[2003] Geen rechten om aan te loggen op Terminal Server* - Serversoftware en clouddiensten

maandag 18 juli 2011 09:16

Acties:

Verwijderd

Topicstarter

Goedemorgen heren,

ik zit hier met een probleempje, ik heb hier een domain controller staan waarop mensen nu inloggin via RDP om zo hun werk te doen.
dit is natuurlijk niet heel netjes en daarnaast ook zwaar voor die server omdat hij ook nog exchange draait.

op server-1 staat nu ook terminal server geinstaleerd, ik heb er nu een sever bijgezet die als RDP server moet functioneren en heb daar ook terminal server op staan

nu lukt het mij niet om te zorgen dat met de accounts die op de domain controller staan ja kan inloggen op de RDP server

ik krijg iedere keer deze melding
Afbeeldingslocatie: http://img88.imageshack.us/img88/4646/knipselo.png

Afbeeldingslocatie: http://img88.imageshack.us/img88/4646/knipselo.png

What to do?

maandag 18 juli 2011 09:20

Acties:

jjbstolk

Uitvoeren wat in de melding staat. Er staat letterlijk in wat je moet doen, je moet gebruikers toevoegen aan een bepaalde groep!

maandag 18 juli 2011 09:20

Acties:

michieldekker

Heb je de gebruikers wel lid gemaakt van de Remote Desktop Users groep op de nieuwe RDP-server?

maandag 18 juli 2011 09:23

Acties:

Verwijderd

Topicstarter

deze gegevens heb ik gecontroleerd, en dit lijkt gewoon goed te staan

maandag 18 juli 2011 09:27

Acties:

MrHarry

je wil op een domain controller een terminal server role uitvoeren dit kan bij default niet hier moet je toch wel wat meer voor doen dan iemand lid te maken van de remote desktop groep. aangezien een dc niet een terminalserver kan zijn (microsoft policy).

maandag 18 juli 2011 09:28

Acties:

barry457

Dat wil hij juist uitfaseren. Was eerst op een DC, maar wil nu naar een TS.

maandag 18 juli 2011 09:29

Acties:

Verwijderd

Topicstarter

@barry457 juist

maandag 18 juli 2011 09:47

Acties:

Verwijderd

Topicstarter

weet iemand hoe je dit moet opzetten van af punt 1

maandag 18 juli 2011 09:48

Acties:

Verwijderd

zit die TS-machine wel in je domein?

maandag 18 juli 2011 09:53

Acties:

Verwijderd

Topicstarter

ja, deze heb ik toegevoegt door rechtermuis knop "Deze computer" > eigenschappen > copmuternaam > wijzigen en toen daar het domein toegevoegt

maandag 18 juli 2011 09:59

Acties:

MrHarry

ahjah lees het nu pas doh

kan je wel met een admin via rdp inloggen enzo? of werkt dat ook niet?

maandag 18 juli 2011 10:01

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Post eens twee printscreens:

Één van de lokale groep "remote desktop users" op de nieuwe terminal server
Één van de rechten op de RDP-connector (Administrative tools - Terminal Services Configuration, eigenschappen van de RDP-connector en dan het tabblad "permissions").

Hiermee moet wel duidelijk worden wat er qua config aan scheelt

Probeer er verder even op te letten om niet meerdere posts achter elkaar te plaatsen. Het is handiger voor de leesbaarheid (en om onnodig "kicken" te voorkomen) om je laatste post simpelweg te editten. Verder heb ik de titel van het topic even iets aangepast:

Titelfix: Terminal server en domain controller -> [2003] Geen rechten om aan te loggen op Terminal Server

[ Voor 13% gewijzigd door Question Mark op 18-07-2011 10:05 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 18 juli 2011 10:06

Acties:

Dwinges

Microsoft Whitepaper:

Installing Terminal Server on a Domain Controller
http://technet.microsoft....rary/cc742817(WS.10).aspx

En het KB artikel dat erbij hoort:
Assign "Log On locally" Rights to Windows Domain Controller

maandag 18 juli 2011 10:21

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

^^ Is toch niet relevant meer? Topicstarter geeft aan dat hij nu juist een "reguliere" Terminal Server gaat inzetten.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 18 juli 2011 10:40

Acties:

Verwijderd

Topicstarter

ik zal zo even de screenshots plaatsen

ik zal op de dubbele posts letten, Dankje!

maandag 18 juli 2011 15:56

Acties:

Verwijderd

Topicstarter

Afbeeldingslocatie: http://img837.imageshack.us/img837/1850/knipselmi.png

bij permisions staat alles op full controle (om te kijken of daar het probleem lag)

helaas werkt dit ook niet

maandag 18 juli 2011 16:25

Acties:

Coach4All

I'm a Coach 4 All

Dit is niet de inhoud van de groep waarom gevraagd werd of de rechten op de RDP connector....

