Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft bei der Problembehandlung eines Fehlers, der auftritt, wenn Sie die Konfiguration eines Remotedesktopdienste(RDS)-Lizenzservers überprüfen.
Sie verfügen über einen in die Domäne eingebundenen Server, auf dem die Remotedesktop-Lizenzserverrolle ausgeführt wird. Wenn Sie den Konfigurationsstatus über die Remotedesktop licensing Manager-Konsole überprüfen, wird im Konfigurationsfenster die folgende Fehlermeldung angezeigt:
Das System kann nicht ermitteln, ob der Lizenzserver Mitglied der TSLS-Gruppe in Active Directory-Domäne Services (AD DS) ist, da der AD DS nicht kontaktiert werden kann.
Nachfolgend werden einige mögliche Ursachen aufgeführt:
- Der Remotedesktop-Lizenzserver kann keinen Domänencontroller (DC) im Netzwerk kontaktieren.
- Der Remotedesktop-Lizenzserver ist kein Mitglied der TsLS-Domänengruppe (Terminal Server License Servers).
- Sicherheitseinschränkungen werden auf DCs erzwungen, um Remoteaufrufe an den Security Account Manager (SAM) einzuschränken.
Führen Sie die folgenden Schritte aus, um den Fehler beim Überprüfen zu beheben, ob der Remotedesktoplizenzserver Teil der TSLS-Domänengruppe ist.
Schritt 1: Überprüfen der Domänenkonnektivität
Wenn der Server Teil der TSLS-Domänengruppe ist, überprüfen Sie, ob der Lizenzserver einen gültigen DC in Ihrer Domäne erreichen kann.
Wenn die Domänenkonnektivität verloren geht, bemerken Sie möglicherweise andere Symptome, z. B. Gruppenrichtlinienaktualisierungsfehler, Anmeldefehler oder Verlust der Vertrauensstellung mit dem DC.
Wenn Sie diese Symptome bemerken, arbeiten Sie mit Ihrem Systemadministrator zusammen, um das Verbindungsproblem zu beheben.
Schritt 2: Überprüfen der Gruppenmitgliedschaft
Überprüfen Sie die Mitglieder der Gruppe "Terminal Server License Servers ", indem Sie die folgenden Schritte ausführen:
- Öffnen Sie auf einem DC die Active Directory-Benutzer und -Computer Konsole.
- Wählen Sie den integrierten Container aus, und öffnen Sie dann die Gruppe "TerminalServer-Lizenzserver " im rechten Bereich.
- Wählen Sie Elemente aus, und überprüfen Sie dann, ob das Lizenzservercomputerobjekt aufgeführt ist.
Schritt 3: Überprüfen von Sicherheitseinschränkungen
Wenn Sie bestätigt haben, dass die Konnektivität mit einem DC in Ihrem Netzwerk gut etabliert ist und das Problem weiterhin besteht, gelten möglicherweise Sicherheitseinschränkungen auf Ihrem DC. Diese Einschränkungen steuern, welche Benutzer Benutzer und Gruppen in Active Directory (AD) aufzählen können.
In diesem Fall treten Sicherheitseinschränkungen auf, die in Windows Server 2016 eingeführt und später über ein Update zu allen anderen Windows-Betriebssystemen hinzugefügt wurden. Diese Einschränkungen beschränken die Fähigkeit des Clients, Remote-SAM-Aufrufe an die lokale SAM-Datenbank und AD auszuführen.
Weitere Informationen zu dieser Sicherheitseinstellung finden Sie im Netzwerkzugriff: Einschränken von Clients, die Remoteanrufe an die Sicherheitsrichtlinieneinstellung SAM tätigen dürfen.
Wenn diese Richtlinie aktiviert ist, wirkt sich auf die Überprüfung der Mitgliedschaft des Lizenzservers in der TSLS-Domänengruppe aus, wenn der Lizenzserver nicht unter den Benutzern ist, die Remoteanrufe an AD tätigen dürfen.
Standardmäßig ist der Netzwerkzugriff: Clients, die Remoteaufrufe an die SAM-Sicherheitsrichtlinieneinstellung zulassen, sind nicht definiert. Wenn Sie sie definieren, können Sie die standardmäßige SDDL-Zeichenfolge (Security Descriptor Definition Language) bearbeiten, um Benutzer und Gruppen explizit zuzulassen oder zu verweigern, Remoteanrufe an SAM auszuführen.
Wenn die Richtlinieneinstellung nach der Definition leer gelassen wird, wird die Richtlinie nicht erzwungen.
Um zu überprüfen, ob diese Einschränkungen auftreten, überprüfen Sie einen der folgenden Punkte:
Überprüfen Sie auf dem Anmelde-DC für den Remotedesktop-Lizenzserver, ob der folgende Registrierungsschlüssel vorhanden ist:
HKLM\System\CurrentControlSet\Control\Lsa\RestrictRemoteSAMWenn dieser Schlüssel vorhanden ist, bedeutet dies, dass der DC mit der SAM-Einschränkungsrichtlinie konfiguriert ist.
Überprüfen Sie, ob das folgende Gruppenrichtlinienobjekt vorhanden ist und auf den DC angewendet wird:
Computerkonfiguration>windows Settings>Security Settings>Local Policies>Security Options>Network Access: Einschränken der Clients, die Remoteanrufe an SAM tätigen dürfen
Hinweis
Dieses Verhalten wird erwartet, wenn SAM-Aufrufe auf den DC beschränkt sind. Die RDS-Lizenzierungsfunktion hat jedoch keine Auswirkungen auf die Ausgabe von Clientzugriffslizenzen (CLIENT Access Licenses, CALs) und die Aufrechterhaltung der Konnektivität mit seinen Peers in der RDS-Farm.
Um zu überprüfen, ob der Remotedesktop-Lizenzserver von dieser Richtlinie betroffen ist, lesen Sie die zugehörigen Ereignisse auf dem DC.
Um dem Remotedesktop-Lizenzserver remote SAM-Aufrufe an AD zu ermöglichen, verwenden Sie gruppenrichtlinien, um das Computerkonto des Remotedesktop-Lizenzservers zur Liste der zulässigen Konten unter dieser Richtlinie hinzuzufügen: Netzwerkzugriff: Clients einschränken, die Remoteanrufe an SAM tätigen dürfen.
Hinweis
Neustarts sind nicht erforderlich, um den Netzwerkzugriff zu aktivieren, zu deaktivieren oder zu ändern: Beschränken Sie Clients, die Remoteanrufe an die SAM-Sicherheitsrichtlinieneinstellung vornehmen dürfen, einschließlich des Modus "Nur-Überwachung". Änderungen werden ohne Geräteneustart wirksam, wenn sie lokal gespeichert oder über die Gruppenrichtlinie verteilt werden.
Microsoft-Support kontaktieren
Wenn das Problem durch die vorstehenden Schritte nicht behoben werden kann, wenden Sie sich an Microsoft-Support, um weitere Hilfe zu erhalten.