Ein Verbindungsfehler Autorisierung auftritt, wenn Sie Windows Server 2008 R2 Remote Desktop Gateway mit einem RD-Server, einem virtuellen Computer oder eine desktop-Ressource in einem Szenario mit mehreren Domänen oder Gesamtstrukturen zu verbinden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 972133 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Sie verwenden Windows Server 2008 R2 Remote Desktop Gateway (RD Gateway) Verbindung zu einem RD-Server, auf einem virtuellen Computer oder an eine desktop-Ressource in einem Szenario mit mehreren Domänen oder Gesamtstrukturen mit Active Directory-Domänendienste (AD DS). Tritt jedoch ein Verbindungsfehler Autorisierung, auch für Benutzer, die in RD-Gateway-Verbindung-Autorisierungsrichtlinie (CAP) berechtigt sind.

Wenn der Client (REMOTEDESKTOPVERBINDUNGS) 7.0 verwendet wird, über das RD-Gateway herstellen erhalten Sie folgende Fehlermeldung:
Remotedesktop can?t aus einem der folgenden Gründe eine Verbindung zum remote Computer "< End-Ressourcenname >" herstellen:

1) Das Benutzerkonto ist nicht berechtigt, auf das RD-Gateway "< RD Gateway Servername >" zuzugreifen
2) Der Computer ist nicht berechtigt, auf das RD-Gateway "< RD Gateway Servername >" zuzugreifen
3) Sie verwenden inkompatible Authentifizierungsmethode (z. B. das RD-Gateway kann eine Smartcard erwartet werden, während Sie ein Kennwort angegeben)
Wenn REMOTEDESKTOPVERBINDUNG 6.1 oder eine frühere Version von REMOTEDESKTOPVERBINDUNGS-Client für die Verbindung über den Gateway RD verwendet wird, erhalten Sie folgende Fehlermeldung:
Terminaldienste Verbindung Autorisierungsrichtlinien (TS CAP) verhindern die Verbindung mit dem Remotecomputer über TS-Gateway möglicherweise aufgrund zu einem der folgenden Gründe:

* Sie haben Berechtigung zur Verbindung mit der TS-Gatewayserver keinen.
* Sie Kennwortauthentifizierung verwendet, aber der TS-Gatewayserver erwartet Smartcard-Authentifizierung (oder umgekehrt).

Ein Beispielszenario

Definitionen von Begriffen, die in den folgenden Abschnitten verwendet werden

  • ein fremder Benutzer oder Gruppe : eine Gruppe Benutzer oder Sicherheitsgruppen, gehört zu einer Domäne (Domäne B) und ist, als Mitglied einer Sicherheitsgruppe, die in einer anderen Domäne (Domäne A) definiert ist, enthalten.
  • ein CAP Stammgruppe : eine Sicherheitsgruppe, die in RD Gateway Connection-Autorisierungsrichtlinie (RD CAP) enthalten ist.

Konfiguration

Um Benutzer zu autorisieren, die eine gesamtstrukturübergreifende Benutzergruppe angehören, müssen Sie die gesamtstrukturübergreifende Benutzergruppe direkt als eine der autorisierten Benutzergruppen in der RD Gateway CAP-Richtlinie hinzufügen.

Um bestimmte fremde Benutzer und nicht alle Benutzer in einer fremden Gruppe zu autorisieren, müssen Sie die Benutzer direkt zu universellen Gruppen in der Domäne RD Gateway hinzufügen.

Genommen Sie an, es ist eine lokale Sicherheitsgruppe, die als ? CAP_root eingeben bezeichnet wird, und diese Sicherheitsgruppe wird erstellt in Domäne a Diese Gruppe wird als Gruppe autorisierte Benutzer in den CLIENTZUGRIFFSPUNKT RD hinzugefügt.

Die Sicherheitsgruppe CAP_root hat die folgenden Benutzer und Gruppen von Domäne A und Domäne B als Mitglieder:
Tabelle minimierenTabelle vergrößern
Mitglieder der Sicherheitsgruppe ? CAP_root eingebenBeschreibung
Benutzer_aBenutzer von Domäne A
BenutzerBBenutzer von Domäne B
GroupASicherheitsgruppe, die in Domäne A erstellt wurde und enthält Benutzer von Domäne A
GroupBSicherheitsgruppe, die in Domäne B erstellt wurde und enthält Benutzer von Domäne B
In diesem Beispielszenario auftreten alle Benutzer und Gruppen von Domäne B (UserB und alle Benutzer in GroupB enthalten sind), das in diesem Abschnitt "Problembeschreibung" beschriebene Problem. Denken Sie daran, dass diese Konfiguration unter Windows Server 2008 funktioniert. Jedoch bei der Aktualisierung von Windows Server 2008 auf Windows Server 2008 R2 empfangen fremde Benutzer, die zuvor über RD Gateway jetzt herstellen konnte, Fehlers, der in diesem Abschnitt beschrieben.

