Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verbindung zu Win2008R2-Terminalserver pausiert bei "Remoteverbindung wird gesichert"

Frage Microsoft Windows Server

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

05.02.2015, aktualisiert 10:11 Uhr, 5559 Aufrufe, 16 Kommentare

Hallo allerseits,

Bezug (aus März 2011):
http://www.administrator.de/frage/verbindung-terminalserver-dauert-1629 ...

Auch hier gibt es längere Pausen bei der Anmeldung an einem Win2008R2-Enterprise-Terminalserver bei "Remoteverbindung wird gesichert".

Konfig:
Win2008R2-Enterprise
Kein AD, kein DC, Arbeitsgruppe
RDP-Clients mit Win7prof-64, ein RDP-Client WinXP-Sp3 mit RDP-NLA-Patch (wg.alter Software),
!! alle Clients sind via Hardware-Firewall vom Internet getrennt !!

Und genau da vermute ich das Problem!?
Kann es sein, dass beim Aufbau der RDP-Verbindung irgendein Request in die unendlichen Weiten des Web erfolgt, der den Verbindungsaufbau beschleunigt? Dürfen die Clients auf das WWW zugreifen (im Regelbetrieb aber nicht beabsichtigt), scheint die Anmeldung schneller zu gehen.

Selten kommt ein gelbes Hinweisfenster 'Die Identität des Remotecomputers konnte nicht überprüft werden' bei der RDP Anmeldung, ob man der Verbindung zu Server XY wirklich vertrauen möchte. Klickt man 'Verbindung herstellen' und 'Nicht mehr fragen', ist Verbindung in den Folgewochen wieder ohne diesen Hinweis möglich.

Gibt es hier eine Lösung, vielleicht ohne Zertifikate?

Funktionieren Zertifikate überhaupt mit reinen Arbeitsgruppen und braucht man ein 'Kauf'zertifikat, welches von einer CA ausgestellt wurde?
Zudem scheint ein Zertifikat 'automatisch erstellt worden zu sein !?

Serverkonfig:
http://on.yourweb.de/rdp-anm.png

Danke und Gruß, uc

EDIT:
@ DerWoWusste:
"Prüfe bitte meinen Hinweis, es könnte auch ein falscher/veralteter DNS-Eintrag für einen Domänencontroller sein."


Ein DC ist/war nie eingerichtet, siehe Konfig oben. Wo würde ich solch veraltete Einträge finden?

Gruß, uc
Mitglied: BirdyB
05.02.2015 um 11:14 Uhr
Hallo usercrash,

da du ja kein AD betreibst: ist der Hostname deines Servers von den Clients per DNS auflösbar oder verbindest du RDP über die IP-Adresse? Bei letzterem solltest du mal einen DNS-EIntrag anlegen. Das könnte die Angelegenheit deutlich beschleunigen.
Die Zertifikate sollten kein Problem sein, hier sollte auch das selbst ausgestellte Zertifikat genügen...

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: usercrash
05.02.2015, aktualisiert um 12:00 Uhr
Hallo und danke,

ja, Verbindung zum RDP-Server über IP-Adresse 192.168.1.1.

Auf dem Server ist kein DNS-Server installiert/aktiv, wo soll ich den DNS-Eintrag anlegen?
In der hosts-Datei der Win7-Clients?

This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
[...]
192.168.1.1 servername

Gruß, uc
Bitte warten ..
Mitglied: BirdyB
05.02.2015, aktualisiert um 12:26 Uhr
Hallo usercrash,

dann wird in deinem Setup wahrscheinlich die IP deines Routers als DNS-Server verteilt? Falls das so ist, prüfe bitte, ob du auf deinem Router statische DNS-Einträge hinterlegen kannst und mache das dort.
Die hosts-Datei sollte immer der allerletzte Weg sein (falls man das überhaupt nutzt)

Beste Grüße!


Berthold

EDIT: Hab grade erst wieder daran gedacht, dass die Clients ja komplett vom Internet getrennt sind. Falls du garkeinen DNS-Zugriff hast, würde es sich vielleicht auch empfehlen einen kleinen DNS-Dienst für das lokale Netz aufzusetzen...
Bitte warten ..
Mitglied: usercrash
05.02.2015 um 18:06 Uhr
Hallo,

alle Clients, der Server und der Router haben fixe IP-Adressen, der Router fungiert als DNS-Server für WWW-Requests, allerdings hat nur der Server Zugriff auf Internet.

Habe mal eine der host-Dateien eines Win7-Clients ergänzt um die Auflösung der Server-IP:
This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
[...]
192.168.1.1 servername
Auch nach Reboot keine Besserung der Anmeldezeit.

Allerdings:
Die RDP-Anmeldemaske für den Server erscheint auf den Clients blitzartig, man kann User/Password eingeben, nur danach kommt die Kunstpause mit "Remoteverbindung wird gesichert". Steht die RDP-Verbindung, läuft alles stabil und performant.

Nach meinem Verständnis wurde der Server während der Abfrage der RDP-Anmeldung doch schon gefunden, oder?
Vielleicht liegt es nicht am DNS, sondern...???

Andere Ideen?

Danke + Gruß, uc
Bitte warten ..
Mitglied: DerWoWusste
05.02.2015 um 23:30 Uhr
Hi.

Hast Du den geprüft, ob die Verbindung authentifiziert wurde? Ist ein Schloss-Icon im Balken am oberen Rand? Was kommt, wenn Du draufklickst, "authentifiziert über Kerberos"?
Bitte warten ..
Mitglied: usercrash
06.02.2015 um 08:44 Uhr
Guten Morgen,

am oberen Bilderand der RDP-Sitzung gibt es die übliche blaue Leiste mit "Verbindungsleiste lösen", der Server-IP und den Fenstericons, kein Schloß.

