Guten Tag,
ich habe aktuell folgendes Problem:
Ein unter Hyper-V virtualisierter Windows Server 2008 R2 fungiert als Remote Desktop Sitzungshost und Remote Desktop Lizenzserver. Aktuell sind 10 RDS-Cals eingespielt.
Alle Benutzer, welche Zugriff auf den Server erhalten sollen, sind Mitglied der universalen Sicherheitsgruppe "RKT TERMINALUSER". Diese universale Gruppe ist wiederum Mitglied der lokalen Gruppe "Remotedesktopbenutzer" des Terminalserver.
Dies funktioniert mit Benutzerkonten aus der lokalen Domäne auch ohne Probleme.
Nun besteht jedoch eine Vertrauensstellung mit einer weiteren Domäne. Zwei Benutzerkonten aus der vertrauten Domäne sollen ebenfalls auf den Terminalserver zugreifen können.
Wenn ich diese beiden Benutzerkonten in die vorher erwähnte universale Sicherheitsgruppe "RKT TERMINALUSER" aufnehme und versuche, mich anzumelden, wird die Verbindung zum Server kurz hergestellt und sofort wieder getrennt. Im Ereignisprotokoll "Anwendung"
des Servers wird folgendes protokolliert:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: domain\user
Kontoname: user
Kontodomäne: domain
Anmelde-ID: 0x763621
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: domain
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V1
Schlüssellänge: 128
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Gefolgt von:
Ein Konto wurde abgemeldet.
Antragsteller:
Sicherheits-ID: domain\user
Kontoname: user
Kontodomäne: domain
Anmelde-ID: 0x763621
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Gehe ich nun allerdings hin und nehme beide Benutzerkonten in die lokale Gruppe "Remotedesktopbenutzer" des Terminalservers auf, funktioniert die Anmeldung fehlerfrei.
Nun könnte man das ganze an sich ja so lassen, aus Gründen der Übersichtlichkeit würden wir den Zugriff auf den Terminalserver jedoch gerne über die universelle Sicherheitsgruppe steuern, um nicht jedes mal die lokale Gruppe am Terminalserver
anfassen zu müssen.
Für weiter führende Hinweise wäre ich in jedem Fall sehr dankbar!
Gruß,
Dominik
