Problembehandlung von Authentifizierungsfehlern bei der Verwendung von RDP für das Herstellen von Verbindungen mit Azure-VMs

Gilt für: ✔️ Windows-VMs

Dieser Artikel kann Sie bei der Problembehandlung von Authentifizierungsfehlern unterstützen, die auftreten, wenn Sie eine RDP-Verbindung (Remotedesktopprotokoll) zum Herstellen einer Verbindung mit einem virtuellen Azure-Computer (VM) verwenden.

Notiz

War dieser Artikel hilfreich? Ihre Eingabe ist uns wichtig. Bitte verwenden Sie die Schaltfläche "Feedback " auf dieser Seite, um uns mitzuteilen, wie gut dieser Artikel für Sie funktioniert hat oder wie wir ihn verbessern können.

Problembeschreibung

Sie erfassen einen Screenshot einer Azure-VM, auf dem der Begrüßungsbildschirm zu sehen ist und damit angezeigt wird, dass das Betriebssystem ausgeführt wird. Wenn Sie jedoch versuchen, mithilfe der Remotedesktopverbindung eine Verbindung mit dem virtuellen Computer herzustellen, erhalten Sie eine der folgenden Fehlermeldungen:

• Authentifizierungsfehler. Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.
• Der Remotecomputer, den Sie herstellen möchten, um eine Verbindung herzustellen, erfordert die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA), ihr Windows-Domänencontroller kann jedoch nicht kontaktiert werden, um NLA auszuführen. Wenn Sie Administrator des Remotecomputers sind, können Sie NLA mithilfe der Optionen auf der Registerkarte „Remote“ im Dialogfeld „Systemeigenschaften“ deaktivieren.
• Dieser Computer kann keine Verbindung mit dem Remotecomputer herstellen. Versuchen Sie noch einmal, die Verbindung herzustellen, und wenden Sie sich an den Besitzer des Remotecomputers oder an Ihren Netzwerkadministrator, wenn das Problem weiterhin besteht.

Ursache

Es gibt mehrere Gründe, warum NLA den RDP-Zugriff auf einen virtuellen Computer blockieren kann:

• Die VM kann nicht mit dem Domänencontroller (DC) kommunizieren. Dieses Problem kann eine RDP-Sitzung am Zugriff auf eine VM mithilfe von Domänenanmeldeinformationen hindern. Allerdings wäre die Anmeldung unter Verwendung der lokalen Administratoranmeldeinformationen trotzdem noch möglich. Dieses Problem kann in den folgenden Situationen auftreten:
  • Der Active Directory-Sicherheitskanal zwischen der VM und dem DC ist beschädigt.
  • Der VM verfügt über ein altes Exemplar des Kontokennworts, und der DC hat ein neueres Exemplar.
  • Der Status des DCs, mit dem die VM eine Verbindung herzustellen versucht, ist fehlerhaft.
• Die Verschlüsselungsebene des virtuellen Computers ist höher als der vom Clientcomputer verwendete.
• Die Protokolle TLS 1.0, 1.1 oder 1.2 (Server) sind auf der VM deaktiviert. Die VM wurde so eingerichtet, dass die Anmeldung mithilfe von Domänenanmeldeinformationen deaktiviert ist, und die lokale Sicherheitsautorität (LSA) ist fehlerhaft eingerichtet.
• Die VM wurde dafür eingerichtet, nur Verbindungen mit FIPS-konformen (Federal Information Processing Standard) Algorithmen anzunehmen. Dies erfolgt in der Regel mithilfe einer Active Directory-Richtlinie. Diese Konfiguration ist selten anzutreffen, aber FIPS kann nur für Remotedesktopverbindungen erzwungen werden.

Vor Beginn der Problembehandlung

Erstellen einer Momentaufnahme für die Sicherung

Wenn Sie eine Momentaufnahme für die Sicherung erstellen möchten, führen Sie die unter Erstellen einer Momentaufnahme eines Datenträgers beschriebenen Schritte aus.

Herstellen einer Remoteverbindung mit dem virtuellen Computer

Um eine Remoteverbindung mit der VM herzustellen, verwenden Sie eine der in How to use remote tools to troubleshoot Azure VM issues (Verwenden von Remotetools zur Behandlung von Azure-VM-Problemen) beschriebenen Methoden.

