Freigeben über


Der Benutzer kann sich nicht authentifizieren oder muss sich zweimal authentifizieren

In diesem Artikel werden Probleme behandelt, die sich auf die Benutzerauthentifizierung auswirken können.

Zugriff verweigert, eingeschränkter Anmeldungstyp

In diesem Fall wird einem Windows 10-Benutzer, der versucht, eine Verbindung mit Windows 10- oder Windows Server 2016-Computern herzustellen, der Zugriff mit der folgenden Meldung verweigert:

Remotedesktopverbindung: Der Systemadministrator hat den Typ der Anmeldung (Netzwerk oder interaktiv) eingeschränkt, die Sie verwenden können. Bitten Sie Ihren Systemadministrator oder den technischen Support um Hilfe.

Dieses Problem tritt auf, wenn die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) für RDP-Verbindungen erforderlich ist und der Benutzer kein Mitglied der Gruppe "Remotedesktopbenutzer " ist. Es kann auch auftreten, wenn der Gruppe "Remotedesktopbenutzer" der Zugriff auf diesen Computer nicht über das Netzwerkbenutzerrecht zugewiesen wurde.

Um dieses Problem zu beheben, ergreifen Sie eine der folgenden Maßnahmen:

Ändern der Gruppenmitgliedschaft oder der Zuweisung von Benutzerrechten für den Benutzer

Wenn dieses Problem einen einzelnen Benutzer betrifft, besteht die geradlinigste Lösung dieses Problems darin, ihn der Gruppe Remotedesktopbenutzer zuzuweisen.

Wenn der Benutzer bereits ein Mitglied dieser Gruppe ist (oder wenn mehrere Gruppenmitglieder das gleiche Problem haben), überprüfen Sie die Konfiguration der Benutzerrechte auf dem Windows 10- oder Windows Server 2016-Remotecomputer.

  1. Öffnen Sie den Gruppenrichtlinienobjekt-Editor (GPE), und stellen Sie eine Verbindung mit der lokalen Richtlinie des Remotecomputers her.

  2. Wechseln Sie zu "Sicherheitseinstellungen\für Computerkonfiguration\windows Settings\Local Policies\User Rights Assignment", klicken Sie mit der rechten Maustaste auf diesen Computer aus dem Netzwerk, und wählen Sie dann "Eigenschaften" aus.

  3. Überprüfen Sie die Liste der Benutzer und Gruppen für Remotedesktopbenutzer (oder eine übergeordnete Gruppe).

  4. Wenn die Liste Remotedesktopbenutzer oder eine übergeordnete Gruppe wie Jeder nicht enthält, müssen Sie sie der Liste hinzufügen. Wenn Ihre Bereitstellung mehr als einen Computer enthält, verwenden Sie ein Gruppenrichtlinienobjekt.

    Beispielsweise schließt die Standardmitgliedschaft für Auf diesen Computer vom Netzwerk aus zugreifenJeder ein. Wenn Ihre Bereitstellung ein Gruppenrichtlinienobjekt verwendet, um Jeder zu entfernen, müssen Sie möglicherweise den Zugriff wiederherstellen, indem Sie das Gruppenrichtlinienobjekt so aktualisieren, dass Remotedesktopbenutzer hinzugefügt werden.

Zugriff verweigert, ein Remoteaufruf der SAM-Datenbank wurde abgelehnt

Dieses Verhalten tritt mit hoher Wahrscheinlichkeit auf, wenn auf Ihren Domänencontrollern Windows Server 2016 oder höher ausgeführt wird und Benutzer versuchen, mithilfe einer benutzerdefinierten Verbindungs-App eine Verbindung herzustellen. Insbesondere wird Anwendungen, die versuchen, auf Profilinformationen von Benutzern in Active Directory zuzugreifen, der Zugriff verweigert.

Dieses Verhalten ist das Ergebnis einer Änderung an Windows. Wenn sich ein Benutzer unter Windows Server 2012 R2 und früheren Versionen bei einem Remotedesktop anmeldet, wendet sich der Remoteverbindungs-Manager (RCM) an den Domänencontroller (DC), um die Konfigurationen abzufragen, die für Remotedesktop für das Benutzerobjekt in Active Directory Domain Services (AD DS) spezifisch sind. Diese Informationen werden auf der Registerkarte „Remotedesktopdienste“ der Eigenschaften eines Benutzerobjekts im MMC-Snap-In Active Directory-Benutzer und -Computer angezeigt.

