Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✔️ Windows-VMs
In diesem Artikel wird erläutert, wie Sie ein Problem beheben, das verhindert, dass Sie aufgrund eines Fehlers "Zugriff verweigert" eine Verbindung mit einem virtuellen Azure-Computer (VM) herstellen.
Symptome
Wenn Sie versuchen, eine Verbindung mit einer Azure Windows-VM mithilfe des Remotedesktopprotokolls (REMOTE Desktop Protocol, RDP) herzustellen, erhalten Sie die folgende Fehlermeldung auf dem Anmeldebildschirm:
Zugriff verweigert.
Sie können eine Verbindung mit der VM herstellen, indem Sie eine RDP-Administratorsitzung (mstsc/admin) verwenden. Sie sehen aber, dass im Benachrichtigungsbereich ein Netzwerkverbindungsfehler angezeigt wird.
Ursache
Dieses Problem kann aus folgenden Gründen auftreten:
- Der Benutzer verfügt nicht über die Berechtigungen zum Lesen der Zertifikatregistrierungseinträge in den Terminaldiensten.
- Das Benutzerprofil wurde nicht geladen. Diese Situation tritt in der Regel aufgrund einiger Benutzerrichtlinien auf, die einen Konflikt im Profil verursachen.
- Die Größe des Kerberos-Tokens ist nicht groß genug, um alle Gruppenmitgliedschaftsinformationen für den Benutzer zu enthalten. Diese Situation tritt auf, wenn der Benutzer zu vielen Active Directory(AD)-Gruppen und geschachtelten AD-Gruppen gehört. Windows erstellt das Token, um den Benutzer für die Autorisierung darzustellen. Dieses Token (auch als Autorisierungskontext bezeichnet) enthält die Sicherheits-IDs (SID) des Benutzers zusammen mit den SIDs aller Gruppen, zu denen der Benutzer gehört.
Lösung
Bevor Sie mit der Problembehandlung beginnen, sichern Sie den Betriebssystemdatenträger. Stellen Sie dann mithilfe der seriellen Azure-Konsole eine Verbindung mit dem virtuellen Computer her, und starten Sie eine PowerShell-Sitzung. Wenn die serielle Azure-Konsole nicht funktioniert, stellen Sie über Remote-PowerShell eine Verbindung mit dem virtuellen Computer her. Weitere Informationen finden Sie unter Verwendung von Remotetools zur Behandlung von Problemen mit virtuellen Azure-Computern.
Nachdem Sie mithilfe von PowerShell eine Verbindung mit dem virtuellen Computer hergestellt haben, führen Sie die folgenden Schritte aus, um die Probleme zu beheben. Starten Sie nach jedem Schritt den virtuellen Computer neu, und überprüfen Sie, ob das Problem behoben ist.
Überprüfen Sie, ob die Gruppe "Remotedesktopbenutzer " den Lesen-Berechtigung für den folgenden Schlüssel enthält:
Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\SystemCertificates\Remote Desktop\Certificates" | Format-ListWenn diese Berechtigung nicht erteilt wird, führen Sie die folgenden Befehle aus, um lesezugriff auf die Gruppe "Remotedesktopbenutzer " zu gewähren:
$NewAcl = Get-Acl -Path " HKLM:\SOFTWARE\Microsoft\SystemCertificates\Remote Desktop\Certificates" # Set properties $identity = "BUILTIN\Remote Desktop Users" $fileSystemRights = "read" $type = "Allow" # Create new rule $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $type $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList # Apply new rule $NewAcl.SetAccessRule($fileSystemAccessRule) Set-Acl -Path " HKLM:\SOFTWARE\Microsoft\SystemCertificates\Remote Desktop\Certificates " -AclObject $NewAclLegen Sie den folgenden Registrierungsschlüsselwert fest, um den Fehler beim Laden des Profils zu ignorieren:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -name "IgnoreRegUserConfigErrors" 1 -Type DWord -forceLegen Sie die Größe des Tokens auf den maximal zulässigen Wert fest:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -name "MaxTokenSize" 65535 -Type DWord -forceLegen Sie das richtige Konto für die Terminaldienste fest:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\services\termservice' -name "ObjectName" "NT Authority\NetworkService" -Type String -forceStarten Sie den virtuellen Computer neu, um die Registrierungsänderungen wirksam zu machen.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.