Jump to content

lokalen RDS Server mittels MFA absichern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Gemeinde,

ich habe mal eine Frage bezüglich der Azure MFA Absicherung eines lokalen RDS Servers.

 

Wir bearbeiten dieses Thema schon relativ lange und bekommen einfach keine Lösung hin. Ich hoffe ihr könnt uns hier evtl. den richtigen Tipp geben.

 

Ausgangslage:

  • lokale Domain (Level 2012R2) -> "contoso.local"
  • SAMAccountName:  "Nutzerkürzel Bsp.: abc-mmust"
  • UPN:  "Nutzerkürzel Bsp.: abc-mmust@contoso.com"
  • Mail: "max.mustermann@contos.com"
  • Azureanbindung (Azure AD Connect Server) -> Group Writeback, Passwort Replication
  • ADFS Server
  • lokalen RDS 2019 (zu Testzwecke alle Rollen auf einem Server(ausser RD Session Host)) -> Testumgebung wurde nach Anleitung von Microsoft eingerichtet(siehe Quelle)
  • RD-Umgebung
    • RDTEST10.contoso.local (Connection Broker, Gateway, Web Access)
    • RDTESTDSK01.contoso.local (Session Host)
    • RDLIC01.contoso.local (Lizenzserver)
    • DNS(Public): rdtest.contoso.com -> rdtest-contoso.msappproxy.net
    • DNS(intern): rdtest.contoso.com -> IP von rdtest10.contoso.local

 

Ziel:

  • Nutzer sollen sich an unserem RDS Server mittels MFA authentifizieren (Web)
  • starten der RDP Datei -> MFA Authentifizierung 

 

Problem:

  • Nutzeranmeldung wird scheinbar nicht bzw. falsch an den Gateway Server durchgereicht
    • Ablauf externer Aufruf:
    1. RDS Umgebung: https://rd.contoso.com/RDWeb
    2. Anmeldeseite Microsoft -> Login: max.mustermann@contoso.com
    3. Weiterleitung ADFS Server -> Loginname wird weitergereicht -> Eingabe Passwort
    4. MFA Authentifizierung -> erfolgreich
    5. Popup Basic-Authentifizierung(Melden Sie sich an um auf diese Website zuzugreifen. Autorisierung angefordert von https://rdtest.contoso.com): keine Logindaten weitergegeben
      1. Login nur möglich mit Nutzerkürzel abc-mmust@contoso.local
    6. starten der Remote-App -> Basic-Authentifizierung(Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, um eine Verbindung mit "RDTEST10.contoso.local" herzustellen.) -> RemoteApps starten nicht ("Remoteverbindung wird initiiert" -> Der Anmeldeversuch ist  fehlgeschlagen.) -> es ist egal welche Anmeldeinformation man hier eingibt 

       
    • Ablauf interner Aufruf(RD Gateway Settings: Bypass RD Gateway server for local addresses):
    1. RDS Umgebung: https://rd.contoso.com/RDWeb -> interne Auflösung direkt zum Connection Broker / Gateway Server
    2. SSO -> Weboberfläche 
    3. starten der Remote-App ohne weitere Anmeldungen 
       
    • Ablauf interner Aufruf(RD Gateway Settings deaktiviert: Bypass RD Gateway server for local addresses ):
      1. RDS Umgebung: https://rd.contoso.com/RDWeb -> interne Auflösung direkt zum Connection Broker / Gateway Server
      2. SSO -> Weboberfläche 
      3. starten der Remote-App -> Basic-Authentifizierung(Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, um eine Verbindung mit "RDTEST10.contoso.local" herzustellen.) -> "Getrennte RemoteApp Bei der Verbindung mit der Remote-Ressource ist ein Problem aufgetreten. Bitten Sie den Netzwerkadministrator um Hilfe." -> es ist egal welche Anmeldeinformation man hier eingibt 

 

RDP File:

  • redirectclipboard:i:1
    redirectprinters:i:1
    redirectcomports:i:1
    redirectsmartcards:i:1
    devicestoredirect:s:*
    drivestoredirect:s:*
    redirectdrives:i:1
    session bpp:i:32
    prompt for credentials on client:i:1
    server port:i:3389
    allow font smoothing:i:1
    promptcredentialonce:i:1
    gatewayusagemethod:i:1
    gatewayprofileusagemethod:i:1
    gatewaycredentialssource:i:0
    full address:s:RDTEST10.contoso.local
    gatewayhostname:s:rdtest.contoso.com
    pre-authentication server address:s:https://rdtest10.contoso.local require pre-authentication:i:1
    workspace id:s:RDTEST10.contoso.local
    use redirection server name:i:1
    loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.TestCollection4
    use multimon:i:1
    alternate full address:s:RDTEST10.contoso.local
    signscope:s:Full Address,Alternate Full Address,Use Redirection Server Name,Server Port,GatewayHostname,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSou
    rce,PromptCredentialOnce,Pre-authentication server address,RedirectDrives,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectClipboard,DevicesToRedirect,DrivesT
    oRedirect,LoadBalanceInfo

 

 

 

 

Quelle:

https://docs.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-remote-desktop-services

 

Bemerkung:

Wir sind schon relativ lange dabei dieses Problem zu beheben und haben auch einen externen Dienstleister hinzugezogen. Doch leider bekommen wir das nicht hin.

 

Ich hoffe ihr könnt uns hier ein paar Tipps geben damit wir das endlich gelöst bekommen. Es ist keine komplexe Umgebung und die Anforderung ist doch eigentlich nichts ungewöhnliches. Wir hängen fest :-(

Unsere Vermutung ist der Gateway Server. 

 

 

Falls ihr noch weitere Informationen braucht dann sagt Bescheid.

 

Vielen Dank.

 

Gruss Norman

   

 

 

Link zu diesem Kommentar
  • 5 Wochen später...
vor 9 Minuten schrieb Norman-79:

Genau. Das ist die Anleitung, die Du brauchst. Möchtest Du zusätzlich noch RDWeb mit MFA absichern, kannst Du die bisherige Einrichtung beibehalten, aber dann muss ein User, der den Desktop über RDWeb aufruft, zweimal MFA bestätigen.

Link zu diesem Kommentar
  • 1 Monat später...

Hallo,

so, nun sind wir soweit mit allen Test und Konfigurationsvarianten durch und scheitern leider an einem Punkt.

 

Infrastruktur:

  • RD001.contos.com (RD-WEB; RD-GW)
  • RD002.contoso.com (RD-CB)
  • RD010.contoso.com (RD-SB)

IST- Stand:

  • Anmeldung über Azure Enterprise Application inkl. MFA funktioniert
    • Login mit Mailadresse -> IWA: internal Application SPN= "HTTP/rd001.contoso.com"; Delegated Login Identity= "On-premise user principal name"  -> RD Webfrontend startet erfolgreich  
  • Starten der Remote APP
    • intern: MFA Authentifizierung -> App startet erfolgreich
    • extern: 
      • keine Login Daten im Anmeldefenster der RDP Datei -> Nutzer muss UPN Namen und Passwort eingeben
      • Versuch des Verbindungsaufbaus -> "Der Anmeldeversuch ist fehlgeschlagen." 

 

Frage:

Ist es nicht möglich die Anmeldeinformationen(Kerberos Ticket) an die Remote App zu übergeben?

 

Ziel:

Nutzer meldet sich nur einmal bei Microsoft mit seiner Mailadresse an -> MFA -> RD Webfrontend -> starten der Remote APP -> Fertig 

 

Ich hoffe ihr könnt uns auch noch über die letzte Hürde helfen.

 

Danke.

 

Gruss Norman 

  

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...