Ab Windows Server 2016 fragt RCM die Benutzerobjekte in AD DS nicht mehr ab. Wenn Sie die Abfrage von AD DS durch den RCM benötigen, weil Sie die Remotedesktopdienste-Attribute verwenden, müssen Sie die Abfrage manuell aktivieren.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Um das Legacy-RCM-Verhalten auf einem RD-Sitzungshostserver zu aktivieren, konfigurieren Sie die folgenden Registrierungseinträge, und starten Sie dann den Remotedesktopdienstedienst neu:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
    • Name: fQueryUserConfigFromDC
    • Typ: Reg_DWORD
    • Wert: 1 (Dezimal)

Um das Legacy-RCM-Verhalten auf einem anderen Server als einem RD-Sitzungshostserver zu aktivieren, konfigurieren Sie diese Registrierungseinträge und den folgenden zusätzlichen Registrierungseintrag (und starten Sie dann den Dienst neu):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Weitere Informationen zu diesem Verhalten finden Sie unter Änderungen an Remote-Verbindungs-Manager in Windows Server 2016.

Der Benutzer kann sich nicht mit einer Smartcard anmelden

In diesem Abschnitt werden drei häufige Szenarien behandelt, in denen sich ein Benutzer nicht mit einer Smartcard bei einem Remotedesktop anmelden kann.

Die Anmeldung mit einer Smartcard bei einer Filiale mit einem schreibgeschützten Domänencontroller (RODC) ist nicht möglich

Dieses Problem tritt in Bereitstellungen auf, die einen RDSH-Server an einem Filialstandort beinhalten, der einen RODC verwendet. Der RDSH-Server ist in der Stammdomäne gehostet. Die Benutzer am Filialstandort gehören zu einer Unterdomäne und verwenden Smartcards zur Authentifizierung. Der RODC ist für das Cachen von Benutzerkennwörtern konfiguriert (der RODC gehört zur Zulässige RODC-Kennwortreplikationsgruppe). Wenn Benutzer versuchen, sich bei Sitzungen auf dem RDSH-Server anzumelden, erhalten sie Meldungen wie „Der Anmeldeversuch ist ungültig. Dies liegt entweder an einem ungültigen Benutzernamen oder an ungültigen Authentifizierungsinformationen“.

Dieses Problem wird durch das Verfahren verursacht, mit dem der Stamm-DC und der RODC die Verschlüsselung der Benutzeranmeldeinformationen verwalten. Der Stamm-DC verwendet einen Verschlüsselungsschlüssel zum Verschlüsseln der Anmeldeinformationen, und der RODC übergibt den Entschlüsselungsschlüssel an den Client. Wenn ein Benutzer den Fehler "ungültig" erhält, bedeutet dies, dass die beiden Schlüssel nicht übereinstimmen.

Dieses Problem können Sie mit einer der folgenden Methoden umgehen:

  • Ändern Sie Die DC-Topologie, indem Sie die Kennwortzwischenspeicherung auf dem RODC deaktivieren oder einen schreibbaren DC-Code auf dem Zweigstellenstandort bereitstellen.
  • Verschieben Sie den RDSH-Server in die gleiche untergeordnete Domäne wie die Benutzer.
  • Erlauben Sie Benutzern die Anmeldung ohne Smartcards.

Beachten Sie, dass alle diese Lösungen Kompromisse bei der Leistung oder der Sicherheitsstufe verlangen.

Der Benutzer kann sich bei einem Windows Server 2008 SP2-Computer nicht mit einer Smartcard anmelden

Dieses Problem tritt auf, wenn Benutzer sich bei einem Windows Server 2008 SP2-Computer anmelden, auf dem ein Update mit KB4093227 (2018.4B) ausgeführt wurde. Wenn Benutzer versuchen, sich mit einer Smartcard anzumelden, wird der Zugriff mit Nachrichten wie "Keine gültigen Zertifikate gefunden" verweigert. Überprüfen Sie, ob die Karte ordnungsgemäß eingesteckt wurde und formschlüssig passt“ verweigert. Zugleich zeichnet der Windows Server-Computer das Anwendungsereignis „Fehler beim Abrufen eines digitalen Zertifikats von der eingelegten Smartcard. Ungültige Signatur“ auf.

