RDP-Verbindung scheitert mit CredSSP- oder NLA-Fehlern: Ursache finden und sicher beheben

Von /

Wenn Remote Desktop (RDP) plötzlich mit Meldungen zu CredSSP, Network Level Authentication (NLA) oder „Authentication Error“ abbricht, steckt häufig eine sicherheitsrelevante Inkonsistenz zwischen Client und Zielsystem dahinter. Besonders nach Windows-Updates, in Domänen mit heterogenen Patch-Ständen oder bei Zugriffen über Jump-Hosts treten Konflikte in der Authentifizierung und im TLS-Handshake auf. RDP nutzt dabei mehrere Sicherheitsschichten: CredSSP als Mechanismus zur Delegation von Anmeldeinformationen (für NLA), NLA als Vorab-Authentifizierung über SSPI sowie TLS zur Absicherung des Transportkanals. Zusätzliche Schutzmechanismen wie Channel Binding (Extended Protection) und die Abhängigkeit von Kerberos bzw. NTLM entscheiden darüber, ob ein Client die Gegenstelle als vertrauenswürdig akzeptiert und ob Anmeldedaten überhaupt delegiert werden dürfen. Für Administratoren ist die zentrale Frage, ob ein Fehler durch Richtlinien (lokal oder domänenbasiert), durch ein Patch-Mismatch, durch Zertifikats- und TLS-Parameter oder durch Identitäts- und Namensauflösungsprobleme entsteht – und wie sich die Verbindung wiederherstellen lässt, ohne Sicherheitsniveau und Update-Festigkeit der Umgebung zu untergraben.

Inhalt

Sicherheitsarchitektur von RDP: CredSSP, NLA, TLS, Channel Binding und Kerberos/NTLM in der Praxis

RDP-Fehler rund um CredSSP oder NLA sind in der Regel keine „reinen Verbindungsprobleme“, sondern Signale, dass eine Sicherheitsprüfung in der frühen Sitzungsphase fehlschlägt. Für eine belastbare Ursachenanalyse ist entscheidend, die Reihenfolge der Schutzmechanismen zu kennen: Zuerst wird die Transportebene (TLS) ausgehandelt, dann wird mit NLA eine Vorab-Authentifizierung über CredSSP durchgeführt, und erst danach wird die eigentliche Remote-Desktop-Sitzung aufgebaut. Störungen an jeder Stelle führen zu unterschiedlichen Symptomen, die sich nur dann sauber trennen lassen, wenn die zugrunde liegenden Abhängigkeiten (Zertifikate, SPNEGO, Kerberos/NTLM, Channel Bindings/Extended Protection) klar sind.

RDP-Verbindungsaufbau: Welche Sicherheitsprüfungen wann greifen

Moderne Windows-RDP-Verbindungen (insbesondere mit aktivierter NLA) beginnen mit einem TLS-geschützten Kanal zum Remote Desktop Session Host (TermService). In dieser Phase werden Protokollversionen und Cipher Suites ausgehandelt und das Serverzertifikat präsentiert. Auf dieser Transportbasis startet anschließend CredSSP als SSPI-gestützte „Credential Delegation“-Schicht: Der Client authentifiziert sich gegenüber dem Server (typisch via SPNEGO), und nur wenn diese Prüfung erfolgreich ist, werden Anmeldeinformationen sicher an den Server delegiert, damit die eigentliche Windows-Anmeldung erfolgen kann. Das reduziert die Angriffsfläche, weil der Server ohne gültige Vorab-Authentifizierung gar nicht erst zur interaktiven Anmeldeoberfläche gelangt.

Wichtig ist die Trennung der Ebenen: Ein TLS-Problem kann bereits den Aufbau von CredSSP verhindern; umgekehrt kann TLS stabil sein, während CredSSP oder die gewählte Authentifizierungsmethode (Kerberos/NTLM) scheitert. Channel Binding und Extended Protection koppeln diese Ebenen zusätzlich enger, indem sie die Authentifizierung kryptografisch an den konkreten TLS-Kanal binden (sofern die beteiligten Komponenten dies tatsächlich aushandeln und erzwingen).

Schicht/Komponente Praktische Funktion im RDP-Handshake Typische Fehlerursache bei CredSSP-/NLA-Problemen
TLS (Transport) Verschlüsselung, Serveridentität per Zertifikat, Basis für sichere Aushandlung Zertifikatskette/Name passt nicht; deaktivierte/inkompatible TLS-Versionen; Middlebox/Inspection bricht Handshake
NLA (Vorab-Authentifizierung) Erzwingt Authentifizierung, bevor eine Sitzung aufgebaut wird Client/Server-Richtlinie verlangt NLA, Gegenstelle unterstützt/konfiguriert sie nicht oder kann nicht authentifizieren
CredSSP SSPI-basierte Authentifizierung und sichere Delegation von Anmeldeinformationen Patch-/Policy-Mismatch bei CredSSP-Härtung; Extended Protection/Channel Binding erfordert strengere Prüfungen als Gegenstelle liefern kann
Kerberos/NTLM (über SPNEGO) Wählt und führt die eigentliche Client-Authentifizierung aus SPN/DNS nicht konsistent; Zeitabweichung; fehlender Kerberos-Pfad → NTLM-Blockade durch Richtlinie

CredSSP: Zweck, Delegation und warum Updates „plötzlich“ Verbindungen brechen

CredSSP (Credential Security Support Provider) ist die Windows-Komponente, die es einem Client erlaubt, Anmeldeinformationen geschützt an einen Server zu delegieren, damit dieser die lokale Anmeldung im Benutzerkontext durchführen kann. Das ist essenziell für NLA-Szenarien, weil der Server vor dem Aufbau der Desktop-Sitzung prüfen muss, ob der Benutzer überhaupt authentifiziert ist. Sicherheitsupdates haben CredSSP in der Vergangenheit mehrfach gehärtet, um Man-in-the-Middle-Angriffe auf die Credential-Delegation zu erschweren. Diese Härtungen sind in der Praxis dann sichtbar, wenn Client und Server unterschiedliche Erwartungshaltungen haben (z. B. strengere Validierung auf dem Client, aber ein ungepatchter Server oder ein Jump-Host mit abweichender Richtlinie).

