Problembehandlung von Authentifizierungsfehlern bei der Verwendung von RDP für das Herstellen von Verbindungen mit Azure-VMs.

Gilt für: ✔️ Windows-VMs

Dieser Artikel hilft Ihnen bei der Fehlerbehebung von Authentifizierungsfehlern, die auftreten, wenn Sie eine RDP-Verbindung (Remote Desktop Protocol) verwenden, um eine Verbindung zu einer virtuellen Azure-Maschine (VM) herzustellen.

Notiz

Waren diese Informationen hilfreich? Wir schätzen Ihr Feedback. Bitte verwenden Sie die Schaltfläche Feedback auf dieser Seite, um uns mitzuteilen, wie gut Ihnen dieser Artikel gefallen hat oder wie wir ihn verbessern können.

Symptome

Sie nehmen einen Screenshot einer Azure-VM auf, der den Willkommensbildschirm zeigt und anzeigt, dass das Betriebssystem ausgeführt wird. Wenn Sie aber versuchen, eine Verbindung mit der VM mithilfe der Remote Desktop-Verbindung herzustellen, wird eine der folgenden Fehlermeldungen angezeigt:

• Authentifizierungsfehler. Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.
• Der Remotecomputer, zu dem Sie eine Verbindung herstellen möchten, erfordert eine Authentifizierung auf Netzwerkebene (NLA), aber Ihr Windows-Domänencontroller kann nicht kontaktiert werden, um NLA durchzuführen. Wenn Sie Administrator des Remotecomputers sind, können Sie NLA mithilfe der Optionen auf der Registerkarte „Remote“ im Dialogfeld „Systemeigenschaften“ deaktivieren.
• Dieser Computer kann keine Verbindung mit dem Remotecomputer herstellen. Versuchen Sie noch einmal, die Verbindung herzustellen, und wenden Sie sich an den Besitzer des Remotecomputers oder an Ihren Netzwerkadministrator, wenn das Problem weiterhin besteht.

Ursache

Es gibt mehrere Gründe, warum der NLA den RDP-Zugriff auf eine VM blockieren kann:

• Die VM kann nicht mit dem Domain Controller (DC) kommunizieren. Dieses Problem kann verhindern, dass eine RDP-Sitzung mit Domänenanmeldeinformationen auf eine VM zugreift. Sie können sich jedoch weiterhin mit den Anmeldedaten des lokalen Administrators anmelden. Dieses Problem kann in den folgenden Situationen auftreten:
  • Der Active Directory-Sicherheitskanal zwischen dieser VM und dem DC ist unterbrochen.
  • Die VM hat eine alte Kopie des Kontopassworts und der DC hat eine neuere Kopie.
  • Der DC, mit dem sich diese VM verbindet, hat ein Problem.
• Die Verschlüsselungsstufe der VM ist höher als die vom Client-Computer verwendete.
• Die Protokolle TLS 1.0, 1.1 oder 1.2 (Server) sind auf der VM deaktiviert. Die VM wurde so eingerichtet, dass die Anmeldung mit Domänenanmeldeinformationen deaktiviert ist, und die lokale Sicherheitsautorität (LSA) ist falsch eingerichtet.
• Die VM wurde so eingerichtet, dass sie nur Verbindungen mit Algorithmen akzeptiert, die dem Federal Information Processing Standard (FIPS) entsprechen. Dies geschieht in der Regel über die Active Directory-Richtlinie. Dies ist eine seltene Konfiguration, aber FIPS kann nur für Remote Desktop-Verbindungen erzwungen werden.

Vor Beginn der Problembehandlung

Erstellen einer Momentaufnahme für die Sicherung

Wenn Sie eine Momentaufnahme für die Sicherung erstellen möchten, führen Sie die unter Erstellen einer Momentaufnahme eines Datenträgers beschriebenen Schritte aus.

Herstellen einer Remoteverbindung mit dem virtuellen Computer

Um eine Remoteverbindung mit der VM herzustellen, verwenden Sie eine der in How to use remote tools to troubleshoot Azure VM issues (Verwenden von Remotetools zur Behandlung von Azure-VM-Problemen) beschriebenen Methoden.