Um dieses Problem zu beheben, aktualisieren Sie den Windows Server-Computer mit der Neuveröffentlichung 2018.06 B von KB 4093227, Beschreibung des Sicherheitsupdates für das Denial-of-Service-Sicherheitsrisiko beim Windows-Remotedesktopprotokoll (RDP) in Windows Server 2008: 10. April 2018

Der Benutzer kann nicht mit einer Smartcard angemeldet bleiben, und der Remotedesktopdienst reagiert nicht

Dieses Problem tritt auf, wenn sich Benutzer bei einem Windows- oder Windows Server-Computer anmelden, für den ein Update mithilfe von KB 4056446 ausgeführt wurde. Der Benutzer ist möglicherweise zunächst in der Lage, sich mithilfe einer Smartcard beim System anzumelden, aber anschließend erhält er eine Fehlermeldung „SCARD_E_NO_SERVICE“. Der Remotecomputer hört möglicherweise auf, zu reagieren.

Um dieses Problem zu umgehen, führen Sie einen Neustart des Remotecomputers durch.

Um dieses Problem zu beheben, aktualisieren Sie den Remotecomputer mit dem passenden Fix:

Wenn der Remotecomputer gesperrt ist, muss der Benutzer das Kennwort zweimal eingeben

Dieses Problem kann auftreten, wenn ein Benutzer versucht, eine Verbindung mit einem Remotedesktop herzustellen, auf dem Windows 10, Version 1709, in einer Bereitstellung ausgeführt wird, in der für RDP-Verbindungen keine Authentifizierung auf Netzwerkebene vorgeschrieben ist. Wenn unter diesen Umständen der Remotedesktop gesperrt wird, muss der Benutzer seine Anmeldeinformationen beim Herstellen der Verbindung zweimal eingeben.

Um dieses Problem zu beheben, aktualisieren Sie den Windows 10 Version 1709-Computer mit KB-4343893, dem 30. August 2018-KB4343893 (Os Build 16299.637).

Der Benutzer kann sich nicht anmelden und erhält die Meldungen „Authentifizierungsfehler“ und „CredSSP encryption oracle remediation“ (CredSSP-Verschlüsselung – Oracle-Wartung)

Wenn Benutzer versuchen, sich mit einer beliebigen Version von Windows Vista SP2 und höheren Versionen oder Windows Server 2008 SP2 und höheren Versionen anzumelden, werden ihnen der Zugriff verweigert und Nachrichten wie diese empfangen:

Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. ... Dies könnte aufgrund der CredSSP-Verschlüsselung Oracle Remediation ...

„CredSSP-Verschlüsselung – Oracle-Wartung“ bezieht sich auf einen Satz Sicherheitsupdates, die im März, April und Mai 2018 veröffentlicht wurden. CredSSP ist ein Authentifizierungsanbieter, der Authentifizierungsanforderungen für andere Anwendungen verarbeitet. Das Update „3B“ vom 13. März 2018 und nachfolgende Updates befassten sich mit einem Exploit, der es einem Angreifer ermöglichte, Benutzeranmeldeinformationen weiterzuleiten, um Code auf dem Zielsystem auszuführen.

Die anfänglichen Updates haben Unterstützung für ein neues Gruppenrichtlinienobjekt, Encryption Oracle Remediation, hinzugefügt, das die folgenden möglichen Einstellungen hat:

  • Vulnerable (Anfällig): Clientanwendungen, die CredSSP verwenden, können ein Fallback auf unsichere Versionen ausführen, jedoch werden die Remotedesktops durch dieses Verhalten möglichen Angriffen ausgesetzt. Dienste, die CredSSP verwenden, akzeptieren Clients, die nicht aktualisiert wurden.

  • Mitigated (Entschärft): Clientanwendungen, die CredSSP verwenden, können kein Fallback auf unsichere Versionen vornehmen, aber Dienste, die CredSSP verwenden, akzeptieren Clients, für die kein Update ausgeführt wurde.

  • Force Updated Clients (Aktualisierte Clients erzwingen): Clientanwendungen, die CredSSP verwenden, können kein Fallback auf unsichere Versionen vornehmen, und Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients.

