Kein Speichern der Credentials möglich. Win7 Client, Term Server2008, Remotedesktop

[Gustavo 10]

Hallo liebe Gemeinde,

 

ich habe folgendes Problem:

 

Wir greifen über Windows 7 Clients auf einen Terminalserver außerhalb unserer Domäne (internet) per Remotedesktop zu. Der Terminalserver ist eine fremde eigene Domäne. Nun ist es so dass wir bisher mit den XP Clients die User/Passwörter der RDP Verbindung einmal speichern konnten und somit nie wieder eine Passwortabfrage kam. Bei den Win 7 Clients ist es nun so, dass wir uns einmal verbinden können und das Passwort abspeichern. Dies funktioniert auch für die ersten Anmeldungen, danach erhalten wir folgende Fehlermeldung:

<quote>

---------------------------

Getrennte RemoteApp

---------------------------

Der angegeben Benutzername ist nicht vorhanden. Überprüfen Sie den Benutzernamen, und versuchen Sie erneut, sich anzumelden. Wenn das Problem weiterhin besteht, sollten Sie sich an den Systemadministrator oder an den technischen Support wenden.

</quote>

 

 

<quote>

Protokollname: System

Quelle: Microsoft-Windows-Security-Kerberos

Datum: 27.08.2010 13:30:37

Ereignis-ID: 14

Aufgabenkategorie:Keine

Ebene: Warnung

Schlüsselwörter:Klassisch

Benutzer: Nicht zutreffend

Computer: comp01.local.asg24.de

Beschreibung:

Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "Domänenname\Vorname.Nachname" erneut ein.

Ereignis-XML:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />

<EventID Qualifiers="32768">14</EventID>

<Version>0</Version>

<Level>3</Level>

<Task>0</Task>

<Opcode>0</Opcode>

<Keywords>0x80000000000000</Keywords>

<TimeCreated SystemTime="2010-08-27T11:30:37.000000000Z" />

<EventRecordID>47972</EventRecordID>

<Correlation />

<Execution ProcessID="0" ThreadID="0" />

<Channel>System</Channel>

<Computer>asg84.local.asg24.de</Computer>

<Security />

</System>

<EventData>

<Data Name="Username">Domänenname\Vorname.Nachname</Data>

<Binary>640000C0</Binary>

</EventData>

</Event>

</quote>

 

Wenn ich unter "Anmeldeinformationsverwaltung" auf dem Win7 Client schaue so sehe ich dass die Passwörter hinterlegt sind, nur irgendwie klappt die authentifizierung mit dem Terminalserver über RDP nicht mehr. Ich muss in dem fall die hinterlegten Passwörter löschen und die Credentials von Hand jedesmal eingeben.

 

Kann mir hierbei jemand helfen??

 

Vielen Dank im voraus.

 

Grüsse

Gustavo

[Gustavo 10]

Hat wirklich niemand von euch einen Anhaltspunkt für mich? :-(

[Sunny61 806]

Start > Ausführen > control userpasswords2 [ENTER] > Reiter Erweiter > Kennwörter verwalten. Hast Du dort die Kennwörter und Benutzernamen gespeichert?

[Gustavo 10]

Guten Morgen,

 

ja dort sind die Passwörter hinterlegt mit dem Benutzernamen in folgendem Format:

 

TERMSRV/Terminalserver.de

 

wenn ich diese dort aus dem Tresor lösche und neu connecte gehts ein paar mal, nach dem 3. od. 4. Versuch kommt dann besagte fehlermeldung und ich muss wieder die hinterlegten passwörter im Tresor löschen. GAnz komisch das ganze.

 

Grüsse

Gustavo

[Sunny61 806]

Probiers mal andersrum:

Terminalserver.de\Benutzername

[Gustavo 10]

Danke für den Tip, jetzt könnte ich einen Schritt weiter sein. Es kommt folgende Meldung:

 

Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden:

 

Der Systemadministrator hat festgelegt, dass die Verwendung von gespeicherten Anmeldeinformationen für die Anmeldung am Remotecomputer "terminal01.de" nicht zulässig ist, da die Identität des Computers nicht vollständig überprüft werden konnte. Geben Sie neue Anmeldeinformationen ein.