In gemischten Umgebungen ist deshalb weniger „RDP kaputt“, sondern die Sicherheitsentscheidung ist konsistenter geworden: Wenn der Client eine sichere CredSSP-Aushandlung fordert, der Server diese nicht korrekt bedient, wird der Verbindungsaufbau bewusst abgebrochen. Genau dieser Abbruch wird in vielen Fehlermeldungen pauschal als CredSSP- oder NLA-Problem dargestellt, obwohl die eigentliche Ursache ein Versions- oder Richtlinienkonflikt ist.

NLA in der Praxis: Warum Authentifizierung vor der Sitzung eine zentrale Härtung ist

Network Level Authentication verschiebt die Authentifizierung vor den Aufbau der grafischen Sitzung. Dadurch sinkt die Angriffsfläche für Pre-Auth-Exploits und Ressourcenverbrauch (z. B. massenhaft aufgebaute Anmeldebildschirme). NLA ist jedoch nur so stabil wie die darunterliegende Authentifizierungskette: Namensauflösung, Domänenvertrauen, Kerberos/NTLM-Policy und die Fähigkeit, das Serverzertifikat bzw. den TLS-Kanal korrekt zu binden. In Workgroup-Szenarien oder bei IP-basiertem Zugriff ist NLA weiterhin möglich, aber Kerberos fällt typischerweise weg; dann greifen NTLM oder lokale Konten, was in stark gehärteten Umgebungen bewusst eingeschränkt sein kann.

Administrativ relevant ist zudem, dass NLA nicht „nur eine Checkbox“ ist: Bei aktivierter NLA kann ein Server, der keinen funktionierenden Authentifizierungspfad anbietet (z. B. Kerberos scheitert und NTLM ist per Richtlinie blockiert), Verbindungen nicht mehr annehmen, selbst wenn das RDP-Protokoll an sich erreichbar wäre.

TLS, Zertifikate und die Kopplung an die Authentifizierung (Channel Binding / Extended Protection)

TLS schützt RDP nicht nur durch Verschlüsselung, sondern liefert auch eine überprüfbare Serveridentität über ein Zertifikat. In vielen Umgebungen ist das Zertifikat selbstsigniert oder stammt aus einer internen PKI; beides ist grundsätzlich möglich, solange Client-Validierung und Zertifikatszuordnung konsistent sind (z. B. korrekter Name im Zertifikat, vertrauenswürdige Kette). Probleme entstehen häufig, wenn der Client den Server über eine Adresse anspricht, die nicht zum Zertifikatsnamen passt, oder wenn ein TLS-terminierendes Gerät (z. B. RD Gateway, Load Balancer) die Endpunkteigenschaften verändert.

Channel Binding und Extended Protection (EPA) binden die SSPI-Authentifizierung an Eigenschaften des TLS-Kanals. Damit wird verhindert, dass Anmeldedaten zwar „korrekt“ präsentiert werden, aber unbemerkt an einen anderen Endpunkt oder über einen manipulierten Kanal gehen. Diese Kopplung erhöht die Sicherheit, macht den Aufbau aber auch empfindlicher gegen inkonsistente Zertifikate, TLS-Interception oder Zwischenstationen, die den Kanal aus Sicht von Client und Server unterschiedlich erscheinen lassen.

  • Zertifikatsname vs. Verbindungsziel: Bei Zugriff über Alias, IP oder nicht registrierten DNS-Namen passt die Identität im Zertifikat oft nicht; das kann je nach Client-Konfiguration zu Abbrüchen oder zu strengeren Prüfungen bei Channel Binding führen.
  • TLS-Inspection/Proxying: Komponenten, die TLS aufbrechen und neu terminieren, verändern die Kanalbindung; CredSSP/EPA kann dann scheitern, obwohl „TLS an sich“ funktioniert.
  • RDP-Sicherheitslayer falsch verstanden: Die Einstellung „SSL (TLS 1.0)“ ist nicht gleichbedeutend mit „TLS modern konfiguriert“; maßgeblich ist, welche Protokolle/Cipher Suites das Betriebssystem tatsächlich zulässt.
  • Zertifikatskette nicht vertrauenswürdig: Fehlt eine Zwischenzertifizierungsstelle oder ist der Root nicht vertrauenswürdig, kann der Client trotz erreichbarem Port 3389 die Verbindung aus Sicherheitsgründen abbrechen.

Kerberos und NTLM: Abhängigkeiten, die sich als „NLA-Fehler“ tarnen

Bei Domänenmitgliedschaft ist Kerberos der bevorzugte Mechanismus für die Authentifizierung im Rahmen von NLA/CredSSP. Kerberos ist jedoch strikt abhängig von korrekter Namensauflösung, Zeit-Synchronität und passenden Service Principal Names (SPNs). Bereits kleine Inkonsistenzen – etwa Zugriff auf den Server über einen DNS-Alias ohne passenden SPN – führen dazu, dass Kerberos nicht verwendet werden kann. In solchen Fällen fällt Windows oft auf NTLM zurück, sofern es nicht durch Richtlinien (z. B. NTLM-Restriktionen) oder Sicherheitsbaselines unterbunden ist.

Gerade in gehärteten Umgebungen ist diese Fallback-Logik der entscheidende Punkt: Der Administrator sieht einen NLA- oder CredSSP-Fehler, tatsächlich scheitert aber die Auswahl oder Ausführung des Authentifizierungsproviders. Deshalb gehört zur Architekturbetrachtung immer auch die Frage, ob Kerberos auf dem erwarteten Namen funktioniert und ob NTLM (falls erforderlich) im konkreten Pfad erlaubt ist. Für stabile RDP-Betriebsmodelle wird der Zugriff typischerweise so gestaltet, dass Kerberos konsistent greift (FQDN, korrekte SPNs, saubere Zeitquelle), statt sich auf unsichere oder unerwünschte Fallbacks zu verlassen.

