Hi zusammen,
ich habe ein RDS Farm mit aktuell 2x CBs (HA) zwei GWs und einem Sessionhost installiert. Alles auf Windows 2019 Server.
Habe alles mit wildcard Zertifikaten deployed und folgendes funktioniert:
- HTML5 Portal von intern/extern -> geht beides über das Gateway
- klassische RDP Verbindung von intern über WIndows 10 Client, aktueller Patchstand
- RemotedesktopAPP (Windows 10 APP Store) über intern
- RemotedesktopAPP (Windows 10 APP Store) über extern -> Gateway klappt allerdings muss ich 2x Credentials eingeben einmal für Gateway und einmal für den ersten Login
Was nicht funktioniert
Login über den klassischen RDP Client über extern. Es kommt folgende Fehlermeldung:
1. Es kommt die Credential Abfrage
2. Es steht dort "Remoteverbindung wird initiert.."
3. Kommt die Fehlermeldung: "Ihr Computer kann keine Verbindung mit dem Remotedesktop-Gatewayserver herstellen. Wenden sie sich an ...blabla..."
Wenn ich die Zugangsdaten falsch eingebe checkt der das auch und meldet das ... Das heisst der kommt mind. bis zum Gateway.
Das komische ist, auf dem Gatewayserver in den SecurityLogs steht dann bei 100%ig richtigen Credentials folgendes:
An account failed to log on.
Subject:
Security ID:
NULL SID
Account Name:
-
Account Domain:
-
Logon ID:
0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID:
NULL SID
Account Name:
vorname.nachname
Account Domain:
domain
Failure Information:
Failure Reason:
An Error occured during Logon.
Status:
0xC000035B
Sub Status:
0x0
Process Information:
Caller Process ID:
0x0
Caller Process Name:
-
Network Information:
Workstation Name:
computername
Source Network Address:
"internal gateway IP"
Source Port:
43468
Detailed Authentication Information:
Logon Process:
Authentication Package:
NTLM
Transited Services:
-
Package Name (NTLM only):
-
Key Length:
0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
Was ich bereits ausprobiert habe:
1. Firewalls komplett aus
2. Alles GPO aus der Domain ausgeschaltet
3. NTLM per regisrty auf niedrigere Version erzwungen
4. NTLM aus und an auf der kompletten Farm
5. Im IIS NTLM auf Kerberos und Auto und Anonymous.. (https://support.microsoft.com/en-us/help/2903333/terminal-services-client-connection-error-0xc000035b-when-you-use-lmco)
Was ich noch merkwürdig finde:
Wenn ich das RD Gateway neustarte, dann habe ich kurz nach dem Start des Systems ein Fenster von ca. 1-2 Minuten in denen der Login klappt. Deswegen dachte ich erst, es läge an GPO die dann ziehen. Mir fällt aber auch nichts weiter in den Logs auf was an Diensten
etc. nach dem Start entweder gestoppt oder gestartet wird..
Das einzig merkwürige finde ich, ist die Tatsache, dass im Security Log mein Loginversuch Denied wird.
