Zum Inhalt wechseln


Foto

Kein Speichern der Credentials möglich. Win7 Client, Term Server2008, Remotedesktop


  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 Gustavo

Gustavo

    Junior Member

  • 87 Beiträge

 

Geschrieben 27. August 2010 - 12:41

Hallo liebe Gemeinde,

ich habe folgendes Problem:

Wir greifen über Windows 7 Clients auf einen Terminalserver außerhalb unserer Domäne (internet) per Remotedesktop zu. Der Terminalserver ist eine fremde eigene Domäne. Nun ist es so dass wir bisher mit den XP Clients die User/Passwörter der RDP Verbindung einmal speichern konnten und somit nie wieder eine Passwortabfrage kam. Bei den Win 7 Clients ist es nun so, dass wir uns einmal verbinden können und das Passwort abspeichern. Dies funktioniert auch für die ersten Anmeldungen, danach erhalten wir folgende Fehlermeldung:
<quote>
---------------------------
Getrennte RemoteApp
---------------------------
Der angegeben Benutzername ist nicht vorhanden. Überprüfen Sie den Benutzernamen, und versuchen Sie erneut, sich anzumelden. Wenn das Problem weiterhin besteht, sollten Sie sich an den Systemadministrator oder an den technischen Support wenden.
</quote>


<quote>
Protokollname: System
Quelle: Microsoft-Windows-Security-Kerberos
Datum: 27.08.2010 13:30:37
Ereignis-ID: 14
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: comp01.local.asg24.de
Beschreibung:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "Domänenname\Vorname.Nachname" erneut ein.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
<EventID Qualifiers="32768">14</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2010-08-27T11:30:37.000000000Z" />
<EventRecordID>47972</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>asg84.local.asg24.de</Computer>
<Security />
</System>
<EventData>
<Data Name="Username">Domänenname\Vorname.Nachname</Data>
<Binary>640000C0</Binary>
</EventData>
</Event>
</quote>

Wenn ich unter "Anmeldeinformationsverwaltung" auf dem Win7 Client schaue so sehe ich dass die Passwörter hinterlegt sind, nur irgendwie klappt die authentifizierung mit dem Terminalserver über RDP nicht mehr. Ich muss in dem fall die hinterlegten Passwörter löschen und die Credentials von Hand jedesmal eingeben.

Kann mir hierbei jemand helfen??

Vielen Dank im voraus.

Grüsse
Gustavo
Datenverarbeitungskaufmann
Status: MCSE 2003, MCSA 2003, MCTS 2008
Passed: 70-270, 70-290, 70-291, 70-294, 70-649, 70-299, 70-298, 70-293
Planned: MCITP 2008 Enterprise Administrator

#2 Gustavo

Gustavo

    Junior Member

  • 87 Beiträge

 

Geschrieben 30. August 2010 - 07:08

Hat wirklich niemand von euch einen Anhaltspunkt für mich? :-(
Datenverarbeitungskaufmann
Status: MCSE 2003, MCSA 2003, MCTS 2008
Passed: 70-270, 70-290, 70-291, 70-294, 70-649, 70-299, 70-298, 70-293
Planned: MCITP 2008 Enterprise Administrator

#3 Sunny61

Sunny61

    Expert Member

  • 22.243 Beiträge

 

Geschrieben 30. August 2010 - 07:13

Start > Ausführen > control userpasswords2 [ENTER] > Reiter Erweiter > Kennwörter verwalten. Hast Du dort die Kennwörter und Benutzernamen gespeichert?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#4 Gustavo

Gustavo

    Junior Member

  • 87 Beiträge

 

Geschrieben 30. August 2010 - 07:46

Guten Morgen,

ja dort sind die Passwörter hinterlegt mit dem Benutzernamen in folgendem Format:

TERMSRV/Terminalserver.de

wenn ich diese dort aus dem Tresor lösche und neu connecte gehts ein paar mal, nach dem 3. od. 4. Versuch kommt dann besagte fehlermeldung und ich muss wieder die hinterlegten passwörter im Tresor löschen. GAnz komisch das ganze.

Grüsse
Gustavo
Datenverarbeitungskaufmann
Status: MCSE 2003, MCSA 2003, MCTS 2008
Passed: 70-270, 70-290, 70-291, 70-294, 70-649, 70-299, 70-298, 70-293
Planned: MCITP 2008 Enterprise Administrator

#5 Sunny61

Sunny61

    Expert Member

  • 22.243 Beiträge

 

Geschrieben 30. August 2010 - 10:28

Probiers mal andersrum:
Terminalserver.de\Benutzername
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 Gustavo

Gustavo

    Junior Member

  • 87 Beiträge

 

Geschrieben 30. August 2010 - 13:40

Danke für den Tip, jetzt könnte ich einen Schritt weiter sein. Es kommt folgende Meldung:

Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden:

Der Systemadministrator hat festgelegt, dass die Verwendung von gespeicherten Anmeldeinformationen für die Anmeldung am Remotecomputer "terminal01.de" nicht zulässig ist, da die Identität des Computers nicht vollständig überprüft werden konnte. Geben Sie neue Anmeldeinformationen ein.


