Ihr Computer kann keine Verbindung mit dem Remotedesktop-Gatewayserver herstellen – Status: 0xC000035B

Fehlermeldungen

Remotedesktopverbindung
Ihr Computer kann keine Verbindung mit dem Remotedesktop-Gatewayserver herstellen.
Wenden Sie sich an den Netzwerkadministrator, um Hilfe zu erhalten.

bzw. auf Englisch

Remote Desktop Connection
Your computer can’t connect to the Remote Desktop Gateway server. Contact your network administrator for assistance.

Event-Log mit der ID „4625“ meldet „Status: 0xC000035B„

Beschreibung

Die URL des Remote Desktop Webservers kann problemlos aufgerufen werden.

Die im Browser eingegebenen Anmeldedaten werden offenbar nicht akzeptiert. Es wird noch einmal die Anmeldemaske „Windows-Sicherheit“ angezeigt.

Nach dem Anmelden wird folgende Fehlermeldung angezeigt.

Remotedesktopverbindung
Ihr Computer kann keine Verbindung mit dem Remotedesktop-Gatewayserver herstellen.
Wenden Sie sich an den Netzwerkadministrator, um Hilfe zu erhalten.

Remote Desktop Connection
Your computer can’t connect to the Remote Desktop Gateway server. Contact your network administrator for assistance.

Wireshark

Die Kommunikation mit dem Gateway-Server ist möglich (keine Blockierung durch Firewalls o.Ä.), das zeigt auch die Wireshark-Aufzeichnung.

Dann scheint es so, als gäbe es einen Abbruch der Verbindung durch den Server (dunkel rote Zeile).
[RST], ACK] -> Reset.

Zeitstempel dieser Zeile merken.

Event-Log

Auf einem der Remote-Gateway-Server findet man (leider sehr versteckt) folgenden Event-Eintrag.
Der Zeitpunkt stimmt mit dem aus dem Wireshark-Protokoll überein.
Der Kontoname stimmt mit dem aus den Screenshots überein.

Ebene: Informationen
Datum und Uhrzeit: <Zeitstempel aus Wireshark>
Quelle: Microsoft Windows security auditing.
Ereignis-ID: 4625

Inhalt:

 Fehler beim Anmelden eines Kontos.
 Antragsteller:
     Sicherheits-ID:     NULL SID
     Kontoname:      -
     Kontodomäne:        -
     Anmelde-ID:     0x0
 Anmeldetyp:            3
 Konto, für das die Anmeldung fehlgeschlagen ist:
     Sicherheits-ID:     NULL SID
     Kontoname:      <Benutzer der sich nicht anmelden konnte>
     Kontodomäne:        <Domäne des Benutzers>
 Fehlerinformationen:
     Fehlerursache:      Bei der Anmeldung ist ein Fehler aufgetreten.
     Status:         0xC000035B
     Unterstatus::       0x0
 Prozessinformationen:
     Aufrufprozess-ID:   0x0
     Aufrufprozessname:  -
 Netzwerkinformationen:
     Arbeitsstationsname:    <PC-Name>
     Quellnetzwerkadresse:   <IP>
     Quellport:      <Port>
 Detaillierte Authentifizierungsinformationen:
     Anmeldeprozess:     
     Authentifizierungspaket:    NTLM
     Übertragene Dienste:    -
     Paketname (nur NTLM):   -
     Schlüssellänge:     0
 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
 . . .

Mögliche Lösungen

Vermutlich ist die RDP-Kanalbindung nicht möglich, da auf der Client-Seite NTLMv1 erzwungen wird.
Dies kann entweder per Gruppenrichtlinien[1] oder manuell in der Registry[2,3] geändert werden (s. Quellen u.).

Nachfolgend sind die möglichen Lösungen (in der von uns favorisierten Reihenfolge).

Lösung 1 – Gruppenrichtlinie für Clients ändern

Die Einstellungen kann man entweder per „lokale Gruppenrichtlinien“ auf einzelnen Clients oder Domänen- bzw. OU-weit per GPOs setzen. Siehe Quelle[1]

Unter Umständen könnte ein Neustart bzw. ein „gpupdate /force“ nötig sein, damit die Änderungen wirksam werden.

Nachfolgend wird der Weg über die lokalen Gruppenrichtlinien beschrieben.

„Editor für lokale Gruppenrichtlinien“ öffnen. Z.B. mittels folgender Aktionen.

[Win]+[r]gpedit.msc[Enter]

Pfad / Element öffnen:

DE-OS:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Netzwerksicherheit: LAN Manager-Authentifizierungsebene

Nur NTLMv2-Antworten senden
Mit OK bestätigen.

EN-OS:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Network security: LAN Manager authentication level

Send NTLMv2 response only
Mit OK bestätigen.

Unter Umständen könnte ein Neustart bzw. ein „gpupdate /force“ nötig sein, damit die Änderungen wirksam werden.

