Fragen & Antworten

RSA Token:Terminalserver-Benutzerleitfaden.
FortiToken:FortiToken-Benutzerleitfaden (HTML) / (PDF).

Wenn Sie sich mit dem FortiClient einwählen, wird auf dem FortiAuthenticator Ihr Anmeldename gesucht, danach erfolgt die Abfrage gegen die TOP Domäne, ob Benutzername und Passwort passen, wenn ja wird nach einem Token gefragt.

Damit dies funktioniert müssen folgende Bedingungen erfüllt sein:

1. Richtiger Benutzername
   • Hier gilt ausschließlich die Form: TOPBENUTZERNAME@top also z.B. mustermann.m@top Wenn statt @top etwas anderes oder gar nichts angegeben wird, kann der User nicht gefunden werden und die Authentifizierung schlägt fehl.
2. Richtiges AD Kennwort
   • Wenn das Passwort nicht stimmt, wird gar nicht erst nach einem Token gefragt.
3. Richtiger Tokencode
   • Wenn ein veralteter Tokencode eingetragen wird, schlägt die Authentifizierung fehl.
   • Ist die Zeit zwischen Abfrage Token und Eingabe Token zu lang, schlägt die Authentifizierung ebenfalls fehl.

Bitte wenden Sie sich an die Hotline der TELCAT (Tel. 05341/21-4444) und lassen Sie unter Angabe Ihres Benutzernamens prüfen, ob Ihr User sich in der entsprechenden Berechtigungsgruppe befindet. 

Bitte wenden Sie sich an die Hotline der TELCAT (Tel. 05341/21-4444) und benennen Sie die Software, die Sie auf dem Terminalserver noch benötigen. Die Installation wird dann zeitnah durch den zuständigen Administrator durchgeführt. Für die Zwischenzeit liegt eine Desktopverknüpfung zum alten Terminalserver auf dem Desktop bereit. 

Dateien, die in der alten Terminalserver-Umgebung (vor dem 16.02.2015) auf dem Desktop abgelegt wurden, werden nicht automatisch auf das neue Benutzerprofil übertragen. Bitte melden Sie sich über die Desktopverknüpfung auf dem alten Server an und legen Sie die Daten auf Ihrem Home-Laufwerk oder Ablage-Server ab, oder senden Sie per E-Mail an sich selbst. Netzlaufwerke müssen einmalig neu verbunden werden. Nach der Abmeldung werden sie im Profil gespeichert und sind bei der nächsten Anmeldung automatisch wieder verfügbar. 

Sie müssen auf Ihrem Endgerät weiterhin über eine aktive Internetverbindung verfügen. Diese Verbindung kann z.B. über WLAN, Ethernet, DSL, UMTS oder Tethering realisiert werden. In manchen Hotels kann es notwendig sein, dass zuerst an der Rezeption ein Voucher für die WLAN-Nutzung erworben werden muss.

Befindet sich das Endgerät hinter einer Firewall (Softwarefirewall auf dem Client oder Hardwarefirewall, z.B. Router), so muss in dieser der TCP-Port 3389 geöffnet sein.

Wenn Sie mit einem kommerziell betriebenen Router verbunden sind (z.B. einem Hotel-Internetzugang) und keine Verbindung zum Terminalserver möglich ist, so nehmen Sie bitte mit dem Betreiber dieses Routers/Hot-Spots zur Klärung des vorstehend geschilderten Sachverhalts Kontakt auf. 

Der Zugang über WLAN, Ethernet, DSL und ISDN funktioniert in der Regel problemlos.

Beim Zugang über GPRS/EDGE/UMTS kann es im Zusammenhang mit privat genutzten Mobilfunknetzen unter Umständen zu Problemen kommen: Hier kann es durch die vom Provider standardmäßig vergebenen "privaten IP" zu Timeouts kommen, welche nach der Firewallauthentifizierung keine Verbindung am Terminalserver mehr zulassen.

Als Telekom-Kunde kann man dies ohne weitere Kosten umgehen, indem man den APN (Access Point Name/Zugangspunkt) des Endgerätes insofern ändert, dass das Endgerät zwingend eine sogenannte "öffentliche IP" zugewiesen bekommt:

Alter APN: internet.t-mobile

Neuer APN: internet.t-d1.de

Nicht-Telekom-Kunden können sich bei Ihrem Provider informieren, ob solch eine "öffentliche IP" in Ihrem Tarif enthalten und welcher APN dafür zu nutzen ist. In der Regel ist dieser Service gegen eine monatliche Gebühr zubuchbar (z.B. "IpSec Enabler" für 2 EUR/Monat bei Eplus/Base). 

Sobald sich ein GPRS/EDGE/UMTS-Endgerät in das Mobilfunktnetz einwählt, bekommt es vom Provider in der Regel eine dynamische IP-Adresse zugewiesen. Dies sind häufig providerinterne (sogenannte "private") IP-Adressen, die im Internet nicht geroutet und daher nur im privaten (lokalen) Netz des jeweiligen Providers verwendet werden können. Erst beim Übergang ins Internet wird diese Adresse vom Anbieter mittels NAT (Network Address Translation) in eine (für den Provider deutlich teurere) öffentliche Adresse überführt. Da der öffentliche IP-Adressraum fallweise von vielen tausend Kunden genutzt wird, ist eine genauere Zuordnung nach dem Schema "IP-Adresse -> Kunde" nicht möglich.

Dies führt dazu, dass das Endgerät zwar eine Verbindung zur Konzern-Firewall aufbauen kann, später aber nicht die vom Terminalserver verarbeiteten Informationen zurückgeliefert bekommt, weil die entsprechenden Datenpakete zwar den Router des Providers erreichen, dieser aber nicht weiß, welchem Teilnehmer er diese zuordnen soll. Als Folge dessen werden die Pakete einfach verworfen und es kommt zu einem Timeout auf Seiten des Endgerätes.

Umgehen lässt sich dieses Verhalten, indem man sicherstellt, dass dem Endgerät eine öffentliche, im Internet routbare IP-Adresse zugewiesen wird. Das lassen sich die Provider in der Regel extra bezahlen. 

Bitte nehmen Sie in diesem Fall mit der Hotline +49 (5341) 21-4444 Kontakt auf und nennen Sie nach den Stichworten "Problem bei der Terminalserver Einwahl über die SZDS-Webseite" noch folgende Informationen:

• Ihren Tokencard-Benutzernamen
• Den Typ ihres Firmenrechners (z.B. Windows-PC, Windows Notebook)
• Verwendetes Betriebssystem, verwendeter Browser (z.B. Windows 7 mit Internet Explorer 8)
• Ort der Einwahl (z.B. Heimnetz, Hotel, Internetcafé)
• Art des Internetzugangs (z.B. WLAN, Ethernet, VDSL, DSL, UMTS, ISDN)
• Zeitpunkt des Fehlers (Datum, Uhrzeit)
• Art des Fehlers (ggf. Fehlermeldung)

Für die FortiToken-Einwahl wird zwingend HTML5 vorausgesetzt, welches vom Internet Explorer nicht unterstützt wird. Microsoft bietet die HTML5-Kompatibilität mit seinem Edge-Browser, alternativ können andere moderne Browser wie z.B. Chrome, Firefox oder Opera eingesetzt werden.