP-User" ist bereits ein Mitglied von Gruppe "Remodedesktopbenutzer"".

3. Locale Administratoren können sich anmelden. Aber keine Domänenadmins

4. Die SMB Freigabe mit der entsprechenden Gruppe funktioniert.

Eventlog sagt dazu nichts! Ich habe auf beiden Servern keine Fehlermeldungen. Lediglich eine Warnung das der DNS Server auf die Replikation mit einem sekundären DC (den es nicht gibt) wartet.

[pantsoff]

Wie lautet die Fehlermeldung, wenn sich ein User der RDP Gruppe versucht am TS anzumelden?

Warum wartet dein DC auf eine Replikation wenn er der einzigste ist?

Die Gruppe wird aber schon vom TS gefunden und aufgelöst, nur hinzugefügt werden kann diese nicht?

Ich kann hier leider nur weiter Rätselraten, mir fällt momentan nichts mehr ein, ich bin nicht sicher ob in deiner Domäne alles so funktioniert wie es soll.

Hast du mit der Gruppe mal getestet eine Anmeldung am DC zu ermöglichen? Funktioniert es dort? Wie sieht es aus mit NTFS Freigaben und der Gruppe? Domänen Admins sollten sich immer an den Servern anmelden können, ohne explizite Berechtigungen zu bekommen (da sie automatisch lokale Administratoren der Server sind). Ich bin nicht sicher, ob der TS sauber die Domäne joinen kann. In welcher OU befindet sich der Terminalserver in deiner Domäne?

[Servior]

Eventlog sagt dazu nichts! Ich habe auf beiden Servern keine Fehlermeldungen. Lediglich eine Warnung das der DNS Server auf die Replikation mit einem sekundären DC (den es nicht gibt) wartet.

An deiner Stelle würde ich erst einmal die Probleme des DC beheben und mich danach um den Terminalserver kümmern.

Wenn es nur einen DC gibt sollte dieser nicht nach einem Partner für Replikationen suchen.

Wenn dein DC schon nach einem Partner sucht, dann kann dies auch für deinen Terminalserver gelten. Wenn dieser allerdings nicht existiert laufen entsprechende Anfragen ins leere.

[JackC]

so, Problem endlich gefunden und gelöst. Ich dachte schon ich spinn. Der DC und DNS Server liefen einwandfrei! Es lag schlussendlich daran, dass ich die Betriebssysteme über vcenter geklont habe. Danach gabs Probleme mit der SID. Man muss nach dem Klonen ein Sysprep durchführen.

sysprep /generalize /shutdown

oder einfach das System von DVD komplett neu installieren und nicht klonen.

[pantsoff]

Hättest du diese wichtigen Details nicht unterschlagen, wären wir wohl viel früher zu dieser Lösung gekommen.