Hoe los je niet-werkende aanmeldingsgegevens voor Extern bureaublad op

avatar mei 27, 2026
How to Fix Remote Desktop Credentials Not Working

De fout Uw aanmeldingsgegevens werkten niet in Extern bureaublad betekent niet dat uw wachtwoord onjuist is. In veel gevallen stuurt de computer die verbinding maakt verouderde, in de cache opgeslagen aanmeldingsgegevens die een wachtwoordwijziging hebben overleefd. In sommige configuraties bevindt de doelcomputer zich in een aanmeldingsstatus op basis van een Windows Hello-pincode, die RDP-aanmelding met een Microsoft-account kan blokkeren. Dat zijn de meest voorkomende triggers, maar aanmeldingsfouten hebben op beide computers meer dan een dozijn verschillende onderliggende oorzaken.

Deze gids behandelt de meest betrouwbare oplossingen die zijn gemeld in Microsoft-documentatie en Q&A, evenals in herhaaldelijke communitythreads over probleemoplossing.

Inhoudsopgave

12 manieren om niet-werkende Extern bureaublad-inloggegevens op te lossen

Zoek in de onderstaande tabel de meest waarschijnlijke oorzaak en ga rechtstreeks naar die oplossing in plaats van elke afzonderlijke optie te testen.

Oorzaak Zijde Oplossingssectie
In cache opgeslagen of verouderde aanmeldingsgegevens Client Oplossing 1
Aanmeldingsprobleem met Microsoft-account door Windows Hello-pincode Doelcomputer Oplossing 2
Onjuist formaat van de gebruikersnaam Client Oplossing 3
Gebruiker niet in de groep Gebruikers van Extern bureaublad Doelcomputer Oplossing 4
Delegatie van aanmeldingsgegevens geblokkeerd door GPO Client Oplossing 5
RDP-beveiligingslaag komt niet overeen Doelcomputer Oplossing 6
Always prompt for password is ingeschakeld Doelcomputer Oplossing 7
Netwerkprofiel ingesteld op Public Doelcomputer Oplossing 8
LAN Manager-verificatieniveau komt niet overeen Doelcomputer Oplossing 9
fDenyTSConnections ingesteld op 1 Doelcomputer Oplossing 10
Beperking voor lege wachtwoorden Doelcomputer Oplossing 11
RDP-listener niet actief Doelcomputer Oplossing 12
Verlopen RDP-certificaat Doelcomputer Randgevallen
Niet-standaard RDP-poort Doelcomputer Randgevallen

Oplossing 1: Log één keer in met uw wachtwoord op de doelcomputer (probleem met Windows Hello-pincode)

Dit is de meest bevestigde oplossing wanneer de aanmeldingsgegevens voor Extern bureaublad niet werkten op computers die Microsoft-accounts gebruiken met Windows Hello-pincode ingeschakeld. In gebruikersrapporten heeft lokaal aanmelden met het accountwachtwoord de RDP-toegang hersteld na uitsluitend gebruik van een pincode op het doelapparaat.

OPMERKING: Windows Hello for Business is een aparte enterprise-functie die RDP-aanmelding ondersteunt via certificaatgebaseerde implementatie met Microsoft Intune of Active Directory Certificate Services. Dat vereist een PKI-infrastructuur, implementatie van certificaten en domeincontrollercertificaten. Het is niet beschikbaar in standaard consumenten- of MKB-omgevingen en staat los van het hier beschreven consumenten-PIN-scenario.

Methode A: Log uit en log opnieuw in met een wachtwoord

  1. Meld u op de doelmachine af van de huidige sessie.

  2. Klik op het aanmeldingsscherm op Aanmeldingsopties.

  3. Selecteer de wachtwoordoptie (het sleutelicoon).

  4. Meld u aan met uw volledige Microsoft-accountwachtwoord.

  5. Probeer de RDP-verbinding opnieuw vanaf de computer die verbinding maakt.

Methode B: Als de optie voor het wachtwoord ontbreekt of grijs is

  1. Op het aanmeldscherm klikt u op Aanmeldingsopties en klikt u vervolgens op Ik ben mijn pincode vergeten.

  2. Meld u aan met uw Microsoft-account-inloggegevens, inclusief eventuele twee-factorverificatie.

  3. Wanneer u wordt gevraagd uw PIN opnieuw in te stellen, bevestig het opnieuw instellen. U kunt dezelfde PIN opnieuw invoeren.