  • Kerberos funktioniert nur mit „richtigen“ Namen: Für Domänen-RDP sollte der Zugriff bevorzugt über den FQDN erfolgen (z. B. server01.contoso.local), nicht über IP oder zufällige Aliase.
  • SPN-/Alias-Fallen: Wird ein DNS-Alias genutzt, ist häufig ein passender SPN auf dem Computerkonto erforderlich; ohne SPN ist Kerberos typischerweise nicht nutzbar und NLA kann je nach Policy scheitern.
  • NTLM-Restriktionen als „unsichtbarer“ Blocker: Wenn Kerberos nicht greift und NTLM per Sicherheitsrichtlinie blockiert ist, erscheint das Ergebnis oft als generischer NLA-Fehler, obwohl die Netzwerkverbindung stabil ist.
  • Zeit und Ticket-Lebensdauer: Größere Zeitabweichungen zwischen Client, Server und Domänencontrollern verhindern Kerberos; NTP/Zeitsynchronisation ist damit ein Sicherheits- und Verfügbarkeitsfaktor.

Fehlermeldungen sauber einordnen: typische CredSSP-/NLA-Symptome und was sie technisch bedeuten

CredSSP- und NLA-Probleme wirken in der Praxis oft ähnlich („Anmeldung fehlgeschlagen“, „Authentifizierung nicht möglich“), entstehen jedoch an unterschiedlichen Stellen der Verbindungsaufbau-Kette. Für eine sichere Fehlerbehebung ist die präzise Einordnung entscheidend: Manche Meldungen deuten auf einen reinen Identitäts- oder Richtlinienkonflikt hin, andere auf ein Protokoll- oder Patch-Mismatch, bei dem „schnelle“ Workarounds die Sicherheit spürbar absenken.

Wo im Ablauf der Fehler entsteht (mentales Modell)

Beim RDP-Handshake laufen grob drei Schichten nacheinander: (1) Transport-/TLS-Aushandlung zum Schutz des Kanals, (2) NLA/SSPI-Authentifizierung (Kerberos/NTLM über SSPI), (3) Credential-Delegation über CredSSP (für NLA) und schließlich die interaktive Sitzung. Ein Fehlertext ist deshalb nur dann aussagekräftig, wenn klar ist, in welcher Phase er ausgelöst wird: Ein TLS-Problem zeigt sich häufig, bevor überhaupt Benutzername/Passwort verarbeitet werden; ein NLA-Problem entsteht während der Identitätsprüfung; ein CredSSP-Problem tritt typischerweise bei der Delegation oder bei Sicherheitsprüfungen wie Channel Binding bzw. „Encryption Oracle Remediation“ auf.

Phase / Komponente Typische Symptome im RDP-Client Technische Bedeutung
TLS (RDP Security Layer / TLS) Zertifikatswarnung, Abbruch vor Credential-Eingabe, teils „Der Remotedesktop kann keine Verbindung…“ ohne NLA-Hinweis Serverzertifikat nicht vertrauenswürdig, falscher Name, TLS-Version/Cipher-Inkompatibilität oder Abbruch durch Middlebox/Inspection
NLA (SSPI: Kerberos/NTLM) „Die Anmeldung ist fehlgeschlagen“, „Der angeforderte Sicherheitsmodus wird nicht unterstützt“, „Es besteht ein Authentifizierungsfehler“ Identität/Policy: keine passenden Anmeldeinformationen, Konto-/Logon-Right-Problem, Domänen-/Zeit-/SPN-Thema, NTLM eingeschränkt, Cred-Provider blockiert
CredSSP (Credential Delegation) Expliziter Hinweis auf CredSSP, häufig „Oracle-Remediation“/„Verschlüsselungsorakel“; Verbindung nur mit abgesenkter Richtlinie möglich Client/Server-Patchstand oder Richtlinienwert passt nicht zusammen; Sicherheitsprüfung (z. B. gegen MITM) erzwingt strengeren Modus

Typische CredSSP-spezifische Meldungen: was dahintersteckt

CredSSP-Fehler treten häufig nach Updates oder in gemischten Umgebungen auf, wenn ein Teil der Systeme strenger prüft als der andere. Charakteristisch ist, dass der Verbindungsaufbau grundsätzlich startet, dann aber beim Authentifizierungs-/Delegationsschritt abbricht und der Client ausdrücklich CredSSP erwähnt. Technisch geht es meist um eine Schutzmaßnahme gegen Man-in-the-Middle-Angriffe: Der Client verweigert die Delegation von Anmeldeinformationen, wenn der Gegenpart nicht den erwarteten Sicherheitszustand erfüllt oder die Richtlinie eine „Downgrade“-Verbindung verbietet.

  • „Es besteht ein Authentifizierungsfehler. Die Funktion, die angefordert wird, wird nicht unterstützt. (CredSSP)“: Häufig ein Mismatch zwischen Client- und Serververhalten nach Sicherheitsupdates; der Client blockiert die Credential-Delegation, wenn der Server nicht die erwartete Absicherung liefert oder die lokale Richtlinie zu strikt/zu lax im falschen Kontext ist.
  • Hinweis auf „Oracle-Remediation“ / „Encryption Oracle Remediation“: Verweist auf eine Richtlinienentscheidung, ob unsichere CredSSP-Gegenstellen toleriert werden. Der konkrete Richtlinienpfad ist Computerkonfiguration\Administrative Vorlagen\System\Anmeldeinformationen delegieren\Verschlüsselungsorakelbehebung bzw. der Registry-Wert HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle.
  • Verbindung klappt nur mit „weniger sicherer“ Einstellung: Das ist kein „Netzwerkproblem“, sondern ein Indikator, dass mindestens ein System (Client oder Server) nicht auf dem erwarteten Patch-/Konfigurationsstand ist oder dass ein Zwischenangriff nicht ausreichend ausgeschlossen werden kann (z. B. durch falsche Namensauflösung oder TLS-Interception).

NLA-Fehlerbilder: Kerberos/NTLM, Logon-Rights und Identität

NLA setzt voraus, dass der Client vor Aufbau der vollständigen Sitzung erfolgreich eine Windows-Authentifizierung über SSPI durchführt. Fehler in diesem Bereich sehen oft wie „falsches Passwort“ aus, obwohl das Kennwort korrekt ist. Typische Ursachen sind fehlende Anmeldeberechtigungen („Allow log on through Remote Desktop Services“), eine nicht passende Authentifizierungsmethode (Kerberos erwartet, NTLM blockiert), oder Infrastrukturthemen wie Zeitabweichung und Namensauflösung, die Kerberos brechen.