Gruppenrichtlinien-Clientdienst

Wenn es sich um eine in eine Domäne eingebundene VM handelt, beenden Sie zuerst den Gruppenrichtlinien-Clientdienst, um das Überschreiben der Änderungen durch eine Active Directory-Richtlinie zu verhindern. Führen Sie zu diesem Zweck den folgenden Befehl aus:

REM Disable the member server to retrieve the latest GPO from the domain upon start
REG add "HKLM\SYSTEM\CurrentControlSet\Services\gpsvc" /v Start /t REG_DWORD /d 4 /f

Stellen Sie nach dem Beheben des Problems die Fähigkeit der VM wieder her, eine Verbindung mit der Domäne herzustellen, um das neueste GPO bei der Domäne abzurufen. Führen Sie zu diesem Zweck die folgenden Befehle aus:

sc config gpsvc start= auto
sc start gpsvc

gpupdate /force

Wenn die Änderung zurückgesetzt wird, bedeutet dies, dass das Problem durch eine Active Directory-Richtlinie verursacht wird.

Problemumgehung

Als Problemumgehung zum Herstellen einer Verbindung mit dem virtuellen Computer und zur Behebung der Ursache können Sie NLA vorübergehend deaktivieren. Um NLA zu deaktivieren, verwenden Sie bitte die folgenden Befehle, oder verwenden Sie das DisableNLA Skript in Run Command.

REM Disable the Network Level Authentication
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0

Starten Sie dann den virtuellen Computer neu, und fahren Sie mit dem Abschnitt zur Problembehandlung fort.

Nachdem Sie das Problem behoben haben, aktivieren Sie NLA erneut, indem Sie die folgenden Befehle ausführen und dann den virtuellen Computer neu starten:

REG add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds /t REG_DWORD /d 0 /f
REG add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f

Problembehandlung

1. Problembehandlung bei domänenverbundenen VMs.
2. Problembehandlung für eigenständige VMs.

Problembehandlung bei domänenverbundenen VMs

So beheben Sie dieses Problem:

1. Überprüfen Sie, ob der virtuelle Computer eine Verbindung mit einem DC herstellen kann.
2. Überprüfen Sie die Integrität des DC.

Notiz

Um die DC-Integrität zu testen, können Sie einen anderen virtuellen Computer verwenden, der sich im selben VNET, Subnetz befindet und denselben Anmeldeserver verwendet.

Stellen Sie eine Verbindung mit dem virtuellen Computer her, der das Problem mithilfe der seriellen Konsole, der Remote-CMD oder der Remote-PowerShell aufweist, entsprechend den Schritten im Abschnitt "Herstellen einer Remoteverbindung mit dem virtuellen Computer" .

1. Ermitteln Sie den DC, mit dem der virtuelle Computer versucht, eine Verbindung herzustellen. führen Sie den folgenden Befehl in der Konsole aus:

   set | find /i "LOGONSERVER"
   

2. Testen Sie die Integrität des sicheren Kanals zwischen dem virtuellen Computer und dem DC. Führen Sie dazu den Test-ComputerSecureChannel Befehl in einer PowerShell-Instanz mit erhöhten Rechten aus. Dieser Befehl gibt True oder False zurück, der angibt, ob der sichere Kanal aktiv ist:

   Test-ComputerSecureChannel -verbose
   

   Wenn der Kanal gestört ist, führen Sie den folgenden Befehl aus, um ihn zu reparieren:

   Test-ComputerSecureChannel -repair
   

3. Achten Sie darauf, dass das Kennwort für das Computerkonto in der VM und auf dem DC aktualisiert wird:

   Reset-ComputerMachinePassword -Server "<COMPUTERNAME>" -Credential <DOMAIN CREDENTIAL WITH DOMAIN ADMIN LEVEL>
   

Wenn die Kommunikation zwischen dem DC und der VM gut ist, die Integrität des DCs aber nicht ausreicht, um eine RDP-Sitzung zu öffnen, können Sie versuchen, den DC neu zu starten.

Wenn das Kommunikationsproblem mit der Domäne durch die vorstehenden Befehle nicht behoben wurde, können Sie die VM erneut in die Domäne einbinden. Gehen Sie dazu wie folgt vor:

1. Erstellen Sie ein Skript mit dem Namen "Unjoin.ps1", indem Sie den folgenden Inhalt verwenden, und stellen Sie das Skript dann als benutzerdefinierte Skripterweiterung für die Azure-Portal bereit:

   cmd /c "netdom remove <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10 /Force"
   

   Dieses Skript entfernt die VM forcibly aus der Domäne und startet die VM 10 Sekunden später neu. Anschließend müssen Sie das Computer-Objekt auf der Domänenseite bereinigen.