Mich wundert nun, dass es mit den gespeicherten Credentials bei Windows XP Clients diese Art von Problemen nicht gibt und nur die Windows 7 Prof. Clients davon betroffen sind. Kann es vielleicht sein dass Win7 da etwas penibler ist in Sachen Authentifizierung / Zertifikaten etc.?

Falls ja, müsste ich vielleicht am Terminalserver etwas einstellen, dass die gespeicherten Anmeldeinformationen erlaubt werden?

Für Hilfe wäre ich sehr sehr dankbar.

Grüsse
Gustavo
Datenverarbeitungskaufmann
Status: MCSE 2003, MCSA 2003, MCTS 2008
Passed: 70-270, 70-290, 70-291, 70-294, 70-649, 70-299, 70-298, 70-293
Planned: MCITP 2008 Enterprise Administrator

#7 Gustavo

Gustavo

    Junior Member

  • 87 Beiträge

 

Geschrieben 31. August 2010 - 08:52

Hi,

ich hab nun die Lösung. Es ist zwar nicht zufriedenstellend für mich aber naja.

Man muss ne lokale GPO aktivieren und zwar bin ich nach dieser Anleitung vorgegangen:

1. Log on to your local machine as an administrator.
2. Start Group Policy Editor - "gpedit.msc" and accept the UAC prompt.
3. Navigate to "Computer Configuration\Administrative Templates\System\Credentials Delegation".
4. Double-click the "Allow Saved Credentials with NTLM-only Server Authentication" policy.
5. Enable the policy and then click on the "Show" button to get to the server list.
6. Add "TERMSRV/" to the server list, in my case TERMSRV/alinc02.redmond.corp.microsoft.com. Using one wildcard (*) in a name is allowed. For example to enable the setting on all servers in "microsoft.com" domain you can type "TERMSRV/*.microsoft.com".
7. Confirm the changes by clicking on the "OK" button until you return back to the main Group Policy Object Editor dialog.
8. At a command prompt, run "gpupdate" to force the policy to be refreshed immediately on the local machine (although this changed for me after a while)

Danach musste ich jedoch darauf achten dass die im Tresor gespeicherten Credentials wie folgt hinterlegt sind (genauso wie sunny61 es schrieb)

Terminalserver.de/benutzername

Erst dann war es möglich, die Credentials zu speichern und die RDP Verbindung in Zukunft ohne die Eingabe von Credentials zu öffnen.

Leider gefällt mir diese Lösung nicht ganz, da wir unseren Mitarbeitern mitteilen sich über benutername@domäne anzumelden, nur leider kommt dann eine Fehlermeldung bei der Authentifizierung bei der RDP Verbindung. Es muss einfach Terminalserver.de/benutzername realisiert werden.

Dennoch Danke an Sunny61.

Grüsse
Gustavo
Datenverarbeitungskaufmann
Status: MCSE 2003, MCSA 2003, MCTS 2008
Passed: 70-270, 70-290, 70-291, 70-294, 70-649, 70-299, 70-298, 70-293
Planned: MCITP 2008 Enterprise Administrator

#8 Sunny61

Sunny61

    Expert Member

  • 22.243 Beiträge

 

Geschrieben 31. August 2010 - 08:57

Man muss ne lokale GPO aktivieren und zwar bin ich nach dieser Anleitung vorgegangen:

1. Log on to your local machine as an administrator.
2. Start Group Policy Editor - "gpedit.msc" and accept the UAC prompt.
3. Navigate to "Computer Configuration\Administrative Templates\System\Credentials Delegation".
4. Double-click the "Allow Saved Credentials with NTLM-only Server Authentication" policy.
5. Enable the policy and then click on the "Show" button to get to the server list.
6. Add "TERMSRV/" to the server list, in my case TERMSRV/alinc02.redmond.corp.microsoft.com. Using one wildcard (*) in a name is allowed. For example to enable the setting on all servers in "microsoft.com" domain you can type "TERMSRV/*.microsoft.com".
7. Confirm the changes by clicking on the "OK" button until you return back to the main Group Policy Object Editor dialog.
8. At a command prompt, run "gpupdate" to force the policy to be refreshed immediately on the local machine (although this changed for me after a while)


Das sollte sich auch über eine Domain GPO regeln lassen.

Danach musste ich jedoch darauf achten dass die im Tresor gespeicherten Credentials wie folgt hinterlegt sind (genauso wie sunny61 es schrieb)

Terminalserver.de/benutzername


Ich schrieb den Backslash: Terminalserver.de\Benutzername

Leider gefällt mir diese Lösung nicht ganz, da wir unseren Mitarbeitern mitteilen sich über benutername@domäne anzumelden, nur leider kommt dann eine Fehlermeldung bei der Authentifizierung bei der RDP Verbindung. Es muss einfach Terminalserver.de/benutzername realisiert werden.


Probiers doch mit benutzername@terminalserver.de, sollte IMHO genauso funktionieren.

Dennoch Danke an Sunny61.


Bitte, gern geschehen. ;)
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/