  4. Probeer de RDP-verbinding opnieuw nadat het aanmeldingsproces op basis van een wachtwoord is voltooid.

Methode C: Schakel de schakelaar Alleen aanmelden met Windows Hello uit (op zichzelf staande oplossing)

Meerdere gebruikers bevestigden dat het uitschakelen van deze ene schakelaar het probleem oploste zonder dat ze hoefden uit- en weer in te loggen.

  1. Ga op de doelcomputer naar Instellingen > Accounts > Aanmeldingsopties.

  2. Zoek Voor betere beveiliging, alleen Windows Hello-aanmelding voor Microsoft-accounts op dit apparaat toestaan.

  3. Schakel het uit.

  4. Meld u af en meld u opnieuw aan met het wachtwoord van uw Microsoft-account.

Oplossing 2: Verouderde referenties wissen uit het Referentiebeheer op de computer die verbinding maakt

Windows Referentiebeheer op de machine die de verbinding maakt slaat TERMSRV/-items in de cache op. Na een wachtwoordwijziging stuurt het bij elke verbindingspoging stilzwijgend het oude wachtwoord, zonder om invoer te vragen.

Methode A: Verwijder vermeldingen via Referentiebeheer

  1. Op de computer die verbinding maakt opent u Referentiebeheer. Zoek ernaar in Start, of voer control /name Microsoft.CredentialManager uit.

  2. Klik op Windows-referenties.

    Navigeren naar Windows-referenties in Referentiebeheer

  3. Zoek alle vermeldingen die beginnen met TERMSRV/ gevolgd door de naam of het IP-adres van de externe computer.

  4. Klik op elke vermelding en klik vervolgens op Verwijderen.

  5. Maak opnieuw verbinding. Windows zal om nieuwe aanmeldingsgegevens vragen.

Methode B: Werk het wachtwoord rechtstreeks bij in de RDP-client

  1. Open Verbinding met extern bureaublad (mstsc.exe).

  2. Voer de naam van de externe computer of het IP-adres in.

  3. Klik op Opties weergeven.

  4. In Aanmeldingsinstellingen, klik op de link edit naast de opgeslagen gebruikersnaam.

  5. Voer het huidige wachtwoord in en sla op.

Methode C: Voeg handmatig een algemene referentie toe wanneer opgeslagen referenties niet behouden blijven

Sommige configuraties bewaren RDP-aanmeldingsgegevens niet tussen sessies. Door rechtstreeks in Referentiebeheer een algemene referentie toe te voegen, wordt Windows gedwongen deze te gebruiken.

  1. Open Referentiebeheer > Windows-referenties.

  2. Klik op Een algemene referentie toevoegen.

    Een algemene referentie toevoegen in Referentiebeheer

  3. In het Internet- of netwerkadres voert u TERMSRV/ in, gevolgd door de hostnaam of het IP-adres van de externe computer. Bijvoorbeeld: TERMSRV/103.27.76.117 of TERMSRV/COMPUTERNAME.

  4. Voer de gebruikersnaam en het wachtwoord in.

  5. Klik op OK, sluit Referentiebeheer en maak opnieuw verbinding.

Oplossing 3: Gebruik het juiste formaat voor de gebruikersnaam

De indeling van de gebruikersnaam die u typt, bepaalt welke authenticatieprovider Windows aanspreekt. Het gebruik van de verkeerde indeling leidt het verzoek naar de verkeerde identiteitsbron en mislukt zelfs met een correct wachtwoord.

Volgens Microsoft kunt u zich op een extern Microsoft Entra-joined apparaat aanmelden met user@domain.com of AzureAD\user@domain.com, afhankelijk van het gebruikte aanmeldingspad. Als één indeling niet werkt, probeer dan de andere.