--- Systeembeheerdersdag --- Voedselintolerantie ---

maandag 18 juli 2011 18:58

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Inderdaad. Open de node "groups" even en selecteer de groep "remote desktop users". Als het goed is staan daar de domain users (of groepen) in waarvan jij wilt dat ze mogen aanloggen op de server.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 18 juli 2011 20:06

Acties:

Verwijderd

Topicstarter

is dit opde terminal server of op de domain controller?

maandag 18 juli 2011 20:11

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Op de terminal server. Da's de plek waar je de mensen rechten wilt toekennen (overigens heeft een Domain Controller geen lokale gebruikers en groepen).

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 18 juli 2011 20:13

Acties:

Verwijderd

Topicstarter

die gebruikers en groepen staan al in de active directory op de domain controller, dat is juist het helle probleem

ik moet met die gebruikers kunnen inloggen

[ Voor 33% gewijzigd door Verwijderd op 18-07-2011 20:14 ]

maandag 18 juli 2011 20:19

Acties:

ftpfreak

Het gaat er om dat de mensen die je wilt laten inloggen lid zijn van de groep "remote desktop users" op je terminal server. Daarom ook de vraag om een screenshot van de groep Remote Desktop users...

maandag 18 juli 2011 20:20

Acties:

Verwijderd

Topicstarter

er staat niks in die groep?

maandag 18 juli 2011 20:22

Acties:

spone

Je moet de terminal server vertellen dat die mensen die in de Active Directory staan voor hem niet als gewone gebruikers, maar als Remote Desktop Users beschouwd moeten worden zodat ze kunnen inloggen op terminal server. En dat doe je dus door deze bestaande gebruikers aan de Remote Desktop Users groep op de terminal server toe te voegen.

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

maandag 18 juli 2011 20:23

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op maandag 18 juli 2011 @ 20:20:
er staat niks in die groep?

Dan is dat je hele probleem. En eerlijk gezegd was dat al een aantal keer gemeld.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 18 juli 2011 20:28

Acties:

Verwijderd

Topicstarter

het nadeel is is dat ik geen gebruikers kan toevoegen, ik kan alleen gebruikers toevoegen van de terminal server zelf en niet van de active directory

maandag 18 juli 2011 20:30

Acties:

spone

Tip: knopje locations, of je moet de terminal server nog lid van het domein maken.

Of je doet DOMEINNAAM\Gebruikersnaam-of-groep als gebruikersnaam invullen.

Goedbedoeld advies: ga je wat inlezen over active directory, groepslidmaatschappen en dergelijke.

[ Voor 55% gewijzigd door spone op 18-07-2011 20:31 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

maandag 18 juli 2011 20:31

Acties:

Verwijderd

Topicstarter

bij locations staat de active directory niet, en de server is al lid van het domein

DOMEINNAAM\Gebruikersnaam-of-groep werkt helaas ook niet

[ Voor 26% gewijzigd door Verwijderd op 18-07-2011 20:35 ]

maandag 18 juli 2011 20:44

Acties:

--Mulder--

Verwijderd schreef op maandag 18 juli 2011 @ 20:31:
bij locations staat de active directory niet, en de server is al lid van het domein

DOMEINNAAM\Gebruikersnaam-of-groep werkt helaas ook niet

Bij locatie gewoon je AD selecteren en dan de juiste users of group toevoegen.

maandag 18 juli 2011 20:47

Acties:

Verwijderd

Topicstarter

@mulder: bij locations staat de active directory niet, en de server is al lid van het domein

dinsdag 19 juli 2011 08:30

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Kun je eens een printscreen posten van het scherm zodat voor ons duidelijk wordt wat en waar je dit probeert te doen?

Met alle respect, maar je feedback is niet de meest duidelijke. In de vierde post van dit topic heb je namelijk al aangegeven dat je deze groep gecontroleerd hebt en dat alles goed lijkt te staan. Nu blijkt die info (waarschijnlijk) niet te kloppen.

Een schermafdruk geeft ons dan wat meer inzicht. Het bestaat namelijk niet dat een server lid is van een domain, maar dat je geen domainusers toe kunt voegen aan lokale groepen.

Of je doet iets verkeerd (aangelogged als local admin op de terminal server ipv domain admin?)
De terminal server zit toch niet in het domain

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 19 juli 2011 08:49

Acties:

Rataplan_

Hoe zit het met licenties? Kijk eens in je eventlog wat er gelogd wordt op moment dat een gebruiker binnenkomt. Ik heb meegemaakt dat deze melding verschijnt als je tijdelijke TSCAL verlopen is (wat toen inhield dat de license-server uberhaubt niet werkte...).
Even voor mijn beeld, is dit een productieomgeving waar je in aan het werk bent?

dinsdag 19 juli 2011 09:02

Acties:

jvalks

Controleer je lokale policy op de terminal server eens... kijk eens of er iets bij Allow log on through Terminal Services staat...

woensdag 20 juli 2011 19:31

Acties:

jvalks

En, hoe staat het er mee??? Iets verder gekomen??

donderdag 21 juli 2011 16:02

Acties:

Verwijderd

Topicstarter

Hey heren,

sorry voor de afwezigheid.
bij Lokale policy staan alleen de lokale gebruikers en groepen.
ik kan ook geen andere mensen selecteren, en bij locations staat alleen de TS

donderdag 21 juli 2011 16:54

Acties:

Dirtyrockers

laat eens wat zien met screenshot

donderdag 21 juli 2011 17:15

Acties:

Verwijderd

Topicstarter

dat is geen probleem, maar van wat wil je een screenshot

donderdag 21 juli 2011 19:08

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Dat is eerder gevraagd: een schermafdruk van het scherm waar jij de domaingroup toe probeert te voegen aan de lokale groep "remote desktop users". Desnoods maak je meerdere schermafdrukken van alle stappen die je doorloopt zodat ons duidelijk wordt waar je tegenaan loopt.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 25 juli 2011 16:28

Acties:

Verwijderd

Topicstarter

ik heb even wat screenshots gemaakt om het wat duidelijker te maken
zoals je ziet staat de active directory hier niet bij

Afbeeldingslocatie: http://i53.tinypic.com/357g3rp.png

Afbeeldingslocatie: http://i53.tinypic.com/357g3rp.png

maandag 25 juli 2011 16:38

Acties:

alt-92

ye olde farte

Haal die TS uit het domain, reset de computeraccount in AD, en join de machine dan weer in het domain, en probeer het dan nog eens.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 25 juli 2011 17:04

Acties:

Verwijderd

Topicstarter

@alt-92, ik heb je tip net uitgeprobeerd maar helaas werkte dit niet.
heb je misschien een ander idee?

dinsdag 26 juli 2011 10:02

Acties:

Verwijderd

1. maak security groep aan zet hier de mensen in die je wilt toevoegen aan de terminal server.
2. log in op de terminal server onder een domain admin
3. start > right click my computer > manage > local users en groups.
4. hier staat een default groep remote desktop users open deze en voeg de groep toe die je eerder heb aangemaakt.
5. save en login met je gebruikers.

dinsdag 26 juli 2011 13:52

Acties:

Verwijderd

Topicstarter

dat is dus het hele probleem ik kan geen mensen toevoegen van de active directory aan groepen op de terminal server

dinsdag 26 juli 2011 14:14

Acties:

Oid

en waarom kan je dat niet, heb je daar geen rechten voor, krijg je een foutmelding, weet je niet hoe?

Leg het eens wat duidelijker uit, want zo blijft het toch wel beetje gis werk...

woensdag 27 juli 2011 08:52

Acties:

Verwijderd

Topicstarter

als je hier boven kijkt had ik wat screenshots geplaats, daar zie je dat de active directory niet bij locaties wordt weer gegeven, terwijl dat wel zo zou moeten.
ik heb geen idee waarom hij er daar niet tussen staan, dat is dus het hele probleem

woensdag 27 juli 2011 14:23

Acties:

marc181982

Hoe log je in ? Met de local admin of domain admin account?

woensdag 27 juli 2011 15:31

Acties:

Verwijderd

Topicstarter

ik heb met het alle 2 geprobeerd, het zelfde resultaat

woensdag 27 juli 2011 19:51

Acties:

marc181982

Verwijderd schreef op woensdag 27 juli 2011 @ 15:31:
ik heb met het alle 2 geprobeerd, het zelfde resultaat

Staat het ipadres adres van je DC ingevuld als DNS adres op TS? Geen rare fouten in het logboek op de TS/DC server? Hoe zijn de DC en de TS met elkaar verbonden?
Edit : moest haast wel aangezien je wel opnieuw het domain kan joinen.