  • „Die Anmeldung ist fehlgeschlagen“ bei sicher bekannten Credentials: Prüfthemen sind häufig Logon-Rights und Gruppenmitgliedschaften (z. B. Remotedesktopbenutzer), Kontosperre, „Anmelden verweigern“-Richtlinien sowie UAC-/Token-Filter bei lokalen Konten.
  • „Der angeforderte Sicherheitsmodus wird nicht unterstützt“: Deutet oft darauf hin, dass Client und Server keinen gemeinsamen NLA/Security-Layer aushandeln können (z. B. NLA erzwungen auf dem Server, Client kann NLA nicht nutzen oder ist durch Richtlinien/Hardening blockiert).
  • „Es besteht ein Authentifizierungsfehler“ ohne CredSSP-Hinweis: Häufig SSPI/Kerberos/NTLM-Themen: Kerberos scheitert durch falschen SPN, fehlende Domänen-Erreichbarkeit oder Zeitdrift; NTLM scheitert durch Einschränkungen (z. B. via Sicherheitsrichtlinien) oder weil Zielname/IP nicht zu den erwarteten Identitätsregeln passt.

TLS-/Zertifikats-Symptome, die fälschlich als NLA „gesehen“ werden

Ein Teil der Fälle, die „wie NLA“ wirken, sind tatsächlich TLS- oder Zertifikatsthemen. Wenn der Kanal nicht stabil und eindeutig zum erwarteten Ziel passt, können nachgelagerte Mechanismen (NLA/CredSSP) nicht zuverlässig arbeiten oder blockieren bewusst. In streng gehärteten Umgebungen fällt das besonders auf, wenn Zertifikate erneuert wurden, der Hostname gewechselt hat oder TLS-Inspection im Netz den Handshake verändert.

  • Namensfehler am Zertifikat: Wenn der Client über server01 verbindet, das Zertifikat aber nur server01.firma.tld abdeckt (oder umgekehrt), entstehen Warnungen oder Abbrüche – je nach Client-Härtung und Vertrauenskette.
  • Verbindung per IP-Adresse: Bei Verbindung zu 10.0.0.5 passt der Name in der Regel nicht zum Zertifikat (SAN/CN), was in gehärteten Setups zu Abbrüchen führt und anschließend als „Authentifizierungsproblem“ fehlinterpretiert werden kann.
  • Zwischenstellen/Inspection: Wenn eine Middlebox TLS terminiert oder Zertifikate ersetzt, kann der Endpunkt aus Sicht von CredSSP/NLA „nicht der erwartete“ sein. Das zeigt sich dann je nach Konstellation als TLS-Warnung oder als CredSSP-Blockade bei der Delegation.

Fehlertext zu Signalwert verdichten: welche Details jetzt notiert werden sollten

Für die weitere Diagnose ist weniger die „gefühlte Kategorie“ wichtig als die reproduzierbaren Details. Bei jeder betroffenen Verbindung sollten der exakte Wortlaut, ob CredSSP explizit genannt wird, der verwendete Zielname (FQDN vs. Kurzname vs. IP) sowie die Art des Kontos (Domäne, lokales Konto, Azure AD-Join/Hybrid) festgehalten werden. Zusätzlich ist relevant, ob die Verbindung aus dem gleichen Netzsegment gelingt (z. B. über Jump-Host) und ob nur einzelne Clients betroffen sind. Diese Beobachtungen grenzen Patch-/Policy-Mismatch, Identitätsprobleme und TLS-/Namensprobleme deutlich schneller voneinander ab, ohne bereits an Sicherheitsparametern „herunterzudrehen“.

Strukturierte Diagnose und Behebung: Patch-Stand, GPOs, Registry, Eventlogs, Workarounds vs. dauerhafte Härtung (inkl. Sonderfälle)

Bei CredSSP-/NLA-bezogenen RDP-Fehlern ist die zentrale Frage nicht „welche Fehlermeldung erscheint“, sondern welche Seite (Client oder Server) mit welchem Sicherheitsniveau in die Authentisierung geht. Eine belastbare Diagnose beginnt deshalb immer mit einem reproduzierbaren Testfall, einer sauberen Erfassung des Patch- und Richtlinienstands und der Auswertung der Ereignisprotokolle auf beiden Enden. Ad-hoc-Änderungen am Sicherheitsniveau ohne Einordnung führen häufig zu instabilen Zuständen, insbesondere in gemischten Umgebungen oder nach Update-Wellen.

1) Patch-Stand und Protokollfähigkeiten verifizieren (Client & Server)

Ein großer Teil der „plötzlich“ auftretenden CredSSP-/NLA-Probleme entsteht durch asymmetrische Patchstände: Der Client ist bereits gehärtet (z. B. strengere CredSSP- oder Extended-Protection-Prüfungen), der Server hingegen noch nicht – oder umgekehrt. Prüfen Sie daher zuerst nachvollziehbar, ob beide Seiten einen konsistenten Update-Stand haben und ob zwischen Client und Server Geräte wie TLS-Intercept-Proxys, Load Balancer oder Security-Gateways sitzen, die Handshakes verändern.

  • Windows-Build/Hotfix-Stand erfassen: winver
    Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber
    Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20
  • RDP-Clientversion prüfen (Client): mstsc.exe (Dateieigenschaften/Details) bzw. bei Store-App msrdc über App-Version; wichtig ist Konsistenz in der Clientflotte (Pilot-/Ring-Deployment).
  • TLS/Schannel-Basis prüfen (Server): Bei Schannel-Fehlern zuerst die Zertifikatskette und den privaten Schlüssel prüfen; schnelle Indikatoren liefern Ereignisse in Anwendungs- und Dienstprotokolle/Microsoft/Windows/Schannel sowie ein Test mit Test-NetConnection -ComputerName <server> -Port 3389 (Hinweis: Das prüft Erreichbarkeit/Port, nicht die TLS- oder NLA-Aushandlung).
  • Domänenzeit & Namensauflösung validieren: Kerberos und NLA scheitern häufig sekundär an Zeitdrift oder DNS; prüfen mit w32tm /query /status und Resolve-DnsName <server-fqdn>; bei IP-Verbindungen ist mit Kerberos nicht zu rechnen, NTLM/Kennwortpfade dominieren.

