Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
W10pro: rdp Anmeldung mit Domain Account erst nach einmaliger lokaler Anmeldung moeglich
282 views
Skip to first unread message
Oliver Doll
Aug 25, 2016, 9:03:20 AM8/25/16
to
Moin,
habe hier einen PC mit W10pro (inzwischen 1607 und Update von
vorgestern) als Mitglied einer Domaene, welcher folgendes mir von
W7/8.1 unbekanntem Verhalten zeigt.
Der PC hat normaler Weise / selten Verbindung zur Domaene, aber ich
melde mich oft remote per rdp mit einem Domaenen-Benutzer-Account an,
welches ich auch auf anderen Rechnern verwende.
Nach dem Reboot am letzten offiziellen Patch-Day konnte ich mich
allerdings nicht wieder mit dem Domänen-Accout anmelden.
Die Fehlermeldung des MS Android rdp-Klienten lautet(e):
"We couldn't connect to the remote PC. This might be due to an expired
password. If this keeps happening, ask your admin or tech support for
help.
Error code: 0x207"
"Oh", dachte ich "Sch***e, pwd abgelaufen!" und habe bei naechster
Gelegenheit das Pwd neu gesetzt, den PC 'eingesackt', in die Domaene
gehaengt und erfolgreich an der Domaene angemeldet, und den PC dann
wieder in seinen 'isolierten' Zustand / Ort zurueck versetzt.
Dachte, das wars, wurde aber nach dem nächstem (remote) Reboot eines
Besseren belehrt.
Mit einem lokalen Account kann ich mich auch nach einem Reboot wieder
anmelden, mit dem Domain-Account erst, wenn ich mich erst einmal mit
diesem Account lokal angemeldet hatte.
Sebst wenn ich mich mit dem Domaenen-Account vom PC abgemeldet habe,
kann ich micht weiterhin auch remote anmelden.
Is it a bug or a (W10) feature?
--
DuG
Oliver
habe hier einen PC mit W10pro (inzwischen 1607 und Update von
vorgestern) als Mitglied einer Domaene, welcher folgendes mir von
W7/8.1 unbekanntem Verhalten zeigt.
Der PC hat normaler Weise / selten Verbindung zur Domaene, aber ich
melde mich oft remote per rdp mit einem Domaenen-Benutzer-Account an,
welches ich auch auf anderen Rechnern verwende.
Nach dem Reboot am letzten offiziellen Patch-Day konnte ich mich
allerdings nicht wieder mit dem Domänen-Accout anmelden.
Die Fehlermeldung des MS Android rdp-Klienten lautet(e):
"We couldn't connect to the remote PC. This might be due to an expired
password. If this keeps happening, ask your admin or tech support for
help.
Error code: 0x207"
"Oh", dachte ich "Sch***e, pwd abgelaufen!" und habe bei naechster
Gelegenheit das Pwd neu gesetzt, den PC 'eingesackt', in die Domaene
gehaengt und erfolgreich an der Domaene angemeldet, und den PC dann
wieder in seinen 'isolierten' Zustand / Ort zurueck versetzt.
Dachte, das wars, wurde aber nach dem nächstem (remote) Reboot eines
Besseren belehrt.
Mit einem lokalen Account kann ich mich auch nach einem Reboot wieder
anmelden, mit dem Domain-Account erst, wenn ich mich erst einmal mit
diesem Account lokal angemeldet hatte.
Sebst wenn ich mich mit dem Domaenen-Account vom PC abgemeldet habe,
kann ich micht weiterhin auch remote anmelden.
Is it a bug or a (W10) feature?
--
DuG
Oliver
Oliver Doll
Aug 25, 2016, 10:19:21 AM8/25/16
to
On Thu, 25 Aug 2016 15:30:24 +0200, Falk Duebbert wrote:
> Erste Frage: Welche Domänenfunktionalitätsebene und was für ein DC?
samba NT Style
> Kannst Du posten, welche Ereignise im Eventvwr der Maschine auftauchen
> und welche im DC?