Kundendienst für Gruppenrichtlinien

Wenn es sich um eine domänenverbundene VM handelt, stoppen Sie zunächst den Gruppenrichtlinien-Clientdienst, um zu verhindern, dass eine Active Directory-Richtlinie die Änderungen überschreibt. Führen Sie zu diesem Zweck den folgenden Befehl aus:

REM Disable the member server to retrieve the latest GPO from the domain upon start
REG add "HKLM\SYSTEM\CurrentControlSet\Services\gpsvc" /v Start /t REG_DWORD /d 4 /f

Nachdem das Problem behoben ist, stellen Sie die Fähigkeit dieser VM wieder her, die Domäne zu kontaktieren, um das neueste GPO von der Domäne abzurufen. Führen Sie zu diesem Zweck die folgenden Befehle aus:

sc config gpsvc start= auto
sc start gpsvc

gpupdate /force

Wenn die Änderung zurückgesetzt wird, bedeutet dies, dass eine Active Directory-Richtlinie in Ihrer Unternehmensdomäne vorhanden ist.

Problemumgehung

Als provisorische Abhilfemaßnahme, um eine Verbindung zur VM herzustellen und die Ursache zu beheben, können Sie NLA vorübergehend deaktivieren. Um NLA zu deaktivieren, verwenden Sie bitte die folgenden Befehle oder das Skript DisableNLA in Befehl ausführen.

REM Disable the Network Level Authentication
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0

Starten Sie dann die VM neu, und fahren Sie mit dem Abschnitt zur Fehlerbehebung fort.

Wenn Sie das Problem behoben haben, aktivieren Sie NLA wieder, indem Sie die folgenden Befehle ausführen und dann die VM neu starten:

REG add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds /t REG_DWORD /d 0 /f
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f

Problembehandlung

1. Fehlersuche für Domain-verbundene VMs.
2. Fehlerbehebung für eigenständige VMs.

Fehlerbehebung bei Domain-verbundenen VMs

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

1. Überprüfen Sie, ob die VM eine Verbindung mit einem DC herstellen kann
2. Überprüfen Sie die Integrität des DC.

Notiz

Um den Zustand des DC zu testen, können Sie eine andere VM verwenden, die sich im selben VNET und Subnetz befindet und denselben Anmeldeserver verwendet.

Stellen Sie eine Verbindung zu der VM her, bei der das Problem auftritt, indem Sie die Serielle Konsole, Remote-CMD oder Remote-PowerShell verwenden, entsprechend den Schritten im Abschnitt Remote-Verbindung zur VM herstellen.

1. Ermitteln Sie den DC, mit dem sich die VM zu verbinden versucht. Führen Sie den folgenden Befehl in der Konsole aus:

   set | find /i "LOGONSERVER"
   

2. Testen Sie den Zustand des sicheren Kanals zwischen der VM und dem DC. Führen Sie dazu den Befehl Test-ComputerSecureChannel in einer erhöhten PowerShell-Instanz aus. Dieser Befehl gibt Wahr oder Falsch aus und zeigt an, ob der sichere Kanal aktiv ist:

   Test-ComputerSecureChannel -verbose
   

   Wenn der Kanal gestört ist, führen Sie den folgenden Befehl aus, um ihn zu reparieren:

   Test-ComputerSecureChannel -repair
   

3. Vergewissern Sie sich, dass das Passwort für das Computerkonto in Active Directory auf der VM und dem DC aktualisiert ist:

   Reset-ComputerMachinePassword -Server "<COMPUTERNAME>" -Credential <DOMAIN CREDENTIAL WITH DOMAIN ADMIN LEVEL>
   

Wenn die Kommunikation zwischen dem DC und der VM gut ist, aber die Integrität des DC nicht gut genug ist, um eine RDP-Sitzung zu öffnen, können Sie versuchen, den DC neu zu starten.

Wenn die vorangegangenen Befehle das Kommunikationsproblem mit der Domäne nicht behoben haben, können Sie diese VM wieder mit der Domäne verbinden. Gehen Sie dazu wie folgt vor:

1. Erstellen Sie ein Skript mit dem Namen Unjoin.ps1, indem Sie den folgenden Inhalt verwenden, und stellen Sie das Skript als Custom Script Extension im Azure-Portal bereit:

   cmd /c "netdom remove <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10 /Force"
   

   Dieses Skript entfernt die VM zwangsweise aus der Domäne und startet die VM 10 Sekunden später neu. Anschließend müssen Sie das Objekt Computer auf der Domänenseite bereinigen.