2) Gruppenrichtlinien (GPO) und lokale Richtlinien sauber abgleichen

NLA und CredSSP werden auf mehreren Ebenen beeinflusst: Computerkonfiguration (Remote Desktop Services), Sicherheitseinstellungen (Credential Delegation), sowie teils indirekt über TLS/Schannel-Härtung. In Domänenumgebungen ist es entscheidend, die Resultant Set of Policy zu prüfen, statt einzelne GPOs „gefühlt“ zu bewerten. Achten Sie außerdem darauf, ob Baselines (z. B. Microsoft Security Baselines) jüngst aktualisiert und breit ausgerollt wurden.

  • Wirksame Richtlinien ermitteln: gpresult /h C:\Temp\gpresult.html (Client und Server separat) und anschließend Prüfung der Abschnitte zu Remotedesktop, Anmelderichtlinien und Credential Delegation.
  • NLA-Status (Server) prüfen: In den Systemeigenschaften bzw. über WMI/CIM; praxistauglich ist die Registry-Prüfung der RDP-TCP-Parameter (siehe nächster Abschnitt). Änderungen sollten nach Möglichkeit per GPO erfolgen, nicht per Klick-Operation.
  • CredSSP-Delegation nicht „blind“ erweitern: Richtlinien wie „Allow delegating fresh credentials“ sind nur für klar definierte Szenarien (z. B. Jump-Host mit Remote Credential Guard oder Restricted Admin) vertretbar. Wildcards oder breite SPN-Muster erhöhen das Risiko von Credential Theft.
  • Sicherheitssoftware/SSL-Inspection als Policy-Faktor: Wenn ein Gateway TLS-Termination oder Zertifikatssubstitution vornimmt, kann NLA/TLS fehlschlagen. Validieren Sie, ob zwischen Client und Zielserver eine Inspektion aktiv ist und ob Ausnahmen für TCP/3389 sowie RD Gateway (falls genutzt) definiert sind.
Prüfpunkt Was gilt als „auffällig“ Technische Einordnung
NLA erzwingt/aus Verbindungen funktionieren nur bei deaktivierter NLA Hinweis auf Authentisierungs-/CredSSP-Kette (Kerberos/NTLM, TLS, CredSSP-Versionen) oder fehlerhafte Identitätsprüfung
GPO vs. lokal Lokale Änderung „springt zurück“ Domänen-GPO überschreibt lokale Einstellungen; Änderungen müssen an der wirksamen GPO erfolgen
Patch-Asymmetrie Nur bestimmte Clients (z. B. frisch gepatcht) scheitern Clientseitige Härtung trifft auf unzureichend gepatchten Server oder inkompatible TLS-Intermediates
Schannel-/TLS-Fehler Schannel Events oder Zertifikatswarnungen parallel zum RDP-Fehler TLS-Aushandlung oder Zertifikatsthema; NLA baut auf gesichertem Kanal auf, bricht daher sekundär

3) Registry- und Dienstzustand prüfen (zielgerichtet, nachvollziehbar)

Wenn GPO-Auswertungen keine eindeutige Ursache ergeben, helfen gezielte Abfragen der wirksamen RDP-Parameter. Vermeiden Sie „Tuning“ über verstreute Registry-Guides; lesen Sie Werte aus, dokumentieren Sie den Ist-Zustand und ändern Sie nur, was Sie später wieder sauber zurückbauen können. Relevante Änderungen an RDP-Listenern wirken in der Praxis oft erst nach einem Neustart des Remotedesktopdienstes oder des Systems stabil.

  • RDP aktiviert (Server): reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections (0 = erlaubt, 1 = verboten)
  • NLA (Server) – UserAuthentication: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication (typisch 1 = NLA an; 0 = NLA aus). Änderungen sollten primär über GPO erfolgen; Registry ist nur für kontrollierte Tests sinnvoll.
  • TLS-Zertifikatbindung (Server) sichtbar machen: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SSLCertificateSHA1Hash (prüfen, ob Thumbprint zum beabsichtigten Zertifikat passt; Zertifikatsverwaltung im lokalen Computerspeicher kontrollieren).
  • Dienstzustand und schnelle Neustarts (Server): Get-Service TermService
    Restart-Service TermService -Force (nur in Wartungsfenstern, da aktive Sitzungen betroffen sind; je nach Serverrolle/Hardening kann ein Neustart des Dienstes nicht immer sauber alle Listener-Zustände zurücksetzen).

4) Eventlogs: Welche Protokolle wirklich weiterhelfen

Die Fehlermeldung im RDP-Client ist oft generisch. Die belastbare Differenzierung gelingt über Ereignisse auf dem Zielsystem (und bei Bedarf zusätzlich auf dem Client). Suchen Sie zeitlich korreliert zur fehlgeschlagenen Anmeldung und notieren Sie Event-ID, Quelle und Substatus (z. B. Logon Type, Failure Reason). Für NLA/CredSSP sind insbesondere RemoteDesktop-bezogene Kanäle und die Sicherheitsprotokolle relevant; für TLS-Probleme die Schannel-Logs.

  • Server: RDP-Verbindungs- und Authentisierungsereignisse: Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > TerminalServices-RemoteConnectionManager/Operational sowie TerminalServices-LocalSessionManager/Operational
  • Server: Security-Logon-Fails (Kerberos/NTLM): Ereignisanzeige > Windows-Protokolle > Sicherheit (z. B. fehlgeschlagene Anmeldungen; wichtig sind Kontoname, Logon Type und Failure Status/SubStatus).
  • Server: TLS/Schannel: Ereignisanzeige > System und Anwendungs- und Dienstprotokolle > Microsoft > Windows > Schannel (Handshake-Fehler, Zertifikat-/Cipher-Probleme).
  • Client: RDP-Client-Operational Log: Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > TerminalServices-ClientActiveXCore/Operational (hilfreich, wenn der Server keine Events erzeugt, z. B. bei frühem TLS-Abbruch).

5) Workarounds (kurzfristig) vs. sichere Fixes (dauerhaft) – klare Trennlinie

Kurzfristige Maßnahmen können den Betrieb wiederherstellen, erhöhen aber häufig das Risiko (Credential Exposure, MITM-Angriffsfläche, schwächere Authentisierung). Setzen Sie Workarounds daher nur kontrolliert, mit Ablaufdatum und Change-Dokumentation ein. Dauerhafte Fixes zielen fast immer auf (a) konsistente Updates, (b) korrekte Zertifikats-/TLS-Konfiguration, (c) saubere Identitätspfade (DNS, SPNs, Zeit), (d) eindeutige, getestete GPO-Härtung.