Kerboros: Wurde meines Wissens nie (aktiv) eingerichtet, der Server ist kein DC und nicht im AD, reine Arbeitsgruppe mit festen IP-Adressen,ist nicht sooo groß ;) .

Gruß uc
Bitte warten ..
Mitglied: DerWoWusste
06.02.2015 um 09:24 Uhr
Ok, dann lass Deinen TS ein Zertifikat selbst erstellen, pfleg das ein auf Server und Client und dann läuft das auch schnell.
Ist alles schnell ergoogelt, hab gerade keine Zeit für Details.
Bitte warten ..
Mitglied: usercrash
06.02.2015 um 10:47 Uhr
Hallo,
der Server hat bereits ein Zertifikat erstellt, daran liegt es wohl nicht, siehe OP:
Serverkonfig:
http://on.yourweb.de/rdp-anm.png

Gruß uc
Bitte warten ..
Mitglied: DerWoWusste
06.02.2015 um 10:57 Uhr
...und das ist am Client auch installiert?
Bitte warten ..
Mitglied: usercrash
06.02.2015, aktualisiert um 11:57 Uhr
Hallo,

das macht keinen Unterschied.

Serverauthentifizierung für TLS-1.0 eingestellt und kontrolliert nach:
https://technet.microsoft.com/de-de/library/cc770833.aspx

Ergibt ein Eigenzertifikat, 'Automatisch erstellt':
http://on.yourweb.de/rdp-anm.png

Meldet man sich von einem Win7-Client an, kommt folgende Warnung:
http://on.yourweb.de/crt.png

Ist m.E.klar, da das Eigenzertifikat nicht von einer CA stammt.

Es ist egal, ob man dieses Zertifikat auf dem Client installiert (landet im certmgr.msc-Speicher Zwischenzertifizierungsstellen) oder nicht:
Es dauert...

Gruß uc
Bitte warten ..
Mitglied: DerWoWusste
06.02.2015 um 12:59 Uhr
landet im certmgr.msc-Speicher Zwischenzertifizierungsstellen
...und genau das ist der Fehler. In der Meldung steht, wohin Du es manuell installieren musst. Windows' Wizard legt es in den falschen Ort.
Bitte warten ..
Mitglied: usercrash
08.02.2015, aktualisiert um 11:06 Uhr
Hallo,

angepriesen wird im Win7-Client "Speicher für vertrauenswürdige Stammzertifizierungsstellen".

Installiere ich das Eigenzertifikat des Servers auf dem Win7-Client dorthin, gibt es trotzdem die folgende Warnmeldung,
http://on.yourweb.de/crtinstall.png
die man mit 'Nicht erneut fragen' und 'Ja' wegklicken kann.

Zudem sind die Eigenzertifikate des Win2008-Servers nur 6 Monate gültig und müssten dann auf allen Clients jeweils neu installiert werden!?

Danke+ Gruß,uc
Bitte warten ..
Mitglied: DerWoWusste
08.02.2015 um 11:32 Uhr
Das dürfte nicht so sein. Kontrolliere, ob das Zertifikat im Speicher angekommen ist.
Bitte warten ..
Mitglied: usercrash
08.02.2015, aktualisiert 09.02.2015
Hallo,
Zertifikat ist angekommen und gültig, siehe Screenshot 'wts...' direkt über dem gelben Warnfenster:
http://on.yourweb.de/crtinstall.png

Beim Installieren des Eigenzertifikates meldet der Win7-Client (richtigerweise):
http://on.yourweb.de/import.png

Gruß uc

Edit:
Zusätzliche Info:
Ein Remotedesktopgateway-Server ist nicht installiert, da der Zugriff auf das interne Lan und den Win2008-TS via VPN-Router läuft. Auf den Win2008-TS greifen nur MS-RDP-Clients via Lan (nicht via Web) zu. Nach meinem Verständnis ist der Aufbau einer authentifizierten TLS-Verbindung (mit gelbem Schloß in der RDP-Titelleiste) dafür nicht notwendig, CredSSP läuft mit NLA.
Werde langsam unglücklich...
Bitte warten ..
Mitglied: usercrash
03.06.2015, aktualisiert um 08:38 Uhr
Sodele, muss mir mal selbst antworten - Problem gelöst:

Bei Win7-RDP-Clients OHNE WWW-Zugang dauert das RDP-Login sehr lange, da automatisch vor dem RDP-Login erst auf widerufene Zertifikate geprüft wird via ctldl.windowsupdate.com. Und dieser Zugriff ist mangels WWW-Verbindung nicht möglich.

Abfrage kann man z.B. via gpedit.msc abstellen, siehe auch:
https://support.microsoft.com/de-de/kb/2677070/de

Für die Aktualisierung der Zertifikate muss man dann allerdings händisch sorgen, Anleitung ebenfalls im obigen Link...

Gruß, uc.
Bitte warten ..
Mitglied: DerWoWusste
03.06.2015 um 10:06 Uhr
Moin.

Schön, dass Du eine Lösung gefunden hast. Dennoch verwunderlich, denn hier hat kein Rechner Internetzugang - dennoch keine solche Verzögerung.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Probleme bei der Verbindung zu einem Terminalserver 2012R2 (1)

Frage von takvorian zum Thema Windows Server ...

Windows Server
gelöst Getrennte Verbindung am Terminalserver automatisch abmelden? (6)

Frage von WG-EDV zum Thema Windows Server ...

Netzwerkmanagement
gelöst Kunde stellt neue VPN-Verbindung zur Verfügung - RemoteVerbindung scheitert jedoch (17)

Frage von 122967 zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
VDSL (50 Mbit) Verbindung bricht immer ab - Speedport 921V (4)

Frage von Sebastian9191 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...