RDP - Der Anmeldeversuch ist fehlgeschlagen (Win10 Pro 21H1)

[cosmos321]

Hallo zusammen,

ich habe ein Problem, welches ich nicht lösen kann und bräuchte mal eure Hilfe.

Situation: RDP-Verbindung von Desktop-PC auf DELL LAPTOP geht nicht, andersherum aber funktioniert es, trotz identischer Einstellungen.

Desktop-PC: Win10 Pro 21H1 Build 19043.1055 (also auf dem aktuellen Stand)
DELL Laptop ebenso: Win10 Pro 21H1 Build 19043.1055 (frisch und direkt 21H1 installiert).
Dazu noch ein Surface 7 Pro: Win10 Home 21H1 Build 19043.1055

Auf allen drei Rechnern ist jeweils derselbe Microsoft-Account als Admin eingerichtet (Online-Konto ***@outlook.com)

Alle nachfolgenden RDP-Tests sind immer aus/auf den Microsoft-Account:

Ich kann problemlos vom Surface auf den Desktop zugreifen und auch vom DELL auf den Desktop.
Ich kann aber nicht vom Surface auf den DELL und auch nicht vom Desktop auf den DELL.

Testweise habe ich auf dem DELL dann das zusätzliche Standard-Konto meines Sohnes mit in die Remotedesktopbenutzer mit aufgenommen und darauf kann ich merkwürdigerweise eine RDP-Verbindung aufbauen. Um einen Fehler auszuschließen, habe ich auch das AdminKonto nochmals in die Liste eingefügt, es ändert sich aber nichts daran.

Kann mir das Phänomen jemand erklären? Das hatte ich noch nie. Irgendwas muss an dem Admin-Account auf dem DELL anders eingestellt sein oder blockieren. Ich kann mir aber nicht erklären was. Die Firewalleinstellungen passen und auch sonst sind alle Einstellungen identisch wie auf den anderen Rechnern.

Fehler sieht dann immer so aus, wenn ich auf den DELL Adminaccount zugreifen möchte:

Ich weiß hier nicht mehr weiter. Jemand eine Idee?

Besten Dank schonmal und Gruß,

cosmos321

 

[BFF]

Ereignisprotokoll durchackern was der DELL da reinschgreibt bezueglich RDP.

Auf dem Dell ist nix zusaetzliches an Sicherheits/AV-Software?
Geht RDP wenn Du Dich auf einen lokalen Account (des DELL) anmeldest?

 

[cosmos321]

Auf dem DELL ist nichts zusätzliches installiert, alles Windows-Standard (bzgl. Defender etc. also überall identische Einstellungen).

Das Ereignisprotokoll hat nur einen Eintrag unter Windows\Sicherheit mit:

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         20.06.2021 19:38:57
Ereignis-ID:   4625
Aufgabenkategorie:Logon
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      DELL
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:        NULL SID
    Kontoname:        -
    Kontodomäne:        -
    Anmelde-ID:        0x0

Anmeldetyp:            3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:        NULL SID
    Kontoname:        ***@outlook.com
    Kontodomäne:        MicrosoftAccount

Fehlerinformationen:
    Fehlerursache:        Unbekannter Benutzername oder ungültiges Kennwort.
    Status:            0xC000006D
    Unterstatus::        0xC000006A

Prozessinformationen:
    Aufrufprozess-ID:    0x0
    Aufrufprozessname:    -

Netzwerkinformationen:
    Arbeitsstationsname:    ***-WIN10
    Quellnetzwerkadresse:    192.168.10.10
    Quellport:        0

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        NtLmSsp
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2021-06-20T17:38:57.5742763Z" />
    <EventRecordID>26970</EventRecordID>
    <Correlation ActivityID="{dc8525e4-65e2-0002-3626-85dce265d701}" />
    <Execution ProcessID="824" ThreadID="7436" />
    <Channel>Security</Channel>
    <Computer>DELL</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">***@outlook.com</Data>
    <Data Name="TargetDomainName">MicrosoftAccount</Data>
    <Data Name="Status">0xc000006d</Data>
    <Data Name="FailureReason">%%2313</Data>
    <Data Name="SubStatus">0xc000006a</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">***-WIN10</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">192.168.10.10</Data>
    <Data Name="IpPort">0</Data>
  </EventData>
</Event>

Benutzer und Passwort stimmen aber, logischerweise, ist ja auf allen Rechnern der identische Benutzer :-) ! Also keine Ahnung warum er da meckert.

Ereignisprotokoll durchackern was der DELL da reinschgreibt bezueglich RDP.

Auf dem Dell ist nix zusaetzliches an Sicherheits/AV-Software?
Geht RDP wenn Du Dich auf einen lokalen Account (des DELL) anmeldest?

Wie gesagt, wenn ich mich auf den Standard-Account meines Sohnes einwähle, dann geht es. Einen weiteren Account zum testen habe ich nicht. Könnte nochmal einen lokalen Admin anlegen und testen, mal sehen ob es damit geht.

Ergänzung (20. Juni 2021)

So habe eben testweise nochmal einen simplen lokalen Admin-Account eingerichtet und siehe da: die RDP geht, wie auch bei dem Standard-Benutzer. Nur mein MicrosoftAccount hat irgendein Problem. Werde nicht schlau draus. Hatte schon so viele Geräte in den vergangenen Jahren und noch niemals ein RDP-Problem. Dabei ist der Benutzer immer schon derselbe gewesen.