  • Kurzfristig: NLA temporär deaktivieren (nur isoliert und befristet): Nur als Notfallmaßnahme, um Zugang zur Reparatur zu erhalten. Danach wieder aktivieren und Ursache beheben; sonst sinkt die Schutzwirkung gegen Pre-Auth-Angriffe und schwache Authentisierungspfade.
  • Kurzfristig: CredSSP-Workaround auf dem Client vermeiden bzw. eng begrenzen: Einstellungen, die die CredSSP-Prüfungen herabsetzen, sind nur in klar abgegrenzten Ausnahmefenstern vertretbar und sollten nicht flächig per GPO ausgerollt werden. Priorität hat das Patchen der Gegenstelle und das Entfernen von TLS-Interception.
  • Dauerhaft: Patch-Symmetrie herstellen: Server (insbesondere alte, selten angefasste Systeme) müssen mit den Sicherheitsupdates kompatibel zum Clientstand sein. In gemischten Netzen ist ein definierter Update-Kadenzplan für RDP-Endpoints und Jump-Hosts entscheidend.
  • Dauerhaft: Zertifikate und Namenspfade standardisieren: RDP sollte mit gültigem Zertifikat (vollständige Kette, passender FQDN/SAN) betrieben werden; Verbindungen sollten bevorzugt über FQDN statt IP erfolgen, damit Kerberos/SPN-Pfade und Channel-Binding-Erwartungen konsistent sind.
  • Dauerhaft: Härtung über konsistente GPO-Baseline: NLA aktiviert lassen, schwache Protokolle/Cipher vermeiden (über aktuelle Microsoft-Empfehlungen), Remote-Zugriffe über Jump-Host/RD Gateway bündeln und lokale Ausnahmen konsequent dokumentieren.

6) Sonderfälle korrekt einordnen: Legacy-Server, isolierte Netze, Jump-Hosts, ohne Domäne

Einige Umgebungen lassen sich nicht „ideal“ modernisieren, ohne Betriebsrisiken einzugehen. Entscheidend ist dann, Sonderfälle so zu kapseln, dass sie nicht die generelle Sicherheitslinie unterlaufen. Für sehr alte Windows-Versionen, die nicht mehr im Support sind, sollte RDP nicht direkt aus produktiven Admin-Netzen erreichbar sein; setzen Sie stattdessen kontrollierte Zugangswege und segmentieren Sie konsequent.

  • Legacy-Server (außer Support): Keine dauerhaften Client-Workarounds in der Breite. Zugriff nur über dedizierten Jump-Host in isoliertem Segment; Netzwerkzugriff auf TCP/3389 strikt einschränken und mittelfristig Ablösung planen.
  • Isolierte Netze ohne PKI/AD: Wenn Domänenbindung und zentrale Zertifikatsausstellung fehlen, steigt die Bedeutung von sauberen lokalen Zertifikaten, stabiler Namensauflösung (Hosts/DNS) und konsequenter Zugriffskontrolle (Firewall, erlaubte Quellnetze). Authentisierung erfolgt typischerweise lokal; dokumentieren Sie Konten- und Kennwortprozesse.
  • Jump-Hosts/Bastion: Jump-Hosts sollten besonders strikt gepatcht und gehärtet sein, weil sie die „Brücke“ zu Legacy-Systemen bilden. Wo passend, prüfen Sie Funktionen wie Remote Credential Guard oder Restricted Admin, um Credential-Weitergabe zu minimieren (Kompatibilität vorher testen).
  • Admin-Zugriffe ohne Domänenvertrauen: Vermeiden Sie „Credential Delegation“-Ausweitungen als Ersatz für fehlende Vertrauensstellungen. Besser: separate lokale Admin-Konten pro Zielsystem, kontrollierte Passwortverwaltung und Zugriff nur über definierte Admin-Endpunkte.

Empfohlene Zielkonfiguration für stabile, gehärtete RDP-Umgebungen: Protokolle, Zertifikate, Richtlinien und Betriebsregeln

Eine updatefeste RDP-Zielkonfiguration minimiert Abhängigkeiten von unsicheren Fallbacks (z. B. schwache Verschlüsselung oder alte Authentifizierungswege), erzwingt eindeutige Serveridentitäten per Zertifikat, hält NLA/CredSSP konsistent durch und begrenzt den Zugriff technisch wie organisatorisch. Die folgenden Vorgaben sind als Zielbild gedacht, das in Windows-Domänen ebenso wie in isolierten Netzen reproduzierbar funktioniert und typische CredSSP-/NLA-Brüche nach Patches vermeidet.

Protokolle und Authentifizierung: NLA verpflichtend, Kerberos bevorzugt

Für stabile Authentifizierung sollte RDP grundsätzlich mit Network Level Authentication betrieben werden. NLA reduziert Angriffsfläche, weil die Anmeldung vor dem Aufbau einer vollständigen Desktop-Sitzung erfolgt. In Domänenumgebungen sollte Kerberos der Normalfall sein; NTLM bleibt als kontrollierter Fallback nur dort sinnvoll, wo Kerberos nicht möglich ist (z. B. Workgroup-Server oder gezielte Jump-Host-Szenarien). Entscheidend ist, dass alle Systeme zeitnah gepatcht werden, damit CredSSP-, TLS- und Extended-Protection-Verhalten kompatibel und sicher bleiben.

