Freigeben über

Windows 11 Clients: RDP zwischen Clients nicht mehr möglich – „Der Anmeldeversuch ist fehlgeschlagen“

Stephan Hallausch [DBF Solutions GmbH] 25 Zuverlässigkeitspunkte
2025-11-26T16:26:50.2+00:00

Hallo zusammen,

wir stehen aktuell vor einem Problem in unserem Domänen-Netzwerk und kommen hier nicht mehr weiter.

Über GPO werden bei uns folgende Richtlinien an die Windows-Clients verteilt:

Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassenAktiviert

Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlichDeaktiviert

Windows Defender Firewall: Eingehende Remotedesktopausnahmen zulassenAktiviert

Seit der Neuinstallation aller Clients auf Windows 11 (10.0.26200) können die Rechner untereinander keine RDP-Verbindungen mehr aufbauen. Eine RDP-Verbindung zum Domain Controller (Server 2022) funktioniert dahingehend problemlos.

Es wurde sowohl eine Verbindung per Hostname als auch per IP-Adresse getestet – beides ohne Unterschied. Auch das Deaktivieren der Windows Firewall auf den betroffenen Clients bringt keinerlei Besserung.

Beim Verbindungsaufbau zu einem Client erscheint zunächst wie gewohnt die Abfrage der Anmeldeinformationen. Nach Eingabe der korrekten Daten erscheint jedoch sofort die Fehlermeldung:

„Der Anmeldeversuch ist fehlgeschlagen.“

Interessant ist außerdem: Der Zugriff auf dieselben Windows-11-Clients funktioniert problemlos, wenn man von einem Windows-11-Rechner zugreift, der nicht in der Domäne ist. Nur RDP-Verbindungen zwischen Domänen-Clients schlagen fehl.

Zusätzlich ist uns aufgefallen, dass unter Systemsteuerung → Erweiterte Systemeinstellungen → Remote → Remotedesktop der komplette Bereich ausgegraut ist.

Meine Frage: Ist dieser Bereich ausgegraut, weil die Einstellungen per GPO verwaltet werden, oder deutet dies auf ein zusätzliches Problem hin?

Unter „Benutzer auswählen“ kann man weiterhin Einträge vornehmen, und dort ist auch die Gruppe Domain\Domänen-Benutzer eingetragen.

Hat jemand eine Idee, woran das liegen kann oder welche zusätzlichen Einstellungen unter Windows 11 hier relevant sein könnten?

Vielen Dank im Voraus!

Windows für Unternehmen | Windows-Client für IT-Profis | Verzeichnisdienste | Active Directory
0 Kommentare
Antwort, die vom Frageautor angenommen wurde
  1. VPHAN 21,780 Zuverlässigkeitspunkte Unabhängiger Berater
    2025-11-26T17:38:58.5966667+00:00

    Guten Morgen Stephan Hallausch [DBF Solutions GmbH],

    Ich hoffe, es macht Ihnen nichts aus, diese recht ausführliche Erklärung zu lesen: Bezüglich der ausgegrauten Benutzeroberfläche unter Systemeigenschaften können Sie sich darauf beruhigen. Dieses Verhalten ist völlig normal und dient tatsächlich als Bestätigung, dass Ihr Group Policy Object erfolgreich auf diese spezifischen Registrierungsschlüssel angewendet wird. Wenn Sie in GPO über Administrative Templates "Benutzer aus der Ferne verbinden lassen" konfigurieren, sperrt Windows die lokale Benutzeroberfläche, um zu verhindern, dass Benutzer oder lokale Administratoren die Domänenrichtlinie überschreiben. Es zeigt keine Beschädigung oder zusätzlichen Fehler an.

    Der Verbindungsfehler deutet jedoch stark auf einen Konflikt zwischen deiner "NLA deaktivieren"-Richtlinie und der Sicherheitshärtung in diesem speziellen Windows-11-Build (10.0.26200 ist ein 24H2/Canary-Build) hin. Da Verbindungen von Nicht-Domänenmaschinen (die standardmäßig NTLM-Authentifizierung verwenden) funktionieren, aber zwischen Domänenmitgliedern (die Kerberos versuchen) fehlschlagen, liegt das Problem im Authentifizierungshandschlag. Windows 11 22H2 und später aktivieren standardmäßig Windows Defender Credential Guard. Wenn Sie die Network Level Authentication (NLA) im GPO deaktivieren, zwingen Sie den Client, eine Legacy-Login-Sequenz zu versuchen, die Credential Guard oft für domänengebundene Maschinen blockiert, um Credential Diebstahl zu verhindern.

    Um die genaue Blockade zu bestimmen, solltest du das Security Event Log des Zielclients sofort nach einem fehlgeschlagenen Versuch auf Event __ID 4625 überprüfen __ . Sie werden wahrscheinlich einen Fehlerstatus sehen, der sich auf "Ein Fehler während des Anmeldens aufgetreten" mit einem Statuscode wie 0xC000006D (Schlechte Zugangsdaten) oder 0xC000006E (Kontobeschränkungen) bezieht, selbst wenn das Passwort korrekt ist.

    Die zuverlässigste Lösung für diese Umgebung ist in der Regel, die GPO-Einstellung umzukehren und __ die __ Benutzerauthentifizierung mit Netzwerk-Authentifizierung zu aktivieren. Moderne Windows-11-Clients sind für NLA optimiert, und die Aktiverung dieses Codes stimmt den RDP-Handshake mit den nativen Kerberos- und Credential Guard-Sicherheitsrichtlinien in Einklang mit diesen Builds. Wenn du NLA aus Gründen des Legacys unbedingt deaktivieren musst, müsstest du das lokale Register der Clients anpassen, um Credential Guard zu deaktivieren, was deine Sicherheitslage deutlich verringert.

    0 Kommentare

2 zusätzliche Antworten

Sortieren nach: Am hilfreichsten
Am hilfreichsten Neueste Älteste
  1. Stephan Hallausch [DBF Solutions GmbH] 25 Zuverlässigkeitspunkte
    2025-11-27T15:23:57.48+00:00
    Eine Person fand diese Antwort hilfreich.
  2. VPHAN 21,780 Zuverlässigkeitspunkte Unabhängiger Berater
    2025-11-26T17:39:21.49+00:00

    Oh, fast vergessen, ich hoffe, du hast hier etwas Nützliches gefunden. Wenn es dir hilft, mehr Einblick in das Problem zu bekommen, ist es hilfreich, die Antwort dann zu akzeptieren. Sollten Sie weitere Fragen haben, können Sie gerne eine Nachricht hinterlassen. Schönen Tag!

    Vivian

    0 Kommentare

Ihre Antwort

Antworten können von Fragestellenden als „Angenommen“ und von Moderierenden als „Empfohlen“ gekennzeichnet werden, wodurch Benutzende wissen, dass diese Antwort das Problem des Fragestellenden gelöst hat.