 

[BFF]

An dem DELL wurde niemals was an den Anmeldemethoden/Sicherheit aka PIN/2FA fuer Deinen MS-Account eingestellt?
Geht das lokale Anmelden per MS-Account noch am DELL?
Hast Du kuerzlich das Passwort geaendert und der DELL weiss rein zufaellig noch nichts davon?

Das waere was mir noch einfaellt.

 

[cosmos321]

Ok, ich habe die Lösung für das Problem gefunden, vielen Dank mal an Microsoft für diese be***** Konfiguration :-).

Szenario: Wenn ich mich beim Einloggen mit dem "Microsft-Kennwort" einlogge, dann klappt die RDP-Verbindung auch. Logge ich mich in den Account aber mit der PIN ein (welche ich während der Einrichtungsroutine nach der Installation direkt eingerichtet hatte), dann klappt die RDP nicht. Macht zwar irgendwie Sinn, aber auch nur auf eine kruxe Weise. In dem Moment "kennt" wohl die aktuelle Sitzung nur die PIN aber nicht das Passwort (daher der Fehler oben mit fehlerhaftem Passwort).

Auf meinen anderen Rechnern hatte ich den Account zu Beginn immer mit dem Microsoft-Kennwort eingerichtet und später dann erst die PIN benutzt. Warum es dann geht, sei mal dahingestellt. Microsofts Logik muss man da nicht verstehen. Jetzt muss ich mal sehen wie ich das Problem nachträglich auf dem DELL gelöst bekomme. Mich immer mit dem Microsoft-Kennwort einzuloggen ist keine Alternative, Neuinstallation und Einrichtung mit Microsoft-Kennwort und dann erst nachträglich die PIN wäre denkbar, ist aber wieder viel Aufwand.

Also echt, DANKE Microsoft für diese kruxe Logik in eurem Sicherheitskonzept. Macht keinen Sinn :-)

Ergänzung (20. Juni 2021)

An dem DELL wurde niemals was an den Anmeldemethoden/Sicherheit aka PIN/2FA fuer Deinen MS-Account eingestellt?
Geht das lokale Anmelden per MS-Account noch am DELL?
Hast Du kuerzlich das Passwort geaendert und der DELL weiss rein zufaellig noch nichts davon?

Das waere was mir noch einfaellt.

Ich habe eben als du deinen Beitrag gepostet hast schon meine Lösung oben geschrieben.

 

[BFF]

PIN ist dazu da Dir das lokale Anmelden zu erleichtern. Aber nicht dazu es fuer RDP zu benutzen. Die kurze Zeichenfolge ist zu leicht zu erraten.

Das Du die PIN benutzt beim DELL haettest Du gleich sagen sollen. 😁

 

[cosmos321]

Ich benutze die PIN auf ALLEN Geräten, das ist nicht das Problem, siehe meinen Beitrag oben.

Ergänzung (20. Juni 2021)

EDIT: Jetzt geht es auch mit PIN. Ich schätze, man muss sich wenigstens mal EINMAL mit dem Kennwort eingeloggt haben, dann geht auch die RDP in späteren Anmeldung mit der PIN. Das einmalige einloggen beim Einrichtungsprozess scheint nicht auszureichen, da er hier wohl die Kennung mit dem Kennwort nicht in den Sicherheitseinstellungen hinterlegt. Da muss Microsoft mal nacharbeiten, darauf muss man erstmal kommen :-)

 

[jha]

EDIT: Jetzt geht es auch mit PIN. Ich schätze, man muss sich wenigstens mal EINMAL mit dem Kennwort eingeloggt haben,

Wie hast du dass denn gemacht dass du dich mit dem Kennwort einloggen konntest? Ich habe vermutlich das gleiche Problem, habe Windows Hello PIN auch schon über die lokale Gruppenrichtlinie und Registry deaktiviert, aber trotzdem werde ich weiterhin nach PIN statt Kennwort gefragt...

 

[IchbinbeiCB]

Wie hast du dass denn gemacht dass du dich mit dem Kennwort einloggen konntest? Ich habe vermutlich das gleiche Problem, habe Windows Hello PIN auch schon über die lokale Gruppenrichtlinie und Registry deaktiviert, aber trotzdem werde ich weiterhin nach PIN statt Kennwort gefragt...

Hab mir mal die mühe gemacht und die Googlesuche befragt und bin fündig geworden auch wenn unter dem Video nen Kommentar steht wo einer das wohl genau so probiert hat aber es bei demjenigen nicht klappte.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[jha]

Hab mir mal die mühe gemacht und die Googlesuche befragt und bin fündig geworden auch wenn unter dem Video nen Kommentar steht wo einer das wohl genau so probiert hat aber es bei demjenigen nicht klappte.

googlen mache ich grundsätzlich bevor ich frage

Aber genau das was er macht hat nicht funktioniert.
Die Ursache dafür habe ich inzwischen aber auch gefunden. Und zwar ist die Ursache dass ich innerhalb des privaten Microsoft Kontos auch noch auf ein Schul-/Geschäftskonto zugreife. Und in der Gruppenrichtlinie dieser AAD-Domain wird Windows Hello zwingend benötigt. Daher kann ich das auch im Privaten Konto nicht mehr entfernen solange ich das Geschäftskonto verknüpft habe. Total dämlich und man findet gefühlt nichts dazu im Netz.