Auf einem Server mit Windows Server 2008 können die Terminaldienste möglicherweise nicht gestartet werden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 946399 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
946399 The Terminal Services service may be unable to start on a server that is running Windows Server 2008
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Auf einem Server, auf dem Windows Server 2008 ausgeführt wird, können die Terminaldienste eventuell nicht gestartet werden.

Dieses Verhalten tritt in der Regel auf, nachdem Sie eine frühere Version eines Windows-Betriebssystems auf Windows Server 2008 aktualisiert haben, also zum Beispiel nach einem Upgrade von Windows Server 2003 auf Windows Server 2008.

Bei diesem Verhalten werden im Systemprotokoll Ereignisse etwa folgender Art protokolliert:

Protokollname: System
Quelle: Microsoft-Windows-DistributedCOM
Datum: DatumUhrzeit
Ereignis-ID: 10005
Aufgabenkategorie: Keine
Ebene: Fehler
Stichwörter: Klassisch
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Bei DCOM ist der Fehler "1297" aufgetreten, als der Dienst "TermService" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {F9A874B6-F8A8-4D73-B5A8-AB610816828B}

Protokollname: System
Quelle: LSM
Datum: DatumUhrzeit
Ereignis-ID: 1048
Aufgabenkategorie: Keine
Ebene: Fehler
Stichwörter: Klassisch
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung: Der Terminaldienst konnte nicht gestartet werden. Relevanter Statuscode: %1. In der Dienstkontokonfiguration fehlt eine Berechtigung, die für die ordnungsgemäße Funktion des Dienstes erforderlich ist.

Sie können das Snap-In "Dienste" in der Microsoft Management Console (MMC) (services.msc) und das Snap-In "Lokale Sicherheitseinstellungen" in der MMC (secpol.msc) verwenden, um die Dienstkonfiguration und die Kontokonfiguration anzuzeigen.

Ursache

Dieses Verhalten hat seine Ursache darin, dass das Netzwerkdienstkonto nicht über die folgenden Berechtigungen verfügt:
  • Anpassen von Speicherkontingenten für einen Prozess (SeIncreaseQuotaPrivilege)
  • Generieren von Sicherheitsüberwachungen (SeAuditPrivilege)
  • Ersetzen eines Tokens auf Prozessebene (SeAssignPrimaryTokenPrivilege)
Hinweis: Ähnliche Symptome können bei allen Diensten auftreten, die darauf konfiguriert sind, unter Verwendung des Netzwerkdienstkontos gestartet zu werden.

Lösung

Um dieses Problem zu beheben, gewähren Sie dem Netzwerkdienstkonto die Benutzerberechtigungen, die im Abschnitt "Ursache" beschrieben werden.

Hinweis: Sie können das Snap-In "Lokale Sicherheitseinstellungen" in der MMC (secpol.msc) verwenden, um die Benutzerberechtigungen anzuzeigen, die auf dem lokalen Computer in Kraft sind.

Falls der Server kein Domänencontroller ist, wenden Sie Methode 1 oder Methode 2 an. Wenn es sich bei dem Server um einen Domänencontroller handelt, wenden Sie Methode 3 oder Methode 4 an.

Methode 1: Erteilen Sie die Benutzerberechtigungen mithilfe der Einstellungen in der lokalen Sicherheitsrichtlinie

Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Secpol.msc ein, und klicken Sie auf OK.
  2. Erweitern Sie in der Konsole Lokale Sicherheitseinstellungen die Option Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.
  3. Doppelklicken Sie auf die Berechtigung Anpassen von Speicherkontingenten für einen Prozess.
  4. Klicken Sie im Dialogfeld Eigenschaften auf Benutzer oder Gruppe hinzufügen.
  5. Geben Sie in das Dialogfeld Benutzer, Computer oder Gruppen auswählen unter Geben Sie die zu verwendenden Objektnamen ein den Begriff Netzwerkdienst ein, und klicken Sie danach auf OK.
  6. Klicken Sie im Dialogfeld Eigenschaften auf OK.
  7. Wiederholen Sie die Schritte 3 bis 6 für die Benutzerberechtigungen Generieren von Sicherheitsüberwachungen und Ersetzen eines Tokens auf Prozessebene.
  8. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Gpupdate ein, und klicken Sie danach auf OK.