DC kann ich zur Zeit nicht, da sollte aber eh nix zu finden sein, da
der ja gar nicht erreichbar ist.
Auf dem PC dürften die Meldungen nach
"Intel(R) 82579LM Gigabit Network Connection
Network link has been established at 100Mbps full duplex."
interessant sein. Allerdings finde ich unter System den folgenden IMO
relevanen Eintrag
Log Name: System
Source: Microsoft-Windows-TerminalServices-RemoteConnectionManager
Date: 25.08.2016 14:16:17
Event ID: 1067
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: pc.domain.de
Description:
The RD Session Host server cannot register 'TERMSRV' Service Principal
Name to be used for server authentication. The following error
occured: The specified domain either does not exist or could not be
contacted.
Keinen fehlerhaften Login Versuch, noch anderen Fehler habe ich in dem
Zeitraum im Security Log (nur Audit Successes)
> Sind die Remoterechte nur lokal oder auch per Domäne eingeräumt?
Auf dem PC sind keine expliziten Benutzer mit Remote-Rechten
ausgestattet.
Domain\User already ha access
War IMO bis dato auch unter W7/8.1 nicht nötig!
--
DuG
Oliver
> Erste Frage: Welche Domänenfunktionalitätsebene und was für ein DC?
samba NT Style
> Kannst Du posten, welche Ereignise im Eventvwr der Maschine auftauchen
> und welche im DC?
DC kann ich zur Zeit nicht, da sollte aber eh nix zu finden sein, da
der ja gar nicht erreichbar ist.
Auf dem PC dürften die Meldungen nach
"Intel(R) 82579LM Gigabit Network Connection
Network link has been established at 100Mbps full duplex."
interessant sein. Allerdings finde ich unter System den folgenden IMO
relevanen Eintrag
Log Name: System
Source: Microsoft-Windows-TerminalServices-RemoteConnectionManager
Date: 25.08.2016 14:16:17
Event ID: 1067
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: pc.domain.de
Description:
The RD Session Host server cannot register 'TERMSRV' Service Principal
Name to be used for server authentication. The following error
occured: The specified domain either does not exist or could not be
contacted.
Keinen fehlerhaften Login Versuch, noch anderen Fehler habe ich in dem
Zeitraum im Security Log (nur Audit Successes)
> Sind die Remoterechte nur lokal oder auch per Domäne eingeräumt?
Auf dem PC sind keine expliziten Benutzer mit Remote-Rechten
ausgestattet.
Domain\User already ha access
War IMO bis dato auch unter W7/8.1 nicht nötig!
--
DuG
Oliver
Oliver Doll
Aug 26, 2016, 6:11:59 AM8/26/16
to
Hallo Falk,
danke fuer das Feedback und die Suggestions.
On Thu, 25 Aug 2016 18:14:42 +0200, Falk Duebbert wrote:
> Nun ja. Wenn er den DC und damit den Anmelde-Scope nicht auflösen
> kann/will, hat er "Recht".
Nunja, fuer die lokale Anmelduing mit dem Domain-Account waere dies
doch dieselbe? Voraussetzung, oder? Die gelingt ja nach einem Reboot,
auch ohne Access zum Domain-Server. Nachdem diese loakel
"Erst-Anmeldung" erfolgte, funktioniert ja auch die Remote Anmeldung
mittels des D-Accounts wieder.
> W10 kommt mit relativ kleinen Werten Interaktive Logon -> previous
> logons - entweder 0 oder 1, das heißt die RDP-Anmeldung geht nur, wenn
> für das Konto ein noch gültiges Session-Ticket existiert. Du könntest
> mit ADSI-edit auslesen ob das lastLogonTimestamp zur Verfügung steht,
> denn Windows 10 ist für Domänenfunktionen darauf angewiesen.
adsiedit.msc gibts auf dem W10pro PC nicht. Der DC ist ein Debian
Jessie mit samba
> Wenn Du in dem Samba GPOs hinterlegen kannst, setz die Grace Time und
> die prev logons für cached and stored credentials hoch. Ich bin mir
> gerade unsicher, ob eine entsprechende lokale Sicherheitsrichtlinie da
> helfen würde. Das ist nur ein Workaround: Produktiv gehören die beide
> auf 0.