 

 

Mich wundert nun, dass es mit den gespeicherten Credentials bei Windows XP Clients diese Art von Problemen nicht gibt und nur die Windows 7 Prof. Clients davon betroffen sind. Kann es vielleicht sein dass Win7 da etwas penibler ist in Sachen Authentifizierung / Zertifikaten etc.?

 

Falls ja, müsste ich vielleicht am Terminalserver etwas einstellen, dass die gespeicherten Anmeldeinformationen erlaubt werden?

 

Für Hilfe wäre ich sehr sehr dankbar.

 

Grüsse

Gustavo

[Gustavo 10]

Hi,

 

ich hab nun die Lösung. Es ist zwar nicht zufriedenstellend für mich aber naja.

 

Man muss ne lokale GPO aktivieren und zwar bin ich nach dieser Anleitung vorgegangen:

 

1. Log on to your local machine as an administrator.

2. Start Group Policy Editor - "gpedit.msc" and accept the UAC prompt.

3. Navigate to "Computer Configuration\Administrative Templates\System\Credentials Delegation".

4. Double-click the "Allow Saved Credentials with NTLM-only Server Authentication" policy.

5. Enable the policy and then click on the "Show" button to get to the server list.

6. Add "TERMSRV/" to the server list, in my case TERMSRV/alinc02.redmond.corp.microsoft.com. Using one wildcard (*) in a name is allowed. For example to enable the setting on all servers in "microsoft.com" domain you can type "TERMSRV/*.microsoft.com".

7. Confirm the changes by clicking on the "OK" button until you return back to the main Group Policy Object Editor dialog.

8. At a command prompt, run "gpupdate" to force the policy to be refreshed immediately on the local machine (although this changed for me after a while)

 

Danach musste ich jedoch darauf achten dass die im Tresor gespeicherten Credentials wie folgt hinterlegt sind (genauso wie sunny61 es schrieb)

 

Terminalserver.de/benutzername

 

Erst dann war es möglich, die Credentials zu speichern und die RDP Verbindung in Zukunft ohne die Eingabe von Credentials zu öffnen.

 

Leider gefällt mir diese Lösung nicht ganz, da wir unseren Mitarbeitern mitteilen sich über benutername@domäne anzumelden, nur leider kommt dann eine Fehlermeldung bei der Authentifizierung bei der RDP Verbindung. Es muss einfach Terminalserver.de/benutzername realisiert werden.

 

Dennoch Danke an Sunny61.

 

Grüsse

Gustavo

[Sunny61 806]

Man muss ne lokale GPO aktivieren und zwar bin ich nach dieser Anleitung vorgegangen:

 

1. Log on to your local machine as an administrator.

2. Start Group Policy Editor - "gpedit.msc" and accept the UAC prompt.

3. Navigate to "Computer Configuration\Administrative Templates\System\Credentials Delegation".

4. Double-click the "Allow Saved Credentials with NTLM-only Server Authentication" policy.

5. Enable the policy and then click on the "Show" button to get to the server list.

6. Add "TERMSRV/" to the server list, in my case TERMSRV/alinc02.redmond.corp.microsoft.com. Using one wildcard (*) in a name is allowed. For example to enable the setting on all servers in "microsoft.com" domain you can type "TERMSRV/*.microsoft.com".

7. Confirm the changes by clicking on the "OK" button until you return back to the main Group Policy Object Editor dialog.

8. At a command prompt, run "gpupdate" to force the policy to be refreshed immediately on the local machine (although this changed for me after a while)

 

Das sollte sich auch über eine Domain GPO regeln lassen.

 

Danach musste ich jedoch darauf achten dass die im Tresor gespeicherten Credentials wie folgt hinterlegt sind (genauso wie sunny61 es schrieb)

 

Terminalserver.de/benutzername

 

Ich schrieb den Backslash: Terminalserver.de\Benutzername

 

Leider gefällt mir diese Lösung nicht ganz, da wir unseren Mitarbeitern mitteilen sich über benutername@domäne anzumelden, nur leider kommt dann eine Fehlermeldung bei der Authentifizierung bei der RDP Verbindung. Es muss einfach Terminalserver.de/benutzername realisiert werden.

 

Probiers doch mit benutzername@terminalserver.de, sollte IMHO genauso funktionieren.

 

Dennoch Danke an Sunny61.

 

Bitte, gern geschehen. ;)