Ursache

Dieses Problem betrifft alle RD Gateway fremde Benutzer und Gruppen. Dieses Problem tritt in einem der folgenden Konfigurationen in RD Gateway CAP:
  • Konfiguration 1: Die fremden Benutzer werden direkt die lokalen Benutzer Domänengruppen in der Domäne RD Gateway hinzugefügt. In dieser Konfiguration sind die fremden Benutzer Verbindungen verweigert, selbst wenn die domänenlokale Gruppe direkt dem RD Gateway CLIENTZUGRIFFSPUNKT hinzugefügt wird.
  • 2-Konfiguration: In einer der Gruppen der Domäne, die die RD-Gateway-Domäne angehören, ist die fremde Gruppe geschachtelt. In dieser Konfiguration sind die Verbindungen der Benutzer der fremden Gruppe angehören, verweigert, selbst wenn die übergeordnete Domänengruppe auf den CLIENTZUGRIFFSPUNKT RD Gateway hinzugefügt wird.

Abhilfe

Um dieses Problem zu umgehen, legen Sie lokale Gruppen der Domäne nicht als CLIENTZUGRIFFSPUNKT Stamm Gruppen in Szenarien, die Autorisierung des fremden Benutzer erfordern. In solchen Szenarios müssen als CLIENTZUGRIFFSPUNKT Stamm Gruppen universelle Sicherheitsgruppen verwendet werden. Jedoch müssen die fremden Sicherheitsgruppen, die in der Stammgruppe CAP geschachtelt sind nicht universelle werden. Die fremden Sicherheitsgruppen können stattdessen Global sein.

In diesem Beispiel wird die Gruppe "CAP_root" erstellt als Universal (oder wenn die CAP_root-Gruppe von lokale in Universal konvertiert wird), dann alle geschachtelten Benutzer und Gruppen sind entsprechend autorisiert.

Hinweis: Diese Problemumgehung hat eine Einschränkung. Da universelle Gruppen Benutzer oder Gruppen aus anderen Gesamtstrukturen enthalten darf, hat der Administrator eine universelle Gruppe für jede Gesamtstruktur, die Benutzer oder Gruppen, die Verbindungen über das Gateway RD erfordern zu erstellen.

Stellen Sie sich das folgende Szenario vor:
  1. Erstellen Sie universelle Sicherheitsgruppe ? CAP_root_ForestA eingeben, und dann schließen Sie Benutzer und Gruppen aus Domänen in Gesamtstruktur A darin ein.
  2. Erstellen Sie universelle Sicherheitsgruppe ? CAP_root_ForestB eingeben und dann Benutzer und Gruppen aus Domänen in Gesamtstruktur B darin.
  3. Erstellen Sie eine Autorisierungsrichtlinie RD Gateway Verbindung mit beiden Gruppen ? CAP_root_ForestA eingeben und ? CAP_root_ForestB eingeben, oder erstellen Sie separate RD Gateway Connection Authorization Richtlinien, die eine CAP Stamm Gruppen in jeder Richtlinie besitzen.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Weitere Informationen

Dieses Problem tritt auch in Windows Server 2008 R2 Foundation, Windows Small Business Server 2008 R2 und Windows Essential Business Server 2008 R2.

Informationsquellen

Weitere Informationen über die Definition und den Umfang von Windows-Sicherheitsgruppen die folgende Microsoft-Website:
http://technet.microsoft.com/en-us/library/cc755692(WS.10).aspx
Weitere Informationen dazu, wie eine Remote Desktop Connection Authorization Richtlinie konfigurieren, führen Sie die Schritte, die in RD-Gateway-Leitfaden bereitgestellt werden. Besuchen Sie hierzu die folgende Website von Microsoft:
http://technet.microsoft.com/en-us/library/cc754252(WS.10).aspx#BKMK_CreateTSCAPTSGateway

Eigenschaften

Artikel-ID: 972133 - Geändert am: Donnerstag, 16. Juli 2009 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
Keywords: 
kbmt kbexpertiseadvanced kbtshoot kbsurveynew kbprb KB972133 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 972133
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com