2. Nachdem die Bereinigung abgeschlossen ist, verbinden Sie diese VM wieder mit der Domäne. Erstellen Sie dazu ein Skript mit dem Namen JoinDomain.ps1, indem Sie den folgenden Inhalt verwenden, und stellen Sie das Skript als benutzerdefinierte Skripterweiterung im Azure-Portal bereit:

   cmd /c "netdom join <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10"
   

Notiz

Dadurch wird die VM unter Verwendung der angegebenen Anmeldeinformationen der Domäne hinzugefügt.

Wenn der Active Directory-Kanal in Ordnung ist, das Computerkennwort aktualisiert ist und der Domänencontroller wie erwartet funktioniert, versuchen Sie die folgenden Schritte.

Wenn das Problem weiterhin besteht, prüfen Sie, ob die Domänenanmeldung deaktiviert ist. Öffnen Sie dazu ein erweitertes Eingabeaufforderungsfenster und führen Sie den folgenden Befehl aus, um festzustellen, ob die VM so eingerichtet ist, dass Domänenkonten für die Anmeldung bei der VM deaktiviert werden:

REG query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds

Wenn der Schlüssel auf 1 gesetzt ist, bedeutet dies, dass der Server so eingerichtet wurde, dass er keine Domänenanmeldeinformationen zulässt. Ändern Sie diese Taste auf 0.

Fehlerbehebung bei eigenständigen VMs

MinEncryptionLevel prüfen

Führen Sie in einer CMD-Instanz den folgenden Befehl aus, um den MinEncryptionLevel-Registrierungswert abzufragen:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Gehen Sie aufgrund des Registrierungswertes wie folgt vor:

• 4 (FIPS): Prüfen Sie FIP-konforme Algorithmen-Verbindungen.

• 3 (128-Bit-Verschlüsselung): Setzen Sie den Schweregrad auf 2, indem Sie den folgenden Befehl ausführen:

  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2 /f
  

• 2 (höchstmögliche Verschlüsselung, wie sie vom Client vorgegeben wird): Sie können versuchen, die Verschlüsselung auf den Mindestwert von 1 einzustellen, indem Sie den folgenden Befehl ausführen:

  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 1 /f
  

Starten Sie den virtuellen Computer neu, damit die Änderungen an der Registrierung wirksam werden.

TLS-Version

Je nach System verwendet RDP das Protokoll TLS 1.0, 1.1 oder 1.2 (Server). Um abzufragen, wie diese Protokolle auf der VM eingerichtet sind, öffnen Sie eine CMD-Instanz und führen Sie dann die folgenden Befehle aus:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled

Wenn die zurückgegebenen Werte nicht alle 1 sind, bedeutet dies, dass das Protokoll deaktiviert ist. Um diese Protokolle zu aktivieren, führen Sie die folgenden Befehle aus:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f

Für andere Protokollversionen können Sie die folgenden Befehle ausführen:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled

Notiz

Holen Sie sich die SSH/TLS Version x.x aus den Gast-OS.Protokollen auf den SCHANNEL Fehlern.

Überprüfung der Verbindungen von FIPs-konformen Algorithmen

Der Remote-Desktop kann so eingestellt werden, dass er nur FIP-konforme Algorithmusverbindungen verwendet. Dies kann mit Hilfe eines Registrierungsschlüssels eingestellt werden. Um das zu tun, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten und fragen Sie dann die folgenden Schlüssel ab:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled

Wenn der Befehl 1 zurückgibt, ändern Sie den Registrierungswert in 0.

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled /t REG_DWORD /d 0

Prüfen Sie, welches der aktuelle MinEncryptionLevel auf der VM ist:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Wenn der Befehl 4 zurückgibt, ändern Sie den Registrierungswert in 2

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2

Starten Sie den virtuellen Computer neu, damit die Änderungen an der Registrierung wirksam werden.

Nächste Schritte

• SetEncryptionLevel-Methode der Win32_TSGeneralSetting-Klasse
• Konfigurieren Sie die Server-Authentifizierung und Verschlüsselungsstufen
• Win32_TSGeneralSetting-Klasse

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.