Berechtigungsprobleme RDP-Zugriff

1. offizieller Beitrag
    • Offizieller Beitrag

    Hallo @all,


    habe inhouse ein paar Probleme mit dem RDP-Zugriff auf meine Server (alle Win2003):


    Wenn ich einen Server neu gebootet habe, bekomme ich mit ziemlicher Sicherheit beim RDP-Zugriff "Sie müssen über die Berechtigung "Anmelden über Terminaldienste zulassen" verfügen..."


    Die Berechtigungen habe ich natürlich als Domänen-Admin, in der Gruppe "Remote Desktop Users" sind die Einträge ok, über Gruppenrichtlinien ist in "Anmelden über Terminaldienste zulassen" auch alles ok.


    Interessant ist aber folgendes: Wenn mir der RDP-Zugriff verweigert wird, ist auf der Maschine in den lokalen Richtlinien statt "Remotedesktopbenutzer" nur eine ID eingetragen, die offensichtlich nicht aufgelöst werden kann. Beim nächsten Reboot klappt es in der Regel dann.


    Betrifft überigens physische Member-Server, virtuelle Server als auch Domänencontroller.


    Alternativ gehe ich dann per Dameware auf den Server, aber auf Dauer ist das schon nervig.


    Hat jemand von Euch eine Idee, woran das Problem liegen könnte? Ich habe den Eindruck, als wenn bei der Übernahme der Policies aus der Domäne irgendein Timeout greift und einen inkonsistenten Zustand auf die Maschine bringt...

    • Offizieller Beitrag

    Hallo Norbert,


    im EventLog finde ich tatsächlich was:


    Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet.

    Name des Replikatsatzes : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
    Replikatstammpfad : "c:\windows\sysvol\domain"
    Replikatstammvolume : "\\.\C:" n%
    Ein Replikatsatz stösst auf JRNL_WRAP_ERROR, wenn der Eintrag, von dem gelesen werden soll, nicht vom NTFS-USN-Journal gefunden wird. Mögliche Ursachen hierfür sind: n%
    ...


    Ich werde mir das mal genauer anschauen zum Wochenende... :(


    Danke erstmal für den Tip!

    • Offizieller Beitrag

    Hallo Nobby,


    das war's leider nicht... :(


    In den lokalen Sicherheitseinstellungen.Lokale Richtlinien.Zuweisen von Benutzerrechten ist unter "Anmelden über Terminaldienste zulassen" statt der Gruppen nur die ID drin und die einträge sind nicht editierbar.


    Als wenn die Gruppenrichtlinien die lokalen einstellungen überschrieben haben, aber eben falsch.


    nach einem paarmal Reboot klappts irgendwann...


    Falls also noch Ideen da sind - immer ran... ;)

    • Offizieller Beitrag

    Hallo Nobby und @all,


    der Hinweis im Eventlog auf ein Replikationsproblem der Domänencontroller hat mich doch auf die richtige Spur geführt:


    Die DC haben über Wochen ihre Grouppolicies nicht mehr repliziert. Auf DC A standen die Berechtigungen richtig drin, auf DC B standen korrupte Einträge.


    (Ich habe aber immer nur auf DC A geschaut... ;)


    Je nach Lust und Laune haben die Server bei dem Reboot mal die GP von einem, mal vom anderen übernommen, so dass diese "Zufallserscheinung" sichtbar wurde.


    Gefunden habe ich, nachdem ich nach der Reparatur der Replikation auf den DC A geschaut habe, dass da auf einmal korrupte Einträge in den GP standen. Er hat also nach der "Reparatur der Replikation" die korrupten Einträge vom DC B übernommen.


    Das in Ordnung gebracht und sofort habe ich keine Probleme mehr mit dem RDP-Zugriff....