LKBDE11299: Probleme bei der Benutzeranmeldung auf einem MS Terminalserver (RDP) / Citrix Presentation Server (XenApp)

Symptom

Fehlermeldungen bei der Anmeldung

Cause

Verschiedene Einstellungen und Berechtigungen

Solution

Bei dem Versuch, sich mit einem nicht-Administrator Konto auf einem Citrix Presentation Server (bzw. XenApp) oder einem MS Terminal (RDP-)Server bekommen Sie folgende Meldung:
"Sie müssen über die Zugriffsberechtigung für Terminalserverbenutzer auf diesem
Computer verfügen, um sich remote Anmelden zu können ..."

bzw. auf Englisch:
"To log on to this remote computer, you must have Terminal Server User Access permissions on this computer. By default, members of the Remote Desktop Users group have these permissions. If you are no a member of the Remote Desktop Users group or another group that has these permissions, or if the Remote Desktop User group does not have these permissions, you must be granted these permissions manually."


Hierfür kann es verschiedene Ursachen geben:

1) Der Terminalserver läuft nicht als Anwendungsserver (Applicationserver Mode).
Windows Server 2003 stellt die Terminalservices für Adminstrationszwecke standardmäßig bereit. Dieser Modus ist allerdings limitiert: max. 2 Verbindungen pro Server (+ Konsolensitzung) für Mitglieder der lokalen Administratorengruppe.
--> Installiere zusätzlich die Terminaldienste (als Anwendungsserver). Dies geht entweder über den Serverkonfiguration - Assistenten oder über Software (Windows Komponenten hinzufügen/entfernen) in der Systemsteuerung.

2) Obwohl die o.g. Meldung anders aussehen müsste, lohnt es sich an dieser Stelle, auch den Terminalserver - Lizenzserver zu prüfen. Für den Anwendungsmodus wird zwingend ein Lizenzserver im Netz benötigt, der nach einer Spanne von ca. 90 Tagen auch bei Microsoft aktiviert werden muss.

3) Überprüfe die lokale Gruppe der "Remotedesktopbenutzer" (Rechtsklick auf "Arbeitsplatz" --> "Verwalten" - "Lokale Benutzer und Gruppen" - "Gruppen"):
Diese Gruppe sollte (nicht-administrative-) Gruppen oder Benutzer enthalten, die für die Anmeldung über Terminaldienste vorgesehen sind. Am Besten geschieht dies über eine Domänengruppe. Administratoren müssen hier nicht enthalten sein, da die Gruppe der lokalen Admininstratoren ohnehin über das Recht verfügt, sich über RDP anzumelden.

4) Überprüfe die Lokale Sicherheitsrichtlinie --> "Lokale Richtlinien" - "Benutzerrechte" - "Lokale Anmeldung zulassen" und "Anmeldung über Terminaldienste zulassen" müssen für die gewünschten Gruppen / Benutzer aktiviert sein. Seit Windows Server 2003 sollte das "Lokale Anmeldung zulassen" Recht nicht mehr nötig sein, da sich dieses Recht nur noch auf die Konsolensitzung bezieht.

5) Die in Punkt 4 besprochenen Einstellungen können auch durch eine Domänenrichtlinie (GPO) konfiguriert sein. Die entsprechende GPO muss in diesem Fall auch auf den fraglichen Server verlinkt sein (Server in der richtigen OU?).

6) In einer Active Directory Umgebung stelle sicher, dass in den AD - Benutzereigenschaften KEIN Haken gesetzt ist bei "Terminaldiensteprofil" - "Anmeldeberechtigung für diesen Benutzer für alle Terminalserver verweigern" (unten).

7) Überprüfe das Sicherheits - Ereignisprotokoll des Servers. Wenn dieses Log vollgelaufen ist, könnte es weitere Benutzeranmeldungen verhindern.

------ Die oberen Punkte beziehen sich auf einen reinen MS Terminalserver (also RDP); die folgenden Punkte gelten für einen Citrix Presentation- / XenApp Server ------------

8) Stelle sicher, dass ein Citrix Lizenzserver existiert, funktioniert und Lizenzpakete aktiviert sind. Die entsprechende Fehlermeldung lautet etwa:

"Sie müssen Citrix Lizensierung installieren, bevor Sie sich mit dem Server verbinden können. Nur Administratoren können sich ohne Citrix Lizenzen mit dem Server verbinden"
bzw. auf Englisch:
"You require to install Citrix license before connect to Server. Only Administrator can connect to server without Citrix licenses"...

9) Öffne das "Terminalservicekonfiguration" Tool (tscc.msc) - "Verbindungen" - Öffne die Eigenschaften der ICA-tcp Verbindung - Wähle "Erweitert" TAb und kontrolliere, dass KEIN Haken bei "Nur veröffentlichte Anwendungen" (engl. "Only Run Published Applications") gesetzt ist. Wiederhole die Kontrolle bie der RDP-tcp Verbindung, sie wird nach der Installation des Citrix Presentation (bzw. XenApp-) Server einen "Citrix" - Tab haben.

Disclaimer:

About the Author

Author: Ingo Bock - Keskon GmbH & Co. KG

-

Latest update: 08.06.2022 | Comment: