RD Gateway accepteert regelmatig geen log-in pogingen

Beste Tweakers leden

Regelmatig kunnen gebruikers via de RD Gateway niet inloggen op bijv een RDS, de melding "the logon attempt failed" komt dan in beeld.
De gegevens zijn echter correct, wanneer wij via de HyperV console met de gebruiker inloggen en vervolgens weer de sessie opzetten via de RD Gateway doet het probleem zich niet meer voor. Ook wanneer men on premise (zonder gateway) verbinding maakt werkt het inloggen.

Er zijn twee locaties;
- On Premise
- Datacenter

Beide locaties zijn via een VPN verbinding met elkaar verbonden, on premise is er een DC (2003 server, behoorlijk verouderd, geen discussie verder over de security etc.). In het datacenter is een 2e DC (replicatie server), deze heeft als OS server 2012 R2.
De RD gateway server (Server 2016) was eerst onderdeel van een andere server, deze hebben wij echter door de problemen gemigreerd naar een dedicated server voor RD Gateway. Ook dit lost het probleem niet op.

Het herstarten van IIS of de RD Gateway lost het probleem niet altijd op, heel soms lijkt dit wel te werken.
Bij het proberen in te loggen zien wij in de Event Viewer van de RD Gateway server de volgende melding;

4625
An account failed to log on.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: administrator
Account Domain: DOMAINCUSTOMER

Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xC000006D
Sub Status: 0x0

Process Information:
Caller Process ID: 0x0
Caller Process Name: -

Network Information:
Workstation Name: MYSERVER
Source Network Address: MYIP
Source Port: 58110

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

Na herstart van de RD Gateway kwam vandaag echter regelmatig de volgende melding op de gateway server (36874) gedurende 5 seconden;
An TLS 1.1 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The TLS connection request has failed.
An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The TLS connection request has failed.

Wij beheren diverse andere RD Gateway servers en hiermee ervaren wij dit probleem niet, de instellingen staan hetzelfde. Windows Updates zijn allemaal geinstalleerd.

Het probleem treedt soms om de dag op, en kan ook ineens enkele weken tot maanden niet meer plaats vinden. Op internet kan ik ook geen gerichte oplossing vinden, men spreekt bijv. over HTTP redirect. Dit staat echter niet aan en ook niet op andere RD Gateway servers (https://www.mysysadmintip...-the-logon-attempt-failed)
Samen met een collega naar dit probleem gekeken maar we komen er niet meer uit, omdat we ook geen specifieke meldingen krijgen behalve logon failed is het zoeken naar een speld in een hooiberg. Is er iemand die mij hiermee verder kan helpen of ervaring met een soort gelijk probleem heeft?

HKLM_ schreef op woensdag 6 februari 2019 @ 10:41:
Heb je die TLS meldingen goed onderzocht? Wat voor cipher suites gebruiken jullie op de RDS server?

Die TLS meldingen zijn eenmalig geweest, zojuist trad het probleem weer op en is die melding niet meer naar voren gekomen. Workaround voor nu is het lokaal inloggen op de server en dan kan men wel via de Gateway verbinding maken. Maar dit is niet werkbaar.

Alleen SSL 2.0 staat ingeschakeld.

elcapon wijzigde deze reactie 06-02-2019 13:56 (26%)

Question Mark schreef op donderdag 7 februari 2019 @ 15:47:
[...]

Toch niet op je RDGW mag ik hopen? En nog afgezien van dat: eigenlijk wil je SSL nergens enabled hebben...

Begrijp ik overigens goed, dat je de RDGW server gebruikt voor on-premise users? En dus niet specifiek voor users die via internet verbinden?

Als dat zo is, wat is daar de reden voor? RDP is default al encrypted.

De RD Gateway wordt gebruikt voor users die via internet verbinden (had ik misschien iets beter moeten verwoorden). On-premise kan men zonder de GW verbinden (middels de VPN tunnel) en dit werkt gewoon goed.

Alleen login pogingen via de RD Gateway worden niet altijd meer geaccepteerd.
Gisteravond was het kort opgelost, ik had de on-premise DC laten herstarten (en de datacenter servers). Hierna kon ik met diverse test users inloggen. Echter trad het probleem vanochtend weer op.

Het inloggen op de GW lukt overigens soms ook niet meer, pas wanneer ik via de HyperV console de administrator user inlog en ingelogd laat kan ik via RDP bij de GW. Dit zorgt er ook direct voor dat dezelfde user (administrator) ook weer via de GW bij de andere servers kan.
Ditzelfde heb ik net getest door een test user in te laten loggen op de GW, vervolgens een RDP sessie via de GW te starten en dit werkt. Echter wanneer ik de user afmeld van de GW server kan ik ook geen RDP sessie meer starten via de GW

De GW instellingen zijn niet afwijkend van overige GW servers die wij in beheer hebben

HKLM_ schreef op donderdag 7 februari 2019 @ 16:09:
Zit die GW ook in het domain? zo ja join hem eens opnieuw

Die zit inderdaad in het domein, zal vanavond de server opnieuw aanmelden in het domein.

HKLM_ schreef op donderdag 7 februari 2019 @ 16:09:
Zit die GW ook in het domain? zo ja join hem eens opnieuw

Gisteravond deze actie uitgevoerd, tot nu toe gaat het weer goed met verbinden via de Gateway.
Maar het is misschien nog te vroeg voor definitieve conclusies. Dank ik elk geval voor deze tip, ziet er tot nu toe veelbelovend uit

Question Mark schreef op vrijdag 8 februari 2019 @ 12:42:
Let je nog wel even op je SSL/TLS settings? Je kunt het niet maken om een produktieomgeving in 2019 nog achter SSL2.0 beschikbaar te hebben.

Daar wordt naar gekeken, dankjewel

Edit: Verkeerd gekeken, SSL 2.0 staat niet ingeschakeld. TLS1.2 is actief

elcapon wijzigde deze reactie 08-02-2019 12:50 (11%)

Helaas, afgelopen weekend is het weer mis gegaan.
Inloggen met admin en andere accounts is niet mogelijk op de RDS, echter lukt het nu wel om op twee andere servers in te loggen met het Admin account (DC, Database). Twee andere servers (waaronder de RDS dus) niet...

HKLM_ schreef op maandag 11 februari 2019 @ 08:51:
[...]


Zijn je DC's nog wel goed in sync? Check dat eens met repadmin /replsum en repadmin /showrepl *

Ze zijn goed in sync, geen foutmeldingen te zien bij de controle.

Question Mark schreef op maandag 11 februari 2019 @ 08:34:
Als je generiek aanmeldproblemen ervaart, dan zou ik qua troubleshooten beginnen bij de basics:

• Hoe zien je DNS-instellingen er uit op alle systemen?
• Hoe zijn je sites and subnets gedefinieerd?
• Welke DC's zijn Global Catalog
• Wat is de output van DCDiag op beide DC's?
• etc

.

Dit is meermaals gecontroleerd en daar zien we ook geen afwijkende dingen of configuratie fouten.

Gisteravond nog de local policy aangepast op de GW & RDS ""Network Security: LAN Manager authentication level", which is located in Security Settings, Local Policies, Security Options.
Set the LAN Manager authentication level to NTLMv2 response only"

Na herstart van de RDS kan ik nu weer inloggen met de (test) accounts. Het is nu weer even afwachten. Mochten er toch nog andere tips zijn dan verneem ik het graag.

Dank allen voor het meedenken tot zover.