Wir sind gerade dabei, unsere PCs schrittweise auf Windows 7 zu aktualisieren, und konnten nun schon mehrmals keine RDP-Verbindung zum aktualisierten Rechner herstellen, um ihn remote zu verwalten. Irgendwann wurde uns klar, dass die Authentifizierung auf Netzwerkebene der Übeltäter war, und wir haben sie daraufhin in den Images deaktiviert, die wir seitdem bereitgestellt haben.
Heute Morgen konnte ich keine Verbindung zu einem anderen Computer herstellen, nachdem ich Folgendes versucht hatte:
- Remotedesktop über unseren RDS-Server (2008R2)
- Remotedesktop in einen anderen Windows 7-Computer im selben LAN/Subnetz einbinden und versuchen, von dort aus eine Verbindung herzustellen
Soweit ich nmapweiß, ist Port 3389 nicht geöffnet.
Da die betroffene Maschine mehrere Hundert Kilometer entfernt steht, ist der physische Zugriff für eine lokale Anmeldung etwas schwierig (und ich würde dem Benutzer lieber nicht die lokalen Anmeldedaten herausgeben, damit er das Problem behebt).
"Gruppenrichtlinie" ist aus zwei Gründen nicht vorhanden: Die Maschine ist nicht mit der Domäne verbunden,
Da wir verwendenNEBELfür die Bildgebung und Verwaltung wäre es wahrscheinlich möglich, einen Registry-Hack oder ein Batch-/PowerShell-Skript einzusetzen, um es zu deaktivieren. Hat jemand Vorschläge für eine mögliche Lösung?
Antwort1
Bei der Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) muss die Authentifizierung sowohl auf dem Host erfolgen, der die Sitzung initiiert, als auch auf dem Remote-Host. Dies bedeutet, dass es mehrere Variablenkombinationen für Benutzername und Hostname gibt, die alle gut funktionieren müssen:
- Der Benutzername/Account, mit dem Sie aktuell angemeldet sind
- Der Benutzername/Account, mit dem Sie sich beim Remote-System anmelden möchten
- Der lokale Host, den Sie zum Initiieren der Sitzung verwenden
- Der Remote-Host, auf dem Sie die Remote-Desktop-Sitzung erstellen möchten.
Dies hat einige Auswirkungen, die dazu führen können, dass Remote Desktop mit NLA nicht funktioniert:
Wenn der lokale Host, der die Remotedesktopsitzung initiiert, NLA nicht unterstützt. Dies wären Windows-Versionen vor Vista ohnemindestens Version 6.1 von RDCDies gilt auch für Hosts wie Linux, die einen Client verwenden, der NLA nicht unterstützt.
Wenn das lokale Konto, das die Remotedesktopsitzung initiiert, sich nicht lokal authentifizieren kann. Dies geschieht normalerweise, wenn Sie ein Konto verwenden, das sich nicht beim lokalen Host anmelden kann, der die Sitzung initiiert, oder wenn es über eingeschränkte Berechtigungen verfügt. Bei Domänenkonten finden Sie die Liste der zulässigen / eingeschränkten Arbeitsstationen für das Benutzerkonto über „net use /domain“. Wenn das Konto auf eine Reihe von Hosts beschränkt ist,beideDer lokale Host und der Remote-Host müssen in der Liste sein, damit RDP mit NLA funktioniert.
Antwort2
Ich habe die problematische Maschine (es war ein Laptop) schließlich zurückbekommen und festgestellt, dass Remote Desktop vollständig deaktiviert war. Manchmal gibt es einfach keinen Ersatz für den physischen Zugriff, um die Ursache eines Problems zu ermitteln.