  • NLA erzwingen (Server): Aktivieren von „Nur Verbindungen von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird“; technisch entspricht dies der Kombination aus aktivem RDP und aktivem NLA (prüfbar mit Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name UserAuthentication).
  • Kerberos als Standard (Domäne): Sicherstellen, dass Clients/Server DNS korrekt nutzen, Zeit synchron ist (typisch w32tm /query /status) und SPNs für den Zielhost konsistent sind (prüfbar mit setspn -Q TERMSRV/hostname und setspn -Q TERMSRV/hostname.fqdn).
  • NTLM bewusst begrenzen: Wo NTLM unvermeidbar ist, sollte der Zugriff segmentiert und überwacht werden; für Domänen sollten restriktive Einstellungen zu NTLM in Gruppenrichtlinien nur nach Impact-Analyse erfolgen (Fehlerbilder zeigen sich sonst häufig als NLA-Abbruch oder als wiederholte Anmeldeaufforderung).
  • Kein unsicheres „RDP Security Layer“-Downgrade: Vermeiden, RDP dauerhaft auf schwächere Sicherheitslayer zu zwingen. Ziel ist TLS-geschützter Transport mit korrekter Zertifikatsprüfung statt Kompatibilitätsmodus.

TLS und Zertifikate: eindeutige Serveridentität ohne Warnungen

Eine häufige Ursache für instabile oder „plötzlich“ fehlschlagende Verbindungen sind uneinheitliche Zertifikate (z. B. Self-Signed nach Neuinstallation, Zertifikatswechsel ohne SAN, abgelaufene Ketten) oder TLS-Policy-Konflikte. Ziel ist ein serverseitiges Zertifikat aus einer vertrauenswürdigen internen PKI (oder einem etablierten öffentlichen CA-Profil, falls passend), mit korrektem Subject Alternative Name für den Namen, den Clients tatsächlich verwenden. Zusätzlich sollten TLS-Einstellungen zentral verwaltet werden, ohne veraltete Protokoll-/Cipher-Fallbacks zu reaktivieren.

Zielvorgabe Praktische Umsetzung / Prüfpunkte
Zertifikat mit passendem SAN für Hostname/FQDN Serverzertifikat enthält DNS=hostname und DNS=hostname.fqdn; Clients verbinden konsistent per FQDN, um Namensmischung zu vermeiden.
Vollständige Vertrauenskette auf dem Client Root- und ggf. Intermediate-CA in den passenden Stores; Prüfung in der RDP-Fehleranalyse oft über Zertifikatdetails und Windows-Ereignisse (z. B. Schannel-Events).
TLS-Policy zentral und konservativ Schannel-/TLS-Härtung über definierte Baselines; keine Reaktivierung unsicherer Protokolle „für RDP“, sondern Patch-/Kompatibilitätsprobleme durch Updates und korrekte Zertifikate lösen.
RDP-Listener nutzt erwartetes Zertifikat Nach Erneuerung/Wechsel sicherstellen, dass der RDP-Listener das neue Zertifikat verwendet; bei Farmen/Jump-Hosts konsistente Rollout-Prozesse (Erneuerung vor Ablauf, kontrollierte Verteilung).

Gruppenrichtlinien-Baseline: konsistente Security-Parameter statt „Notfall-Overrides“

Die stabilste Betriebsform entsteht, wenn die sicherheitsrelevanten RDP-Parameter über eine nachvollziehbare Baseline (GPO) gesteuert werden und lokale Hotfix-Anpassungen die Ausnahme bleiben. Besonders wichtig: Keine dauerhaften Workarounds, die NLA deaktivieren oder die CredSSP-Validierung absenken, nur um einen akuten Verbindungsaufbau zu erzwingen. Solche Einstellungen erzeugen genau die Update-Anfälligkeit, die später als CredSSP-/NLA-Fehler „zurückkommt“.

  • RDP-Zugriff minimal halten: Mitgliedschaften in „Remotedesktopbenutzer“ und lokalen Administratoren gruppenbasiert, rezertifiziert und ohne Wildwuchs; bei Bedarf Just-in-Time/JEA-Konzepte ergänzen, statt dauerhafte Berechtigungen zu vergeben.
  • RDP nur über definierte Managementpfade: Firewalls restriktiv, Zugriff bevorzugt über Jump-Hosts/Bastions; technische Durchsetzung über Windows-Firewall-Regeln und Netzwerksegmentierung (RDP nicht „flach“ ins Servernetz exponieren).
  • CredSSP-Workarounds vermeiden: Keine dauerhafte Absenkung der CredSSP-Verschärfung per Policy (z. B. „Encryption Oracle Remediation“). Wenn temporär unvermeidbar, dann mit festem Ablaufdatum und Change-Dokumentation; Ziel ist Patch-Angleichung von Client und Server.
  • RD-Gateway gezielt einsetzen: Für externe oder standortübergreifende Administration RD Gateway mit MFA/Conditional Access (wo verfügbar) und Protokollierung bevorzugen, statt direkte 3389-Freigaben.

Betriebsregeln für Updatefestigkeit: Patch-Gleichlauf, Change-Fenster, Rollback-Strategie

CredSSP-/NLA-Störungen treten in der Praxis häufig dann auf, wenn Client- und Server-Patchstände auseinanderlaufen oder wenn Änderungen an TLS/PKI ohne abgestimmte Verteilung erfolgen. Eine stabile RDP-Landschaft braucht deshalb definierte Betriebsregeln: regelmäßiger Patch-Gleichlauf, kontrollierte Zertifikatserneuerung und verlässliche Telemetrie über Verbindungsfehler. Besonders in gemischten Umgebungen (ältere Server, Jump-Hosts, isolierte Netze) sollten Ausnahmen explizit dokumentiert und technisch eingegrenzt werden.

  • Patching als Paarung: RDP-Clients und -Server in abgestimmten Ringen aktualisieren; kritische RDP-relevante Änderungen (CredSSP/TLS/Schannel/Extended Protection) zuerst in Pilotgruppen validieren und erst dann breit ausrollen.
  • PKI-Lebenszyklus: Zertifikate frühzeitig erneuern, SAN-Standards zentral definieren, CA-Rollouts (Root/Intermediate) mit ausreichender Vorlaufzeit verteilen; technische Prüfung des Ablaufdatums in Inventarisierung integrieren.
  • Jump-Host-Regel: Administrationszugriffe aus untrusted Netzen nur über gehärtete Jump-Hosts, die selbst streng gepatcht sind; dort RDP-Client-Versionen und Sicherheitsrichtlinien besonders eng führen, um Kompatibilitätsbrüche zu vermeiden.
  • Diagnosefähigkeit sicherstellen: Ereignisprotokolle für RDP/TerminalServices und Schannel zentral einsammeln; bei wiederkehrenden NLA-/CredSSP-Fehlern den Nachweis über Events und Patchstände führen, statt Richtlinien „blind“ zu lockern.

