Windows 10 Bug beim Aktivieren des Remote Desktops per Gruppenrichtlinie kostet Admins Stunden über Stunden

Lesedauer: 8 Minuten

Hintergrund: Was ist Remote Desktop („RDP“)?

In Unternehmensnetzwerken ist es üblich, die sogenannte Remote Desktop Funktion (kurz „RDP“ von „remote desktop protocol“) auf Endgeräten zu aktivieren. Dies gibt Administratoren die Möglichkeit, „remote“ an einem Rechner Einstellungen vorzunehmen, Software zu installieren und viele andere sinnvolle Wartungsarbeiten durchführen zu können.

Auch für Benutzer kann diese Funktion sinnvoll sein. Dann zum Beispiel, wenn man mit mehreren Teilnehmern im Konferenzraum sitzt und etwas von seinem eigenen Desktop präsentieren möchte. Vom Konferenzraum-PC, der per Beamer an die Leinwand projiziert wird, startet man einfach die Remote Desktop Verbindung auf seinen Büro-Rechner und schon sehen alle, was dort passiert.

Ein weiteres Anwendungsbeispiel ist die Home Office Tätigkeit. Nach Einwahl über eine gesicherte VPN-Verbindung („virtuelles privates Netzwerk“ zum Arbeitgeber) startet man auch hier vom Heimarbeitsplatz die RDP-Verbindung auf seinen Bürorechner. So hat man über einen gesicherten Kanal Zugriff auf alles, genau so, wie man es im Büro an seinem Rechner hat.

Der Cloud: was am Heimarbeitsplatz (oder auch Konferenzraum) angezeigt wird ist, ähnlich der Funktionsweise eines sogenannten Terminalservers, nur eine Art Streaming der Bild- und ggf. Audiodaten. Auf den Heimarbeitsplatz werden keine sensiblen Firmendaten übertragen, denn es läuft alles „remote“ auf dem Firmenrechner und der Heimrechner zeigt nur das reine Bild des Monitors im Büro an. Während der Monitor im Büro derweil durch RDP schwarzgeschaltet wird, damit auch da niemand zuschauen kann sofern denn jemand zufällig vor dem Bürorechner wäre (man denke an die wochenendliche Büroreinigung).

Die Einstellung per Gruppenrichtlinie („GPO“)

Weil Sicherheitsrichtlinien in Unternehmen aus gutem Grund nicht vom Benutzer selbst ohne Admin-Rechte konfiguriert werden können (und auch nicht sollten), erfolgt die Aktivierung dieser Funktion normalerweise zentral über einen Server gesteuert.

Die technische Funktion dazu heisst Gruppenrichtlinienverwaltung, oder in der Fachsprache kurz „GPO“ vom englischen „group policy object“.

Der Benutzer selbst kann zwar in der Windows Systemsteuerung nachsehen, ob die Funktion ein- oder ausgeschaltet ist, kann diese Einstellung aber nicht verändern.

Bild: gruppenrichtlinienbasierte Aktivierung des Remote Desktops bei ausgegrauten Optionen, weil der Anwender keine Änderungen vornehmen darf

Wenn Gruppenrichtlinien – vermeintlich – nicht funktionieren

Über so technische Dinge schreiben wir hier eigentlich relativ selten. Dazu gibt es genügend andere Foren, Fachportale, Knowledge Base Artikel im Netz.

Auch was die Aktivierung von Gruppenrichtlinien angeht findet man unzählige Beispiele und Userfragen.

Interessanterweise liefert die Google Suche nach den englischen Fachbegriffen win 10 gpo rdp not working über 1,3 Millionen Suchergebnisse. Leider spiegeln sowohl das Resultat als auch die praktisch in jedem Beitrag ungelöste Problematik unsere eigene Erfahrung wieder.

Quelle: Google Suche nach win 10 gpo rdp not working 1)https://www.google.com/search?q=win+10+gpo+rdp+not+working&oq=win+10+gpo+rdp+not+working&aqs=chrome..69i57.7815j0j7&sourceid=chrome&ie=UTF-8

Wie sich herausstellt hat Windows 10 allerdings einen sehr eklatanten Bug, der weitestgehend undokumentiert ist.