[ Voor 27% gewijzigd door marc181982 op 27-07-2011 20:04 ]

woensdag 27 juli 2011 20:18

Acties:

Gomez12

Log in op je TS als domain admin.
Probeer eens in de explorer een unc-pad te openen als \\{DC}\c$ (c$ share is default enkel voor admins / domain admins toegankelijk)
Indien dit lukt dan nogmaals naar users gaan en de rechten goedzetten. Indien je hier nog steeds geen domain ziet post dan eens het complete eventlog vanaf inloggen (want of je hebt niet genoeg rechten of je logt niet in als domain-admin of je machine hangt helemaal niet in het domain)

Vergeet local admin inlogs etc.(alhoewel het mits goed opgezet wel werkt compliceert het de boel alleen maar) enkel acties als domain admin doen.

woensdag 27 juli 2011 20:41

Acties:

Dysmael

Controleer ook of in het tab Terminal Services profile in de AD account niet een vinkje staat bij 'deny this users right to log on to Terminal Services'.

Lid zijn van de groep 'Remote Desktop Users' is niet zo belangrijk zoals hierboven vaak wordt beweerd. Er is een GPO waarin je aangeeft wie het recht 'Log on through terminal services' hebben. Controleer die instelling en voeg daar naar behoefte bv 'DOMAIN\RDP-gebruikers' toe (nadat je een groep RDP-gebruikers hebt gemaakt in de AD (puur ter voorbeeld)

Dat laatste is zéér belangrijk. Maak dus niet domweg mensen lid van een groep waarvan je helemaal niet weet of die groep uberhaupt het recht wel heeft maar controleer het groepsbeleid.

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow Log on through Remote Desktop Services

Edit: met alle respect; ik denk dat het voor de opdrachtgever / werkgever een betere oplossing is als je deze taak overdraagt aan iemand anders (systeembeheerder / IT dienstverlener). Je bent behoorlijk aan het prutsen met dingen wat duidelijk niet voor je is weggelegt. "Schoenmaker blijf bij je leest" komt in me op.

[ Voor 16% gewijzigd door Dysmael op 27-07-2011 20:44 ]

donderdag 28 juli 2011 13:01

Acties:

Verwijderd

Topicstarter

@RolfLobker Het is niet dat ik hier niks van af weet (sterker nog ik heb er een opleiding voor gevolgd), ik heb deze opstelling al eerder werkend gekregen.
alleen na een HDD upgrade moest de server opnieuw geherinstalleerd worden, de stappen die ik de vorige keer had ondernomen werken helaas nu niet.

de oplossingen die jij zo juist noemt is voor een probleem want niet mijn probleem is.
mijn probleem is dat ik in geen enkele groep gebruikers kan toevoegen die op de AD staan.

maandag 1 augustus 2011 14:32

Acties:

Verwijderd

Topicstarter

probleem was dat bij de TS de DNS instellingen niet waren ingevoerd, heb het IP van de DC ingevoerd en alles werkt nu.
Toch bedankt

maandag 1 augustus 2011 14:49

Acties:

JeroenV_

Als je dns instellingen niet goed waren, heb je hem ook niet opnieuw aan je domein kunnen toevoegen lijkt mij.

maandag 1 augustus 2011 22:07

Acties:

Dysmael

En op een Domain controller is het beleid standaard zo ingesteld dat alleen 'Administrators' een RDP sessie mogen starten en niet 'Remote Desktop Users'.

Heb het topic nogmaals gelezen n.a.v. je opmerking over mijn inschatting van je kennisniveau. Mijn mening is onveranderd. Onder andere het feit dat schijnbaar een hdd-upgrade een herinstallatie van het OS als gevolg zou moeten hebben en dat je het lokale groepsbeleid erbij haalt terwijl je in een domein zit dragen daar aan bij.

Ik bedoel het niet als negatieve kritiek maar meer in de richting van: 'waarschijnlijk is dit niet aan je besteed en liggen je capaciteiten elders.'

[ Voor 61% gewijzigd door Dysmael op 01-08-2011 22:15 ]

maandag 1 augustus 2011 22:18

Acties:

Dysmael

JeroenV_ schreef op maandag 01 augustus 2011 @ 14:49:
Als je dns instellingen niet goed waren, heb je hem ook niet opnieuw aan je domein kunnen toevoegen lijkt mij.

Toevoegen aan het domein is geen probleem zodra lokaal de DNS maar goed staat. Als de DNS die je ingesteld hebt op de client de hostname van deze TS niet kan resolven ligt het probleem niet in de machine zelf maar in een andere DNS server.

Dit wijst overigens wel op meer DNS problemen (als niet nu, dan in de toekomst) want de TS is ook een DC in, ik neem aan, hetzelfde domein. Schijnbaar is er dan sprake van replicatiefouten.

Pagina: 1

Reageer