    Hinweis

    Diese Einstellung sollte erst bereitgestellt werden, wenn alle Remotehosts die neueste Version unterstützen.

Mit dem Update vom 8. Mai 2018 wurde die Standardeinstellung der Encryption Oracle-Abwehr von „Vulnerable“ (Anfällig) in „Mitigated“ (Entschärft) geändert. Dank dieser Änderung können Remotedesktopclients, die die Updates enthalten, keine Verbindungen mit Servern herstellen, die nicht über sie verfügen (oder mit aktualisierten Servern, die nicht neu gestartet wurden). Weitere Informationen zu CredSSP-Updates finden Sie unter KB 4093492.

Um dieses Problem zu beheben, aktualisieren Sie alle Systeme, und starten Sie sie neu. Eine vollständige Liste der Updates und weitere Informationen zu Sicherheitsrisiken finden Sie unter CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability (CVE-2018-0886 | CredSSP – Sicherheitsrisiko bei der Remotecodeausführung).

Um dieses Problem bis zum Abschluss der Updates zu umgehen, lesen Sie KB 4093492 wegen Informationen zu den zulässigen Verbindungstypen. Wenn es keine machbaren Alternativen gibt, können Sie eine der folgenden Methoden in Betracht ziehen:

  • Legen Sie für die betroffenen Clientcomputer die Richtlinie „Encryption Oracle-Abwehr“ wieder auf Vulnerable (Anfällig) fest.
  • Ändern Sie die folgenden Richtlinien im Gruppenrichtlinienordner "Computerkonfiguration\administrative Vorlagen\für Windows-Komponenten\remotedesktopdienste\Remotedesktopdienste Remotedesktopsitzungshost-Sicherheitsrichtlinien\":
    • Verwendung einer bestimmten Sicherheitsstufe für Remoteverbindungen (RDP) ist erforderlich: auf Aktiviert festlegen und RDP auswählen.

    • Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene für Remoteverbindungen ist erforderlich: auf Deaktiviert festlegen.

      Wichtig

      Durch Ändern dieser Gruppenrichtlinien verringert sich die Sicherheit der Bereitstellung. Es wird empfohlen, sie nur vorübergehend zu verwenden, wenn überhaupt.

Weitere Informationen zum Arbeiten mit Gruppenrichtlinien finden Sie unter Ändern ein blockierenden Gruppenrichtlinienobjekts.

Nach einem Update von Clientcomputern müssen sich manche Benutzer zweimal anmelden

Wenn sich Benutzer mit einem Computer mit Windows 7 oder Windows 10, Version 1709, bei Remotedesktop anmelden, wird sofort eine zweite Anmeldeaufforderung angezeigt. Dieses Problem tritt auf, wenn der Clientcomputer über die folgenden Updates verfügt:

Um dieses Problem zu beheben, stellen Sie sicher, dass die Computer, mit denen die Benutzer eine Verbindung herstellen möchten (sowie RDSH- oder RDVI-Server) bis Juni 2018 vollständig aktualisiert werden. Dies schließt die folgenden Updates ein:

Benutzern wird der Zugriff auf eine Bereitstellung verweigert, die Remote Credential Guard mit mehreren RD-Verbindungsbrokern verwendet

Dieses Problem tritt in Hochverfügbarkeits-Bereitstellungen mit zwei oder mehr Remotedesktop-Verbindungsbrokern auf, wenn Windows Defender Remote Credential Guard verwendet wird. Benutzer können sich nicht an Remotedesktops anmelden.

Dieses Problem tritt auf, weil Remote Credential Guard Kerberos für die Authentifizierung verwendet und NTLM einschränkt. Allerdings können die RD-Verbindungsbroker in einer Hochverfügbarkeitskonfiguration mit Lastenausgleich keine Kerberos-Vorgänge unterstützen.

Wenn Sie eine Hochverfügbarkeitskonfiguration mit RD-Verbindungsbrokern mit Lastenausgleich verwenden müssen, können Sie dieses Problem umgehen, indem Sie Remote Credential Guard deaktivieren. Weitere Informationen über das Verwalten von Windows Defender Remote Credential Guard finden Sie unter Schützen von Remote Desktop-Anmeldeinformationen mit Windows Defender Remote Credential Guard.