Accounttype Juiste indeling Opmerkingen
Lokaal account COMPUTERNAME\username</code Voorbeeld: DESKTOP-AB12\john
Domeinaccount (NetBIOS) DOMAIN\username Voorbeeld: CORP\johndoe
Domeinaccount (UPN) username@domain.com Voorbeeld: johndoe@corp.local
Microsoft-account Volledig e-mailadres Voorbeeld: john@outlook.com
Microsoft Entra-gekoppeld AzureAD\user@domain.com of user@domain.com Microsoft documenteert beide indelingen voor verschillende aanmeldpaden. Probeer het alternatief als de eerste mislukt.

Oplossing 4: Voeg de gebruiker toe aan de groep Gebruikers van Extern bureaublad en controleer de aanmeldingsrechten

Een account moet op de doelcomputer behoren tot de groep Extern-bureaubladgebruikers of de groep Beheerders. Event ID 4625 met substatus 0xC000015B bevestigt dat aan de gebruiker het vereiste aanmeldingstype niet is toegekend. Alleen groepslidmaatschap kan nog steeds worden geblokkeerd door een expliciete Weigeren in Toewijzing van gebruikersrechten.

  1. Op de doelmachine voert u dit commando uit als Administrator:
    net localgroup "Remote Desktop Users" /add "DOMAIN\username" of in PowerShell:
    Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAIN\username"

  2. Open Uitvoeren en typ secpol.msc.

  3. Navigeer naar Lokale beleidsregels > Toewijzing van gebruikersrechten.

  4. Dubbelklik op Aanmelden via Services voor extern bureaublad toestaan.

    Aanmelden via Extern-bureaubladservices toestaan in Lokaal beveiligingsbeleid

  5. Klik op Gebruiker of groep toevoegen.

    Gebruiker of groep toevoegen aan de lokale beveiligingsinstelling

  6. Typ de accountnaam en klik op OK.

  7. Controleer dezelfde lijst op een Aanmelden via Extern bureaublad-services weigeren-vermelding die de gebruiker of diens groep bevat. Verwijder alle expliciete weigeringsvermeldingen.

    Zoeken naar vermeldingen van Aanmelden via Extern-bureaubladservices weigeren in Lokaal beveiligingsbeleid

Oplossing 5: Herstel het groepsbeleid voor delegatie van inloggegevens op de verbindende computer

Wanneer beleidsregels voor referentiedelegatie op de computer die verbinding maakt de manier beperken waarop referenties worden doorgestuurd, kan de RDP-client de authenticatie niet doorstaan, zelfs niet met een correct wachtwoord. Dit geldt voor alle accounttypen en is een van de meest over het hoofd geziene oorzaken waardoor referenties niet werken bij Remote Desktop. De oplossing draait op de clientmachine, niet op de externe machine.

  1. Op de computer die verbinding maakt, open Uitvoeren en typ gpedit.msc.

  2. Navigeer naar Computerconfiguratie > Beheerssjablonen > Systeem > Delegatie van referenties.

    Navigeren naar Delegatie van referenties in de Editor voor lokaal groepsbeleid

  3. Stel Het delegeren van opgeslagen referenties weigeren in op Not Configured.

  4. Stel Delegatie van nieuwe referenties weigeren in op Niet geconfigureerd.

    De instellingen Delegatie van opgeslagen referenties weigeren en Delegatie van nieuwe referenties weigeren instellen op Niet geconfigureerd

  5. Open Toestaan dat opgeslagen referenties worden gedelegeerd met alleen NTLM-serververificatie. Stel deze in op Ingeschakeld.

    Instellen van Toestaan dat opgeslagen referenties met alleen NTLM-serververificatie worden gedelegeerd op Ingeschakeld

  6. Klik op Weergeven naast Servers aan de lijst toevoegen en voer TERMSRV/* in. Klik op OK.

    Servers toevoegen aan de lijst in de Editor voor lokaal groepsbeleid

  7. Herhaal stap 5 voor: Toestaan dat opgeslagen referenties worden gedelegeerd, Toestaan dat nieuwe referenties worden gedelegeerd met uitsluitend NTLM-serververificatie en Toestaan dat nieuwe referenties worden gedelegeerd.