Die Windows 10 Systemsteuerung zeigt nicht immer das an, was tatsächlich eingestellt ist. Sucht man nach zuverlässigen Werten, dann sollte man lieber die weiterhin (auch unter Win 10) bestehenden Windows 7 Systemmenüs verwenden.

Leider ist Windows 10 ein weiteres Flickschusterwerk von Microsoft, das weit von sauberer Programmierung entfernt ist. Beweis gefällig? Ein Bild sagt manchmal mehr als Tausend Worte:

Screenshot des Windows 7 RDP Menüs (links im Bild) und gleichzeitig des Windows 10 Menüs (rechts im Bild) zeigen genau gegensätzliche Sicherheitseinstellungen.

Windows 7 Menü stimmt, Windows 10 Menu nicht.

Wie es auch schon bei den Druckermenüs vorkam, dass die alten Windows 7 Druckermenüs alle Drucker verwalten konnten und die Windows 10 Menüs ständig nur den Dienst mit dubiosen Fehlermeldungen quittierten, so scheint es also auch beim Remote Desktop Systemeinstellungsmenü Differenzen zwischen altem und neuem Menü zu geben.

Während – wohlgemerkt auf ein und demselben Rechner – das Windows 10 Systemmenü felsenfest behauptet die Funktion sei von der Organisation verwaltet und deaktiviert – was aber gar nicht stimmt – …

…zeigt das alte aus Windows 7 Zeiten stammende Menü völlig richtig an, dass RDP aktiviert ist und von der Organisation verwaltet wird:

Unbedingt testen, bevor man umsonst auf Fehlersuche geht

Es empfiehlt sich also, nicht auf die Anzeigen von Windows 10 zu vertrauen. Leider gilt das auch für die Anzeige von Sicherheitseinstellungen. Gerade dort ist es eigentlich sträflich, wenn eine Software falsche Einstellungen anzeigt.

In unserem aktuellen Fall beim Kunden war es so, dass wir nur die Rückmeldung hatten, dass Remote Desktop nicht aktiviert ist. Wir glaubtem dem Screenshot, den uns der Kunde bereitgestellt hatte, und verbrachten doch relativ viel Zeit damit nach der Ursache zu suchen. Nachdem weder Neuanlage der Richtlinie noch sonstige Dinge Abhilfe verschafften, wurden Tests auf einer Wartungsmaschine durchgeführt.

Wahrscheinlich nur aus alter Gewohnheit nutzen wir zum Kontrollieren nur die alten Windows 7 Menüs und waren verwundert, wieso auf dem Testsystem alles funktionierte.

Als dann auch der Praxistest beim Kundenrechner (nach Freischalten der Windows Firewall) anstandslos funktionierte, obwohl der Rechner im Windows 10 Menü weiterhin behauptete RDP sei deaktiviert, war des Rätsels Lösung nicht weit entfernt. Es ist einfach nur ein weiterer Microsoft Bug.

Muster-Richtlinie

Es gibt unzählige Anleitungen im Internet hierzu, wovon viele aber nur sehr halbherzig durchdacht sind. Da es trotz allem offenbar ein „common problem“ in der Welt der IT ist, veröffentlichen wir hier eine Musterrichtlinie. Sie hat keinen Anspruch auf Vollständigkeit, Sicherheitsrichtlinien sind immer im Kontext der Gesamtstruktur zu sehen. Aber vielleicht hilft sie dem ein oder anderen, bei Problemen mit der eigenen Richtlinie einer Lösung auf die Spur zu kommen.

Link auf die jeweils benötigte OU
Security Filtering entsprechend Anforderungen
Erlaubte RDP Benutzer freischalten
Firewall-Regel inbound Shadow TCP
Firewall-Regel inbound User UDP
Firewall-Regel inbound User TCP
Windows Defender Domain profile exceptions
Remote Desktop Session Host Konfiguration

Was genau sich Microsoft dabei gedacht hat, dass man an so vielen Stellen Hand anlegen muss um eine einfache Standardfunktion aktiviert zu bekommen sodass diese auch tatsächlich funktioniert und verwendbar ist, das wird für immer Microsofts kleines Geheimnis bleiben.

patrick.ruppelt