XP Clients und Windows Server 2012 R2 RDS

[AMiGA 0]

Hallo,

 

wir haben ein Problem mit Windows XP Clients und einer Windows Server 2012 R2 RDS-Umgebung (mit einem Broker und 2 konkreten Knoten).

 

Ja, ich weiß, die XP Clients gehören abgeschafft, sie werden aber in einer Domäne genutzt, die an einem entfernten Standort ist und eine Vertrauensstellung zu unserer Domäne hat.

 

Die XP Clients sind auf dem neusten Patchstand. Die RDP-Protokoll-Version ist 7.0. Den entsprechenden Registry-Fix von Microsoft, damit XP Clients trotz aktivierter Authentifizierung auf Netzwerkebene mit einem aktuellen RDS-Server kommunizieren können, haben wir durchgeführt (https://support.microsoft.com/de-de/kb/951608).

 

Die Anbindung der XP Clients an sich funktioniert. Wenn wir uns mit einem Benutzer aus der eigenen Domäne am RDP Broker authentifizieren, funktioniert dies einwandfrei.

 

Wenn wir uns nun mit einem Benutzer der entfernten Domäne authentifizieren, funktioniert dies exakt ein mal. Wenn die RDS-Sitzung beendet wird, kann keine erneute Verbindung aufgebaut werden. Nach der Kennworteingabe erscheint erneut der gleiche Dialog zur Kennworteingabe mit dem Hinweis, dass mit den angegebenen Anmeldedaten keine Verbindung aufgebaut werden konnte.

 

Nach einem Neustart des XP-Clients funktioniert der Verbindungsaufbau wieder, aber erneut nur exakt einmal. Dieses Problem ist auf allen XP-Clients vorhanden und jederzeit reproduzierbar.

 

In der Ereignisanzeige des Clients ist nichts erkennbar. In der Ereignisanzeige des RDP-Brokers ist lediglich zu erkennen, wie die Verbindung aufgebaut und sofort wieder abgebaut wird. Diese Events treten aber bei *jeder* Verbindung auf, auch bei erfolgreichen. In den konkreten RDS-Knoten ist in der Ereignisanzeige nichts zu erkennen.

 

Hat jemand eine Idee, woran das noch liegen könnte?

 

Gruß,

AMiGA

[blub 115]

https://technet.microsoft.com/en-us/library/dn786418.aspx#BKMK_SchannelTR_TLS10

 

auf dem 2012er Server:

 

Enable TLS 1.0

 

Registry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

To disable the TLS 1.0 protocol, create an Enabled entry in the appropriate subkey. This entry does not exist in the registry by default. After you have created the entry, change the DWORD value to 0. To enable the protocol, change the DWORD value to 1.

 

[AMiGA 0]

Hi blub,

 

interpretiere ich das richtig, dass Du empfiehlst, auf dem Server TLS 1.0 auszuschalten?

 

Meinst Du nur den Broker oder die RDS-Knoten oder beides?

 

Ich würde allerdings nicht verstehen, wieso der Verbindungsaufbau einmal erfolgreich funktioniert und danach nie wieder. Erst recht würde ich nicht verstehen, wieso der Verbindungsaufbau mit domäneneigenen AD-Konten *immer* funktioniert (von XP aus).

 

Gruß,

AMiGA

[Nobbyaushb 1.472]

Ich würde diese Client NIEMALS bei mir auf einen RDS oder das LAN lassen - das ist grob fahrlässig!

 

Sorry, KEIN Verständnis.

 

  

[blub 115]

sorry, ich war oben etwas in Eile.

Nein, aktiviere mal bewusst und testweise TLS1.0 mit dem obigen Key zur Fehlersuche.

 

CredSSP kann nur TLS1.0, kein TLS1.1 oder 1.2.

TLS1.0 gilt als gebrochen, dessen muss sich jeder Anwender und jeder IT-Verantwortliche bewusst sein.

Vielleicht ist das ja ein Argument, die XP-Kisten auszutauschen.

 

blub

 

.

[AMiGA 0]

Ihr habt ja Recht bezüglich XP und in unser eigenen Domäne ist XP zum Glück auch abgelöst. Nichtsdestotrotz haben wir im Moment leider die akute Situation, dass wir die XP-Clients aus der anderen Domäne zumindest kurzfristig anbinden müssen (da ein anderer älterer RDS-Server abgelöst werden soll).

 

Ich werde TLS1 mal testweise aktivieren. Ggf. auch die Authentifizierung auf Netzwerkebene testweise deaktivieren.

 

Wobei es mir immer noch vollkommen schleierhaft ist, wieso dieses Problem nur mit Benutzern der anderen Domäne auftritt.

[Doso 77]

Weil niemand mehr irgendwas im Zusammenspiel mit Windows XP testet - selbst der Hersteller nicht.

[magheinz 110]

Ist das so das MS da nichts mehr testet? Es gibt ja doch einige Firmen, Behörden etc die individuelle Supportverträge mit MS abgeschlossen haben.

[P-a-x-i 12]

Das dürfte so sein, da wir mitunter der wohl größte Kunde in DE sind und sogar unsere Verträge bzgl. XP und W2k3 nicht verlängert wurden.

[Schweizerin 1]

Ist das so das MS da nichts mehr testet? Es gibt ja doch einige Firmen, Behörden etc die individuelle Supportverträge mit MS abgeschlossen haben.

 

Da werden IMHO aber nur Sicherheitsprobleme gefixt, keine technischen Probleme oder Fehler. Irre ich?

[magheinz 110]

Ob du dich da irrst wäre die Frage.

Bekommen diese Kunden die Updates über einen anderen Weg als die Standardupdates?

[Sunny61 806]

Bekommen diese Kunden die Updates über einen anderen Weg als die Standardupdates?

Die Updates können über den WSUS reinkommen, hier ein Artikel zur Einrichtung: http://www.wsus.de/csa_import

[magheinz 110]

ok, WSUS, aber mit eigener, spezieller Quelle. Spannend...

[Schweizerin 1]

Ob du dich da irrst wäre die Frage.

 

Ich habe mich geirrt. Zumindest das letzte Zeitzonenupdate für Russland KB3148851 wurde im April 2016 auch für XP verteilt. Das ist wohl kaum als Sicherheitsupdate einzustufen.