  8. Navigeer naar Computerconfiguratie > Administratieve sjablonen > Windows-onderdelen > Services voor extern bureaublad > Extern-bureaubladverbinding-client.

    Navigeren naar de Verbindingsclient voor Extern bureaublad in de Editor voor lokaal groepsbeleid

  9. Stel Niet toestaan dat wachtwoorden worden opgeslagen in op Niet geconfigureerd.

  10. Stel Vragen om aanmeldingsgegevens op de clientcomputer in op Niet geconfigureerd.

    Instelling Niet toestaan dat wachtwoorden worden opgeslagen en Aanmeldingsgegevens op de clientcomputer vragen op Niet geconfigureerd

  11. Sluit de Groepsbeleid-editor en voer gpupdate /force uit in een opdrachtprompt met beheerdersrechten.

    Lokaal groepsbeleid bijwerken in de Opdrachtprompt

Oplossing 6: Wijzig de RDP-beveiligingslaag via het Groepsbeleid op de doelcomputer

Meerdere gebruikers bevestigden deze oplossing nadat alle andere oplossingen mislukten. Wanneer de onderhandelde beveiligingslaag tussen cliënt en doel geen overeenstemming bereikt, wordt de authenticatie geweigerd voordat de inloggegevens volledig zijn beoordeeld.

  1. Open op de doelcomputer Uitvoeren en typ gpedit.msc.

  2. Ga naar Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Services voor extern bureaublad > Sessiehost voor extern bureaublad > Beveiliging.

    Navigeren naar de beveiliging van Remote Desktop Session Host in de Editor voor lokaal groepsbeleid

  3. Open Gebruik van een specifieke beveiligingslaag voor externe (RDP) verbindingen vereisen.

    Het openen van de instelling Gebruik van een specifieke beveiligingslaag voor externe (RDP)-verbindingen vereisen in de Editor voor lokaal groepsbeleid

  4. Stel dit in op Enabled. Selecteer in de vervolgkeuzelijst RDP als de Beveiligingslaag.

    De instelling Vereisen dat een specifieke beveiligingslaag wordt gebruikt voor externe (RDP) verbindingen op Ingeschakeld zetten en de Beveiligingslaag op RDP instellen

  5. Klik op OK en voer vervolgens gpupdate /force uit in een opdrachtprompt met verhoogde bevoegdheden.

Oplossing 7: Schakel “Altijd om een wachtwoord vragen” uit op de doelcomputer

Wanneer dit beleid is ingeschakeld op de externe machine, overschrijft het de opgeslagen aanmeldingsgegevens op de client en dwingt het een nieuwe aanmeldingsprompt af. Die prompt mislukt stilzwijgend, waardoor de fout met de aanmeldingsgegevens ontstaat in plaats van een zichtbaar wachtwoorddialoogvenster.

  1. Open op de doelcomputer Uitvoeren en typ gpedit.msc.

  2. Ga naar Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Services voor extern bureaublad > Sessiehost voor extern bureaublad > Beveiliging.

  3. Open Altijd om een wachtwoord vragen bij het verbinden.

    Navigeren naar Altijd om een wachtwoord vragen bij verbinding in Editor voor lokaal groepsbeleid

  4. Stel dit in op Uitgeschakeld of Niet geconfigureerd.

    Instelling Altijd om wachtwoord vragen bij verbinding op Niet geconfigureerd

  5. Meld u af en log weer in, of voer gpupdate /force uit.

Fix 8: Wijzig het netwerkprofiel van Openbaar naar Privé op de doelmachine

Wanneer het netwerkprofiel van de doelcomputer is ingesteld op Public, blokkeert Windows binnenkomende RDP-verbindingen. Microsofts richtlijnen voor het oplossen van RDP-problemen beschouwen netwerkprofiel en firewallconfiguratie als geldige oorzaken van verbindingsfouten. Dit is een veelvoorkomende bevinding wanneer de rest van de configuratie correct lijkt.