Methode 2: Erteilen Sie die Benutzerberechtigungen in einem Gruppenrichtlinienobjekt, das auf die Mitgliedsserver angewendet wird

Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie Gpmc.msc in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie in der Konsole Gruppenrichtlinienverwaltung die Option Gesamtstruktur: Domänenname, erweitern Sie Domänen, erweitern Sie Domänenname, erweitern Sie Gruppenrichtlinienobjekte, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das auf Mitgliedsserver angewendet wird, und klicken Sie dann auf Bearbeiten.
  3. Erweitern Sie in der Konsole Gruppenrichtlinienverwaltungs-Editor die Option Computerkonfiguration, erweitern Sie Richtlinien, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Zuweisen von Benutzerrechten.
  4. Doppelklicken Sie auf die Berechtigung Anpassen von Speicherkontingenten für einen Prozess.
  5. Klicken Sie im Dialogfeld Eigenschaften auf Benutzer oder Gruppe hinzufügen.
  6. Geben Sie im Dialogfeld Benutzer oder Gruppen hinzufügen unter Benutzer- und Gruppennamen den Begriff Netzwerkdienst ein, und klicken Sie danach auf OK.
  7. Klicken Sie im Dialogfeld Eigenschaften auf OK.
  8. Wiederholen Sie die Schritte 4 bis 7 für die Benutzerberechtigungen Generieren von Sicherheitsüberwachungen und Ersetzen eines Tokens auf Prozessebene, um dem Netzwerkdienstkonto diese Berechtigungen zuzuweisen.
  9. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Gpupdate ein, und klicken Sie danach auf OK.

Methode 3: Erteilen Sie die Benutzerberechtigungen mithilfe der Einstellungen in der Gruppenrichtlinie

Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie Gpmc.msc in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie in der Konsole Gruppenrichtlinienverwaltung die Option Gesamtstruktur: Domänenname, erweitern Sie Domänen, erweitern Sie Domänenname, erweitern Sie Gruppenrichtlinienobjekte, klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten.
  3. Erweitern Sie in der Konsole Gruppenrichtlinienverwaltungs-Editor die Option Computerkonfiguration, erweitern Sie Richtlinien, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Zuweisen von Benutzerrechten.
  4. Doppelklicken Sie auf die Berechtigung Anpassen von Speicherkontingenten für einen Prozess.
  5. Klicken Sie im Dialogfeld Eigenschaften auf Benutzer oder Gruppe hinzufügen.
  6. Geben Sie im Dialogfeld Benutzer oder Gruppen hinzufügen unter Benutzer- und Gruppennamen den Begriff Netzwerkdienst ein, und klicken Sie danach auf OK.
  7. Klicken Sie im Dialogfeld Eigenschaften auf OK.
  8. Wiederholen Sie die Schritte 4 bis 7 für die Benutzerberechtigungen Generieren von Sicherheitsüberwachungen und Ersetzen eines Tokens auf Prozessebene, um dem Netzwerkdienstkonto diese Berechtigungen zuzuweisen.
  9. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Gpupdate ein, und klicken Sie danach auf OK.

Methode 4: Aktualisieren der Datei "GptTmpl.inf"

Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie die Datei "GptTmpl.inf" mit einem Texteditor.

    Hinweis: Die Datei "GptTmpl.inf" ist im folgenden Ordner gespeichert:
    %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
  2. Aktualisieren Sie die Benutzerberechtigungen auf die folgende Standardeinstellung:
    SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
    SeAuditPrivilege = *S-1-5-19,*S-1-5-20
    SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
  3. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Gpupdate ein, und klicken Sie danach auf OK.

Status

Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Weitere Informationen

In Windows 2000 Server und Windows Server 2003 werden die Terminaldienste standardmäßig mit dem lokalen Systemkonto gestartet. In Windows Server 2008 werden die Terminaldienste unter Verwendung des Netzwerkdienstkontos gestartet. Dadurch soll die Sicherheit verbessert werden. Wenn Sie dem Netzwerkdienstkonto nicht die Benutzerberechtigungen zuweisen, die im Abschnitt "Ursache" beschrieben werden, können die Terminaldienste nicht gestartet werden.

Wenn Sie dem Netzwerkdienstkonto diese Berechtigungen in der Richtlinie für den Standarddomänencontroller entziehen, können die Terminaldienste auf Domänencontrollern, auf denen Windows Server 2008 ausgeführt wird, nicht gestartet werden. Auf Domänencontrollern, auf denen Windows 2000 Server oder Windows Server 2003 ausgeführt wird, können die Terminaldienste jedoch gestartet werden.

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
245207 Welcher Verfahrensweise: To: Sie bestimmen NTRIGHTS Namen und Bedeutungen
243330 Bekannte Sicherheits-IDs in Windows-Betriebssystemen

Eigenschaften

Artikel-ID: 946399 - Geändert am: Montag, 21. April 2008 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
Keywords: 
kbtermserv kbexpertiseadvanced kbtshoot kbprb KB946399
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com