Muss ich mal gucken, wie das geht ...
--
DuG
Oliver
danke fuer das Feedback und die Suggestions.
On Thu, 25 Aug 2016 18:14:42 +0200, Falk Duebbert wrote:
> Nun ja. Wenn er den DC und damit den Anmelde-Scope nicht auflösen
> kann/will, hat er "Recht".
Nunja, fuer die lokale Anmelduing mit dem Domain-Account waere dies
doch dieselbe? Voraussetzung, oder? Die gelingt ja nach einem Reboot,
auch ohne Access zum Domain-Server. Nachdem diese loakel
"Erst-Anmeldung" erfolgte, funktioniert ja auch die Remote Anmeldung
mittels des D-Accounts wieder.
> W10 kommt mit relativ kleinen Werten Interaktive Logon -> previous
> logons - entweder 0 oder 1, das heißt die RDP-Anmeldung geht nur, wenn
> für das Konto ein noch gültiges Session-Ticket existiert. Du könntest
> mit ADSI-edit auslesen ob das lastLogonTimestamp zur Verfügung steht,
> denn Windows 10 ist für Domänenfunktionen darauf angewiesen.
adsiedit.msc gibts auf dem W10pro PC nicht. Der DC ist ein Debian
Jessie mit samba
> Wenn Du in dem Samba GPOs hinterlegen kannst, setz die Grace Time und
> die prev logons für cached and stored credentials hoch. Ich bin mir
> gerade unsicher, ob eine entsprechende lokale Sicherheitsrichtlinie da
> helfen würde. Das ist nur ein Workaround: Produktiv gehören die beide
> auf 0.
Muss ich mal gucken, wie das geht ...
--
DuG
Oliver
Oliver Doll
Sep 18, 2016, 7:34:27 AM9/18/16
to
Oh, das Problem hat sich heute erklaert (und geloest).
Musste den PC heute mal wieder (remote) neu starten und konnte mich
danach wieder nicht mit meinem Domaenen-Account remote anmelden.
Allerdings lautete die Fehlermeldung nun wie folgt:
"Fuer den Remotecomputer, mit dem Sie eine Verbindung herstellen
moechten, ist eine Authentifizierung auf Netzwerkebene (Network Level
Authentication, NLA) erforderlich. Die NLA kann jedoch nicht
ausgefuehrt werden, da der Windows-Domaenencontroller nicht erreicht
wird. Als Administrator auf dem Remotecomputer koennen Sie NLA
deaktivieren, indem Sie die Optionen auf der Registrierkarte "Remote"
des Dialogfelds "Systemeigenschaften" verwenden."
Also remote mit lokalem (Admin) Account angemeldet, Haken bei NLA
entfernt und nun geht auch die Anmeldung mit dem Domaenen-Account nach
dem Reboot. :-/
--
DuG
Oliver
Musste den PC heute mal wieder (remote) neu starten und konnte mich
danach wieder nicht mit meinem Domaenen-Account remote anmelden.
Allerdings lautete die Fehlermeldung nun wie folgt:
"Fuer den Remotecomputer, mit dem Sie eine Verbindung herstellen
moechten, ist eine Authentifizierung auf Netzwerkebene (Network Level
Authentication, NLA) erforderlich. Die NLA kann jedoch nicht
ausgefuehrt werden, da der Windows-Domaenencontroller nicht erreicht
wird. Als Administrator auf dem Remotecomputer koennen Sie NLA
deaktivieren, indem Sie die Optionen auf der Registrierkarte "Remote"
des Dialogfelds "Systemeigenschaften" verwenden."
Also remote mit lokalem (Admin) Account angemeldet, Haken bei NLA
entfernt und nun geht auch die Anmeldung mit dem Domaenen-Account nach
dem Reboot. :-/
--
DuG
Oliver
0 new messages