  1. Open op de doelmachine Instellingen > Netwerk en internet > Status.

  2. Klik op Verbindingseigenschappen wijzigen.

  3. Stel het Netwerkprofiel in op Privé.

Oplossing 9: Stel het LAN Manager-verificatieniveau in op de doelcomputer

Een verschil in authenticatieniveau tussen de verbindende machine en de externe machine leidt tot afwijzing van de inloggegevens op de NTLM-onderhandelingslaag, ongeacht of het wachtwoord correct is of niet.

  1. Open op de doelcomputer Uitvoeren en typ gpedit.msc.

  2. Navigeer naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokale beleidsregels > Beveiligingsopties.

    Navigeren naar de beveiligingsopties van Lokale beleidsregels in de Editor voor lokaal groepsbeleid

  3. Open Netwerkbeveiliging: LAN Manager-verificatieniveau.

    Navigeren naar Netwerkbeveiliging LAN Manager-authenticatieniveau in de Editor voor lokaal groepsbeleid

  4. Stel het in op een van deze drie waarden waarvan is bevestigd dat ze werken: Send NTLMv2 response only, Send NTLMv2 response only. Refuse LM, of Send NTLMv2 response only. Refuse LM and NTLM. Elk van de drie verhelpt de mismatch. De meest permissieve optie om eerst te proberen is Send NTLMv2 response only.

  5. Klik op OK.

Oplossing 10: Controleer de registersleutel fDenyTSConnections en de RDP-poort

Wanneer RDP in Instellingen als ingeschakeld wordt weergegeven, maar verbindingen toch mislukken, kunnen twee registerwaarden de UI-instelling overschrijven. Microsoft beschrijft fDenyTSConnections als de instelling die bepaalt of gebruikers op afstand verbinding kunnen maken via Remote Desktop Services.

  1. Open Register-editor als beheerder (regedit.exe).

  2. Ga naar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

    Zoeken naar fDenyTSConnections in de Register-editor

  3. Bevestig dat fDenyTSConnections is ingesteld op 0.

  4. Controleer ook:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Als fDenyTSConnections hier voorkomt en is ingesteld op 1, dan dwingt een Groepsbeleid de blokkering af. Het wijzigen van de lokale waarde houdt geen stand. De GPO moet bij de bron worden aangepast.

  5. Om te controleren of de RDP-poort niet is gewijzigd ten opzichte van de standaardwaarde, navigeer naar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp

    Zoeken naar PortNumber in Register-editor

  6. Zoek naar PortNumber. Schakel de weergavebasis om naar Decimal.

    De waarde PortNumber wijzigen in de Register-editor

  7. De waarde moet 3389 zijn. Als dat niet zo is, moet uw RDP-client in plaats daarvan verbinding maken op die aangepaste poort, met het formaat hostname:PORT.

Na elke registerwijziging: start Remote Desktop Services opnieuw: open services.msc, zoek Remote Desktop Services, klik met de rechtermuisknop en selecteer Opnieuw starten.

Oplossing 11: Pak een leeg wachtwoord van het doelaccount aan

Windows blokkeert RDP standaard voor accounts waarvoor geen wachtwoord is ingesteld. Dit is een beperking van het lokale beveiligingsbeleid, geen RDP-instelling.

  1. Open Uitvoeren en typ gpedit.msc.

  2. Navigeer naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokale beleidsregels > Beveiligingsopties.

  3. Open Accounts: Gebruik van lege wachtwoorden voor lokale accounts beperken tot alleen aanmelding op de console.

    Navigeren naar Accounts Gebruik van lege wachtwoorden door lokale accounts beperken tot alleen console-aanmelding in de Editor voor lokaal groepsbeleid

  4. Stel het in op Uitgeschakeld.

    Instellen van Accounts Gebruik van lege wachtwoorden voor lokale accounts beperken tot alleen aanmelding via de console op Uitgeschakeld in de Editor voor lokaal groepsbeleid

Het instellen van een wachtwoord voor het account is de nettere oplossing. Het toestaan van RDP met een leeg wachtwoord is een beveiligingsrisico dat beter vermeden kan worden.