Erklärung der Option:

Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Diese Sicherheitseinstellung bestimmt, welches Abfrage/Rückmeldung-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl beeinflusst wie folgt die von Clients verwendete Authentifizierungsprotokollstufe, die ausgehandelte Sitzungssicherheitsstufe und die von Servern akzeptierte Authentifizierungsstufe:
LM- und NTLM-Antworten senden: Von Clients wird LM- und NTLM-Authentifizierung, jedoch nie NTLMv2-Sitzungssicherheit verwendet; Von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert.
LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Von Clients werden LM- und NTLM-Authentifizierung sowie NTLMv2-Sitzungssicherheit verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert.
Nur NTLM-Antworten senden: Von Clients wird nur NTLM-Authentifizierung verwendet. NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert.
Nur NTLMv2-Antworten senden: Von Clients wird nur NTLMv2-Authentifizierung verwendet. NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert.
Nur NTLMv2-Antworten senden. LM verweigern: Von Clients wird nur NTLMv2-Authentifizierung verwendet. NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern wird LM verweigert (akzeptiert werden nur NTLM- und NTLMv2-Authentifizierung).
Nur NTLMv2-Antworten senden. LM und NTLM verweigern: Von Clients wird nur NTLMv2-Authentifizierung verwendet, NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird. Von Domänencontrollern werden LM und NTLM verweigert (nur NTLMv2-Authentifizierung wird akzeptiert).
Wichtig
Diese Einstellung beeinflusst u. U. die Fähigkeit von Computern unter Windows 2000 Server, Windows 2000 Professional, Windows XP und der Windows Server 2003-Produktfamilie, über das Netzwerk mit Computern unter Windows NT 4.0 und früher zu kommunizieren. Als diese Beschreibung verfasst wurde, wurde NTLMv2 von Computern unter Windows NT 4.0 SP4 und früher z. B. nicht unterstützt. NTLM wurde von Computern mit Windows 95 und Windows 98 nicht unterstützt.
Standard:
Windows 2000 und Windows XP: Senden von LM- & NTLM-Antworten
Windows Server 2003: Senden von NTLM-Antwort (ausschließlich)
Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2: Senden von NTLMv2-Antwort (ausschließlich)

Lösung 2 – Registryeintrag auf den Clients erzeugen/ändern

Falls das Ändern der Gruppenrichtlinien nicht gewünscht/möglich ist, dann kann man lt. Microsoft [2,3,4]

auch den dazugehörigen Registry-Key setzen.

Registry Editor öffnen (z.B. mit folgender Tastenkombination)

[Win]+[r]regedit[Enter]

Den Pfad (auf der linken Seite) öffnen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Auf der rechten Seite den Eintrag „LsaLmCompatibilityLevel“ suchen und Dezimal-Wert auf 3 setzen.

Falls der Eintrag „LsaLmCompatibilityLevel“ nicht vorhanden ist, dann bitte einen neuen Eintrag wie folgt erzeugen.

• Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
• Typ: DWORD
• Name: LsaLmCompatibilityLevel
• Wert (mind.): 3 (Dezimal)

Hinweis 1:
Im Microsoft-Artikel KB2903333 [Quellen: 2,3]
ist die Rede von „LmCompatibility„. Dies ist nicht korrekt.
Richtig ist „LsaLmCompatibilityLevel“ [Quellen: 1,4]

Hinweis 2:
Die in Lösung 1 beschriebenen Schritte erzeugen/setzen wohl den hier beschriebenen Registry-Wert auf 3.
Siehe Quellen [1]
Die Bedeutung der Zahlen s. Quellen [4]

Unter Umständen könnte ein Neustart nötig sein, damit die Änderungen wirksam werden.
Zumindest lt. Microsoft [4].

Lösung 3 – Registryeintrag auf dem Server erzeugen/ändern (nur vollständigkeitshalber)

Lt. Microsoft ist es möglich, die fehlende Kanalbindung Serverseitig zu ignorieren (dies ist hier nur vollständigkeitshalber beschrieben, da wir diese serverseitige Lösung nicht umsetzen können).

Dazu ist auf dem Server folgender Reg-Key zu erzeugen (dieser ist standardmäßig nicht vorhanden).

• Pfad: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core
• Typ: DWORD
• Name: EnforceChannelBinding
• Wert (mind.): 0 (Dezimal)

Quellen

1. https://www.mcbsys.com/blog/2018/12/remote-desktop-fails-to-connect-to-gateway-0xc000035b/
2. https://support.microsoft.com/en-us/help/2903333/terminal-services-client-connection-error-0xc000035b-when-you-use-lmco
3. https://support.microsoft.com/de-de/help/2903333/terminal-services-client-connection-error-0xc000035b-when-you-use-lmco
4. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc960646(v=technet.10)