2. Binden Sie nach erledigter Bereinigung die VM wieder in die Domäne ein. Erstellen Sie dazu ein Skript namens "JoinDomain.ps1", indem Sie den folgenden Inhalt verwenden, und stellen Sie das Skript dann als benutzerdefinierte Skripterweiterung für die Azure-Portal bereit:

   cmd /c "netdom join <<MachineName>> /domain:<<DomainName>> /userD:<<DomainAdminhere>> /passwordD:<<PasswordHere>> /reboot:10"
   

Notiz

Dadurch wird die VM mithilfe der angegebenen Anmeldeinformationen in die Domäne eingebunden.

Wenn der Active Directory-Kanal fehlerfrei ist, das Computerkennwort aktualisiert wurde und der Domänencontroller erwartungsgemäß arbeitet, führen Sie die folgenden Schritte aus.

Wenn das Problem weiterhin besteht, überprüfen Sie, ob die Domänenanmeldeinformationen deaktiviert sind. Öffnen Sie zu diesem Zweck eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie dann den folgenden Befehl aus, um zu bestimmen, ob die VM so eingerichtet ist, dass Domänenkonten für die Anmeldung bei der VM deaktiviert werden:

REG query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v disabledomaincreds

Wenn der Schlüssel auf 1 festgelegt ist, bedeutet dies, dass der Server so eingerichtet wurde, dass er keine Domänenanmeldeinformationen zulässt. Ändern Sie diesen Schlüssel in 0.

Problembehandlung für eigenständige VMs

Überprüfen von MinEncryptionLevel

Führen Sie in einer CMD-Instanz den folgenden Befehl aus, um den Registrierungswert "MinEncryptionLevel " abzufragen:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Führen Sie ausgehend vom Registrierungswert diese Schritte aus:

• 4 (FIPS): Überprüfen Sie FIPs-kompatible Algorithmenverbindungen.

• 3 (128-Bit-Verschlüsselung): Legen Sie den Schweregrad auf 2 fest, indem Sie den folgenden Befehl ausführen:

  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2 /f
  

• 2 (Höchstmögliche Verschlüsselung nach Maßgabe des Clients): Sie können versuchen, die Verschlüsselung auf den Mindestwert 1 festzulegen, indem Sie den folgenden Befehl ausführen:

  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 1 /f
  

Führen Sie einen Neustart der VM aus, so dass die Änderungen an der Registrierung wirksam werden.

TLS-Version

Je nach System verwendet RDP das TLS 1.0-, 1.1- oder 1.2-Protokoll (Server). Um abzufragen, wie diese Protokolle in der VM eingerichtet sind, öffnen Sie eine CMD-Instanz, und führen Sie dann die folgenden Befehle aus:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled

Wenn die zurückgegebenen Werte nicht alle 1 sind, bedeutet dies, dass das Protokoll deaktiviert ist. Führen Sie die folgenden Befehle aus, um diese Protokolle zu aktivieren:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f

Für andere Protokollversionen können Sie die folgenden Befehle ausführen:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS x.x\Server" /v Enabled

Notiz

Rufen Sie die SSH/TLS-Version x.x aus den Protokollen des Gastbetriebssystems für die SCHANNEL-Fehler ab.

Überprüfen von FIPs-kompatiblen Algorithmenverbindungen

Für Remotedesktop lässt sich die ausschließliche Verwendung von FIPS-konformen Algorithmusverbindungen erzwingen. Dies kann mithilfe eines Registrierungsschlüssels festgelegt werden. Öffnen Sie zu diesem Zweck ein Eingabeaufforderungsfenster mit erhöhten Rechten, und fragen Sie dann die folgenden Schlüssel ab:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled

Wenn der Befehl 1 zurückgibt, ändern Sie den Wert des Registrierungsschlüssels in 0.

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy" /v Enabled /t REG_DWORD /d 0

Überprüfen Sie, was die aktuelle MinEncryptionLevel auf der VM ist:

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel

Wenn der Befehl 4 zurückgibt, ändern Sie den Registrierungswert in 2

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 2

Führen Sie einen Neustart der VM aus, so dass die Änderungen an der Registrierung wirksam werden.

Nächste Schritte

• SetEncryptionLevel-Methode der Win32_TSGeneralSetting-Klasse
• Konfigurieren von Serverauthentifizierung und Verschlüsselungsstufen
• Win32_TSGeneralSetting-Klasse

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.