Oplossing 12: Controleer de status van de RDP-listener

Voordat u aanneemt dat het probleem aan referenties is gerelateerd, controleer of het RDP-protocol daadwerkelijk luistert naar verbindingen op de doelcomputer. Als de RDP-listener niet actief is, wijst de server verbindingen al op protocolniveau af voordat aanmeldingsgegevens voor Extern bureaublad worden beoordeeld. Dit levert fouten op die op verificatiefouten lijken.

Voer deze opdracht uit met beheerdersrechten op de doelcomputer, via PowerShell Remoting of fysieke consoletoegang:

qwinsta

Zoek naar een vermelding met de naam rdp-tcp met STATE ingesteld op Listen. Als dit ontbreekt of een andere status toont, heeft de RDP-service een protocolfout. Controleer de registersleutels in Fix 10 hierboven en het RDP-certificaat in de sectie met randgevallen hieronder, en start vervolgens Remote Desktop Services opnieuw.

HANDIGE TIP: Op elke machine die u op afstand beheert, houdt u één toegewijd lokaal beheerdersaccount aan dat geen aanmelding met een Microsoft-account gebruikt. Wanneer MSA-, PIN- of certificaatproblemen RDP blokkeren, omzeilt een lokaal account de MSA-referentiepijplijn volledig en biedt het u een werkbare toegang.

Voor IT-supportteams die op afstand op meerdere machines werken, is HelpWire het waard om naast RDP bij de hand te houden. Sessies starten met een link in plaats van dat de externe gebruiker systeeminstellingen hoeft aan te passen. Dit betekent dat RDP-authenticatiefouten op de externe machine niet verhinderen dat een supportsessie wordt gestart. Bewaar lokale beheerdersreferenties in een wachtwoordmanager, niet in de cache van Referentiebeheer op uw eigen machine.

Oplossingen voor randgevallen bij inloggegevens die niet werken voor Extern bureaublad

Fout met RDP-zelfondertekend certificaat (Gebeurtenis-ID 1057 of 1058)

Open Logboeken op de doelcomputer en controleer Windows-logboeken > Systeem op Gebeurtenis-ID 1057 of 1058 van Microsoft-Windows-TerminalServices-RemoteConnectionManager. Die gebeurtenissen geven aan dat het zelfondertekende certificaat niet kon worden vernieuwd.

  1. Open mmc.exe > Bestand > Invoegtoepassing toevoegen/verwijderen > Certificaten > Computeraccount.

  2. Navigeer naar Certificaten > Extern bureaublad.

  3. Verwijder het verlopen zelfondertekende certificaat.

  4. Herstart Remote Desktop Services in services.msc. Windows maakt het certificaat automatisch opnieuw aan.

Als er geen nieuw certificaat verschijnt, zijn de machtigingen op de map MachineKeys onjuist ingesteld:

  1. Navigeer naar C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys.

  2. Neem het eigendom van het RDP-gerelateerde sleutelbestand over.

  3. Verwijder het bestand.

  4. Herstart Services voor extern bureaublad.

Controleer DNS en machinetargeting

Wanneer u via de hostnaam verbinding maakt, controleer of DNS naar de juiste machine resolveert, met name na een herinstallatie van de machine of een IP-wijziging.

  1. Voer op de doelcomputer IPCONFIG /All uit in een opdrachtprompt met verhoogde rechten en noteer het daadwerkelijke IP-adres.

  2. Op de machine die verbinding maakt, voer nslookup MACHINENAME uit en controleer of het geretourneerde IP-adres overeenkomt.

  3. Voer ook Test-NetConnection -ComputerName SERVER-IP -Port 3389 uit in PowerShell. Als TcpTestSucceeded False retourneert, ligt het probleem bij het netwerk of de firewall, niet bij de inloggegevens.

