Anmeldung an Terminalserver nach pw ändern nicht möglich

[catal82 10]

Hallo Leute,

 

das ist nicht gerade mein erster TS aber mir ist das noch ein Rätsel und muss mich vorerst auf die Aussagen meines Kunden berufen bis ich es selber prüfen kann.

 

W2k3 TS

w2k3 DC

 

Die User haben sich an den TS angemeldet, da sie neu auf dem Dc erstellt wurden. Dann änderten diese User das Passwort und konnten sich nicht mehr an dem TS anmelden. Mir ist auch nicht bekannt was die User als Fehlermeldung erhalten aber mir wurde gesagt sie geben das passwort richtig ein.

 

Hat irgendwer eine Idee?

 

Mit sachdienlichen Hinweisen kann ich erst morgen dienen wenn ich es selber gesehen habe.

 

Danke

 

Ronny

[IThome 10]

Ich schätze ja, dass sich dieses Problem morgen einfach in Luft auflöst, wahrscheinlich ein 90/60 Problem. Sowas habe ich zumindest auch noch nie gehabt ... :suspect:

Aber Du wirst sicher morgen berichten ...

[catal82 10]

Also für mich ist das noch nicht nachvollziehbar. Die betreffenden User sind Mitglied unter Domänen Benutzer und diese Gruppe ist bei Remotedesktop Benutzer auf dem Server hinterlegt.

 

Wir wurde jetzt gesagt das, folgende Fehlermeldung erscheint - Die Sicherheitsrichtlinie lassen keine interaktive anmeldung zu -

 

Ich schau jetzt mal in den Logs.

 

Der Admin hat eine neue OU auf dem Server erstellt, darin existieren jetzt neue Nutzer bei den der Fehler auftritt. Mir wurde ein Testuser in diese Gruppe kopiert und mit dem kann ich es. Kann es sein das betreffende user sich mit /console anmelden?

[Schluml 10]

Also wenn sich ein User remote anmeldet, kriegt er Meldung, dass die Sicherheitsrichtlinie es nich zu lässt und wenn du dich remote anmeldest, gehts?

[catal82 10]

bei mir geht es, ja

[Schluml 10]

Hmm, da fehlt mir im Moment wirklich nichts zu ein :rolleyes: kann ich überhaupt nicht nachvollziehen

[catal82 10]

So geht es mir auch... ich komme aber momentan nicht auf das Netz da ein anderer Kollege unser VPN mit einem anderen Netz belastet. Ich suche jetzt schon in Gruppenrichtlinien aber kann nichts richtiges finden.

[Christoph35 10]

Das einzige was mir dazu einfällt, wären Einstellungen wie "Lokale Anmeldung", "Lokale Anmeldung verweigern", "Anmeldung über Terminaldienste zulassen" und "Anmeldung über Terminaldienste verweigern" in den Sicherheitsrichtlinien.

 

Steht da irgendwas drin?

 

Christoph

[catal82 10]

Auf das bin auch grad aufmerksam geworden, denn in einer anderen OU gibt eine Richtlinie "terminal Services" und da steht auch der vorhandene TS drin. Hab den in die OU auch mal reingeschoben und muss nun prüfen lassen ob es nun geht. Aber wie kommt es das sich die User einmal anmelden konnten?

[catal82 10]

Also ich habe per Richtlinie nun eine Interaktive Anmeldung erlaubt. Nun wollte ich das gestern mit dem Kunden telefonisch testen. Ich erstellte einen Benutzer im AD und er sollte sich mit diesem Nutzer anmelden. Die genaue Wortmeldung ist mir leider entfallen aber es besagt wohl das eine interaktive anmeldung nicht möglich sei. Der Nutzer hat ein w2000 und zusätzlich den RDPclient von MS installiert. Also baute ich das schnell nach und siehe da ich konnte mich mit dem Nutzer über VPN anmelden. Mein Gedanke von vorherein ist das der kunde versucht eine Konsolensitzung zu erstellen. Das konnte ich bisher noch nicht prüfen.

 

Oder hat jemand eine andere Idee?

 

Ronny

[Wolke2k4 11]

Interessant... mit der Anmeldung an der Konsole habe ich zwar noch nicht großartig rumgespielt aber per default gibt es folgende Meldung wenn ein nicht Admin sich an der Konsole anmelden will: "Sie dürfen sich an dieser Sitzung nicht anmelden."

 

An Deiner Stelle würde ich den TS so fern und so gut es gehen in einen Zustand versetzen, in dem er sich nach dem Aufsetzen befindet, sodass keine GPO oder andere Spielereien einfluss auf sein Verhalten ausüben können. Per gpresult kannst Du Dir anzeigen lassen, welche GPO zieht und ggf. in dieser noch mal ein wenig Trouböeshooting betreiben.

Es kann nur ein Rechteproblem sein.

Typisch für die Fehlermeldung sind, wie bereits erwähnt, falsche GPO Einstellungen (via Domain und/oder lokal).

Ansonsten käme vielleicht ein Rechteproblem für das RDP Protokoll noch in Frage (siehe Terminaldienstekonfiguration)...

Mit einer Fehlerhaften Lizenzierung sollte es auch nicht zu tun haben, da hier die Fehler in der Regel anders aussehen.

[catal82 10]

Das mit gpresult hab ich mir schon für den Montag vorgenommen. Ich muss noch dazu sagen das der Nutzer von einer anderen Domäne aus mittels RDP auf den TS zugreift. Aber das sollte nicht das Problem sein. Auf den TS wird ja bereits gearbeitet und ich kann es mit einer Testellung und VPN ebenfalls. Aber ich werde mich dem am Montag widmen. Die Lizenzsierung ist auch sauber.

[catal82 10]

Also per gpresult wird mir mitgeteilt

 

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.

 

Anmeldung

Filterung: Nicht angewendet (leer)

 

Kann mir das jemand erklären?

 

Danke

[catal82 10]

Ich war schon dabei in der technischen referenz von MS zu wühlen als der Kunde anrief und wir endlich eine VNC sitzung machen konnten. Wenn man versucht sich an dem Domaincontroller anzumelden dann klappt es auch nicht.

 

Siehe da mit dem richtigen Server ging es dann auch.

[Wolke2k4 11]

Verstehe ich richtig? Der Kunde hat in seinem RDP Client nicht den TS angegeben sondern den DC???? :suspect: :D