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Es tut uns leid, dass der Beitrag für dich nicht hilfreich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?

Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden

Kostenfreie Ersteinschätzung Ihres Anliegens?

❱ Nehmen Sie gerne Kontakt auf ❰

Werbung

UGREEN USB C Ladegerät, Nexode Pro 100W GaN Charger Mini USB C Netzteil 3-Port Schnellladegerät PPS 45W kompatibel mit MacBook Pro/Air, iPad, iPhone 17, Galaxy S25 Ultra, S24, Dell XPSℹ︎
Ersparnis 39%
UVP**: € 59,99
€ 36,68
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 45,20
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
UGREEN Revodok 105 USB C Hub PD100W, 4K HDMI, 3*USB A Datenports USB C Adapter Multiportadapter kompatibel mit iPhone 17/16, Galaxy S24, Surface, MacBook Pro/Air, iPad Pro/Air, Steam Deck usw.ℹ︎
Ersparnis 29%
UVP**: € 16,99
€ 11,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Fritz!Box 6860 5G (Mobilfunk-Router mit bis zu 1.300 MBit/s in 5G/LTE, Wi-Fi 6 mit bis zu 3.000 MBit/s, Power Over Ethernet (PoE+), Staub- und spritzwassergeschütztes Gehäuse, Internationale Version)ℹ︎
€ 512,38
Nur noch 9 auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
FRITZ!Box 5690 Pro (Wi-Fi 7 Premium DSL- und Glasfaser-Router mit Triband (2,4 GHz, 5 GHz, 6 GHz) bis zu 18,5 GBit/s, für Glasfaser & DSL-Anschlüsse, WLAN Mesh, DECT-Basis, deutschsprachige Version)ℹ︎
Ersparnis 14%
UVP**: € 369,00
€ 316,90
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 319,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei Media Markt ansehenℹ︎
UGREEN Nexode USB C Ladegerät 65W GaN Netzteil mit 3X USB-C-Port Schnellladegerät Kompakt Charger kompatibel mit MacBook Pro/Air, HP Laptop, iPad, iPhone 17, Galaxy S24ℹ︎
Ersparnis 37%
UVP**: € 34,99
€ 21,97
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
HP 304 (3JB05AE) Multipack Original Druckerpatronen 1xSchwarz, 1x Farbe für HP DeskJet 26xx, 37xx, ENVY 50xxℹ︎
Ersparnis 4%
UVP**: € 32,38
€ 30,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 30,82
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
€ 31,99
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
TP-Link Deco X50-PoE (2-pack), Router, Weissℹ︎
€ 189,90
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
Ersparnis 13%
UVP**: € 229,00
€ 198,75
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
HP N9K06AE 304 Tintenpatrone Druckerpatrone, Schwarz, Standardℹ︎
€ 17,90
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 30,82
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
€ 31,99
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
TP-Link TL-WPA7817 KIT Powerline Adapter WLAN, AV1000, WiFi 6 AX1500 Dualband, Gigabit Ethernet, Plug & Play, Kompatibel mit Allen HomePlug AV/AV2 Powerline Adapternℹ︎
€ 78,43
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 80,33
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
€ 86,44
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
Lenovo IdeaPad 1 Laptop | 15.6" Full HD Display | AMD Ryzen 5 7520U | AMD Radeon Grafik | 16GB RAM | 512GB SSD | Win11 | QWERTZ | Cloud Grau | 3 Monate Premium Careℹ︎
€ 599,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 625,19
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
TP-Link TL-SG1005P 5-Port Gigabit LAN PoE Switch mit 4 PoE+ Ports (65 Watt, IEEE-802.3af/at, Plug-and-Play, Robustes Metallgehäuse)ℹ︎
Ersparnis 30%
UVP**: € 44,90
€ 31,25
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 31,27
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
€ 31,25
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
ASUS Vivobook S 15 S5507QA Laptop | Copilot+ PC | 15,6" 2,8K WQHD+ 16:9 OLED Display | Snapdragon X Elite X1E-78-100 | 16GB RAM | 1TB SSD | QC Adreno GPU | Win11 Home | QWERTZ | Cool Silverℹ︎
€ 1.199,89
Nur noch 1 auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Lenovo IdeaPad Slim 5i Laptop | 14" OLED WUXGA Display | Intel Core i7-13620H | 16GB RAM | 512GB SSD | Intel UHD Grafik | Windows 11 Home | QWERTZ | Luna Grau | 3 Monate Premium Careℹ︎
Ersparnis 18%
UVP**: € 849,00
€ 699,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 771,94
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
TP-Link RE330 WLAN Verstärker Repeater 𝐀𝐂𝟏𝟐𝟎𝟎 (867MBit/s 5GHz + 300MBit/s 2,4GHz, WLAN Verstärker, App Steuerung, Signalstärkeanzeige, kompatibel zu Allen WLAN Geräten, AP Modus)ℹ︎
Ersparnis 27%
UVP**: € 29,99
€ 21,90
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
WD_BLACK C50 1 TB Speichererweiterungskarte für Xbox, Floral Fusion (offiziell lizenziert, Quick Resume, Xbox Velocity Architecture, 1 Monat Xbox Game Pass Ultimate, 1 Monat Discord Nitro)ℹ︎
€ 145,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
TP-Link TL-SG108 8-Port Gigabit Netzwerk Switch (Plug-and-Play, 8* RJ-45 LAN Ports, Metallgehäuse, IGMP-Snooping, unmanaged, lüfterlos) blau metallicℹ︎
Ersparnis 32%
UVP**: € 29,90
€ 20,30
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 20,30
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
€ 21,39
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
ℹ︎ Werbung / Affiliate-Links: Wenn Sie auf einen dieser Links klicken und einkaufen, erhalte ich eine Provision. Für Sie verändert sich der Preis dadurch nicht. Zuletzt aktualisiert am 22. April 2026 um 16:05. Die hier gezeigten Preise können sich zwischenzeitlich auf der Seite des Verkäufers geändert haben. Alle Angaben ohne Gewähr.
(**) UVP: Unverbindliche Preisempfehlung

Preise inkl. MwSt., zzgl. Versandkosten

Auch interessant:

Nach oben scrollen