  4. Als de DNS verouderd is, maak dan rechtstreeks verbinding via het IP-adres of werk het DNS-record bij.

Accountvergrendeling

Herhaalde mislukte RDP-pogingen activeren het accountvergrendelingsbeleid op aan een domein gekoppelde machines. Controleer Logboeken op de domeincontroller op Gebeurtenis-ID 4625 met Substatus 0xC0000234. Voor een lokaal account op de doelmachine, voer het volgende uit:

net user USERNAME

Zoek in de uitvoer naar Account actief: Nee. Om opnieuw in te schakelen:

net user USERNAME /active:yes

Aan Azure AD / Entra ID gekoppelde computers

Volgens Microsoft kunt u zich bij een extern Microsoft Entra-gekoppeld apparaat aanmelden met user@domain.com of AzureAD\user@domain.com, afhankelijk van het aanmeldpad. Als één indeling niet werkt, probeer dan de andere. Bevestig in beide gevallen dat de gebruiker is toegevoegd aan de groep Remote Desktop Users op de doelcomputer. Controleer daarnaast het apparaat in het Entra-beheercentrum onder Apparaten > het specifieke apparaat > Lokale beheerders.

Hoe u Logboeken leest voor mislukte RDP-aanmeldingen

Gebeurtenis-ID 4625 in Windows-beveiligingslogboeken registreert elke mislukte aanmelding. Het veld Substatus identificeert de exacte reden van de verificatiefout, waardoor elk giswerk bij de diagnose volledig wordt weggenomen.

Substatuscode Foutoorzaak Toe te passen oplossing
0xC000006A Juiste gebruikersnaam, verkeerd wachtwoord Wis Referentiebeheer, controleer het huidige wachtwoord
0xC0000234 Account vergrendeld Ontgrendel via een beheerdersaccount of wacht tot de vergrendeling volgens het beleid verloopt
0xC0000072 Account uitgeschakeld Schakel het account in via Computerbeheer
0xC0000071 Wachtwoord verlopen Wijzig het wachtwoord van het doelaccount
0xC000015B Gebruiker heeft geen RDP-aanmeldingsrecht Voeg toe aan de groep Gebruikers van extern bureaublad en controleer de Toewijzing van gebruikersrechten

Om deze logboeken te bekijken: open Logboeken > Windows-logboeken > Beveiliging > filter op Gebeurtenis-id 4625. Vouw in de gebeurtenisdetails Informatie over mislukking uit en lees de hexwaarde van Substatus.

Veelgemaakte fouten wanneer de aanmeldingsgegevens voor Windows Extern bureaublad niet werkten

Het eerste wat de meeste mensen doen wanneer de aanmeldingsgegevens voor Windows Remote Desktop niet werken, is het wachtwoord van hun Microsoft-account opnieuw instellen. Dat helpt niet voor de hierboven beschreven scenario’s met PIN en in de cache opgeslagen aanmeldingsgegevens. Het probleem is vaak niet het accountwachtwoord zelf, maar in de cache opgeslagen aanmeldingsgegevens of een niet-overeenkomende authenticatiestatus tussen apparaten. Het opnieuw instellen van het wachtwoord lost het probleem niet op, omdat de client de oudere, in de cache opgeslagen aanmeldingsgegevens blijft verzenden totdat de opgeslagen TERMSRV/-vermelding is gewist of vervangen.

De tweede veelvoorkomende poging is NLA aan- en uitzetten. Voor het Windows Hello-PIN-probleem en verouderde, in de cache opgeslagen aanmeldingsgegevens is de NLA-status niet de variabele. Het PIN-probleem ontstaat omdat standaard Windows Hello-PIN-authenticatie apparaatgebonden is en niet wordt doorgestuurd via de standaard RDP-authenticatiestromen. Het uitschakelen van NLA verzwakt bovendien de verbindingsbeveiliging zonder de onderliggende oorzaak aan te pakken.

Een derde aanpak die in sommige forumberichten rondgaat, houdt in dat de registersleutel WinStations wordt verwijderd. Dit kan de machine echter onbruikbaar maken en een volledige herinstallatie van het besturingssysteem vereisen.

Wanneer de RDP-configuratie zelf het probleem is, in plaats van een probleem met de opmaak van aanmeldingsgegevens, is het de moeite waard een tool die voor supportwerk is gebouwd in de gereedschapskist te houden. Zo start HelpWire sessies door een link naar de externe gebruiker te sturen, die een lichtgewicht client uitvoert. U maakt vervolgens verbinding zonder dat u zich hoeft te authenticeren bij de lokale accounts van de externe machine. Wanneer u toegang moet krijgen tot een machine waarvan de RDP-stapel met aanmeldingsgegevens is beschadigd, vervalt daarmee de afhankelijkheid dat RDP correct is geconfigureerd.

Veelgestelde vragen

Wanneer u merkt dat de inloggegevens voor Extern bureaublad niet werken, is de meest voorkomende reden een verouderd wachtwoord dat in de Windows Credential Manager op de computer die de verbinding maakt in de cache is opgeslagen en dat na een wachtwoordwijziging automatisch wordt meegestuurd zonder dat hierom wordt gevraagd. Een andere veelvoorkomende oorzaak is dat de doelcomputer zich voor het laatst lokaal heeft aangemeld met een Windows Hello-PIN, wat in sommige configuraties de RDP-aanmelding met een Microsoft-account kan blokkeren.

Een standaard Windows Hello-pincode is apparaatgebonden en wordt niet doorgegeven via de standaard RDP-verificatiestromen. RDP vereist een wachtwoordgebaseerde referentie in standaard consumenten- en SMB-configuraties.


Windows Hello voor Bedrijven is een afzonderlijke zakelijke functie die RDP wel ondersteunt via certificaatgebaseerde verificatie, maar daarvoor is een PKI-infrastructuur nodig, implementatie van certificaten via Intune of AD CS en domeincontrollercertificaten. Het is niet beschikbaar in standaard consumenten- of SMB-configuraties.

Open Referentiebeheer via het menu Start, klik op Windows-referenties, en verwijder elke vermelding die begint met TERMSRV/ en overeenkomt met de externe computer. Als de referenties niet tussen sessies behouden blijven, gebruik in Referentiebeheer de optie Een algemene referentie toevoegen en voer handmatig het TERMSRV/[hostname] address in, samen met de gebruikersnaam en het wachtwoord.

Ja. Inloggegevensdelegering-instellingen onder Computerconfiguratie > Beheersjablonen > Systeem in Groepsbeleid op de computer die verbinding maakt bepalen of inloggegevens überhaupt worden doorgestuurd. Delegeren van opgeslagen inloggegevens weigeren of Delegeren van nieuwe inloggegevens weigeren ingesteld op Ingeschakeld blokkeert de verificatie stilzwijgend. Door beide op Niet geconfigureerd in te stellen en TERMSRV/* in te schakelen onder Toestaan dat opgeslagen inloggegevens worden gedelegeerd met alleen NTLM-serververificatie wordt dit opgelost.

Wis de vermeldingen van Referentiebeheer op de machine waarmee de verbinding wordt gemaakt en probeer het opnieuw. Als de verbinding nog steeds mislukt, voer Test-NetConnection -ComputerName SERVER-IP -Port 3389 uit in PowerShell. Als TcpTestSucceeded True retourneert maar de aanmeldingsgegevens nog steeds worden geweigerd, ligt het probleem op de doelmachine. Als TcpTestSucceeded False retourneert, ligt het probleem aan het netwerk of de firewall. Zodra u op de doelmachine bent, lees Event ID 4625 in het Beveiligingslogboek om de exacte foutoorzaak te achterhalen.

HelpWire
4.6

Verbeter externe ondersteuning met gratis eenvoudige remote desktopsoftware.

Site bezoeken
Prijs: Gratis
Ondersteunde systemen: Windows, macOS, Linux
HelpWire