Norman-79 1 Geschrieben 20. September 2021 Melden Teilen Geschrieben 20. September 2021 Hallo liebe Gemeinde, ich habe mal eine Frage bezüglich der Azure MFA Absicherung eines lokalen RDS Servers. Wir bearbeiten dieses Thema schon relativ lange und bekommen einfach keine Lösung hin. Ich hoffe ihr könnt uns hier evtl. den richtigen Tipp geben. Ausgangslage: lokale Domain (Level 2012R2) -> "contoso.local" SAMAccountName: "Nutzerkürzel Bsp.: abc-mmust" UPN: "Nutzerkürzel Bsp.: abc-mmust@contoso.com" Mail: "max.mustermann@contos.com" Azureanbindung (Azure AD Connect Server) -> Group Writeback, Passwort Replication ADFS Server lokalen RDS 2019 (zu Testzwecke alle Rollen auf einem Server(ausser RD Session Host)) -> Testumgebung wurde nach Anleitung von Microsoft eingerichtet(siehe Quelle) RD-Umgebung RDTEST10.contoso.local (Connection Broker, Gateway, Web Access) RDTESTDSK01.contoso.local (Session Host) RDLIC01.contoso.local (Lizenzserver) DNS(Public): rdtest.contoso.com -> rdtest-contoso.msappproxy.net DNS(intern): rdtest.contoso.com -> IP von rdtest10.contoso.local Ziel: Nutzer sollen sich an unserem RDS Server mittels MFA authentifizieren (Web) starten der RDP Datei -> MFA Authentifizierung Problem: Nutzeranmeldung wird scheinbar nicht bzw. falsch an den Gateway Server durchgereicht Ablauf externer Aufruf: RDS Umgebung: https://rd.contoso.com/RDWeb Anmeldeseite Microsoft -> Login: max.mustermann@contoso.com Weiterleitung ADFS Server -> Loginname wird weitergereicht -> Eingabe Passwort MFA Authentifizierung -> erfolgreich Popup Basic-Authentifizierung(Melden Sie sich an um auf diese Website zuzugreifen. Autorisierung angefordert von https://rdtest.contoso.com): keine Logindaten weitergegeben Login nur möglich mit Nutzerkürzel abc-mmust@contoso.local starten der Remote-App -> Basic-Authentifizierung(Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, um eine Verbindung mit "RDTEST10.contoso.local" herzustellen.) -> RemoteApps starten nicht ("Remoteverbindung wird initiiert" -> Der Anmeldeversuch ist fehlgeschlagen.) -> es ist egal welche Anmeldeinformation man hier eingibt Ablauf interner Aufruf(RD Gateway Settings: Bypass RD Gateway server for local addresses): RDS Umgebung: https://rd.contoso.com/RDWeb -> interne Auflösung direkt zum Connection Broker / Gateway Server SSO -> Weboberfläche starten der Remote-App ohne weitere Anmeldungen Ablauf interner Aufruf(RD Gateway Settings deaktiviert: Bypass RD Gateway server for local addresses ): RDS Umgebung: https://rd.contoso.com/RDWeb -> interne Auflösung direkt zum Connection Broker / Gateway Server SSO -> Weboberfläche starten der Remote-App -> Basic-Authentifizierung(Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, um eine Verbindung mit "RDTEST10.contoso.local" herzustellen.) -> "Getrennte RemoteApp Bei der Verbindung mit der Remote-Ressource ist ein Problem aufgetreten. Bitten Sie den Netzwerkadministrator um Hilfe." -> es ist egal welche Anmeldeinformation man hier eingibt RDP File: redirectclipboard:i:1 redirectprinters:i:1 redirectcomports:i:1 redirectsmartcards:i:1 devicestoredirect:s:* drivestoredirect:s:* redirectdrives:i:1 session bpp:i:32 prompt for credentials on client:i:1 server port:i:3389 allow font smoothing:i:1 promptcredentialonce:i:1 gatewayusagemethod:i:1 gatewayprofileusagemethod:i:1 gatewaycredentialssource:i:0 full address:s:RDTEST10.contoso.local gatewayhostname:s:rdtest.contoso.com pre-authentication server address:s:https://rdtest10.contoso.local require pre-authentication:i:1 workspace id:s:RDTEST10.contoso.local use redirection server name:i:1 loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.TestCollection4 use multimon:i:1 alternate full address:s:RDTEST10.contoso.local signscope:s:Full Address,Alternate Full Address,Use Redirection Server Name,Server Port,GatewayHostname,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSou rce,PromptCredentialOnce,Pre-authentication server address,RedirectDrives,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectClipboard,DevicesToRedirect,DrivesT oRedirect,LoadBalanceInfo Quelle: - https://docs.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-integrate-with-remote-desktop-services Bemerkung: Wir sind schon relativ lange dabei dieses Problem zu beheben und haben auch einen externen Dienstleister hinzugezogen. Doch leider bekommen wir das nicht hin. Ich hoffe ihr könnt uns hier ein paar Tipps geben damit wir das endlich gelöst bekommen. Es ist keine komplexe Umgebung und die Anforderung ist doch eigentlich nichts ungewöhnliches. Wir hängen fest :-( Unsere Vermutung ist der Gateway Server. Falls ihr noch weitere Informationen braucht dann sagt Bescheid. Vielen Dank. Gruss Norman Zitieren Link zu diesem Kommentar
Norman-79 1 Geschrieben 19. Oktober 2021 Autor Melden Teilen Geschrieben 19. Oktober 2021 Hallo, kann keiner hierzu Input liefern? Hat keiner eine RDS Umgebung mit MFA? Gruss Norman Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 19. Oktober 2021 Melden Teilen Geschrieben 19. Oktober 2021 Moin, Dein Link passt aber nicht zu Deiner Beschreibung. Wenn Du MFA mit RDG machen willst, musst Du MFA in den dortigen NAP einbinden. Die Authentifizierung am RDWeb nützt Dir da nichts. Zitieren Link zu diesem Kommentar
Norman-79 1 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Moin, kannst du das etwas genauer erklären? Meinst du, dass der Link nur eine Anleitung ist für den WebClient und nicht für RDP? Passt diese Anleitung besser zu unserem Problem? -> https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg Danke. Gruss Norman Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 vor 9 Minuten schrieb Norman-79: Passt diese Anleitung besser zu unserem Problem? -> https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg Genau. Das ist die Anleitung, die Du brauchst. Möchtest Du zusätzlich noch RDWeb mit MFA absichern, kannst Du die bisherige Einrichtung beibehalten, aber dann muss ein User, der den Desktop über RDWeb aufruft, zweimal MFA bestätigen. Zitieren Link zu diesem Kommentar
Norman-79 1 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 OK. Danke. Ich setze mich sofort ran. Zitieren Link zu diesem Kommentar
Norman-79 1 Geschrieben 3. Dezember 2021 Autor Melden Teilen Geschrieben 3. Dezember 2021 Hallo, so, nun sind wir soweit mit allen Test und Konfigurationsvarianten durch und scheitern leider an einem Punkt. Infrastruktur: RD001.contos.com (RD-WEB; RD-GW) RD002.contoso.com (RD-CB) RD010.contoso.com (RD-SB) IST- Stand: Anmeldung über Azure Enterprise Application inkl. MFA funktioniert Login mit Mailadresse -> IWA: internal Application SPN= "HTTP/rd001.contoso.com"; Delegated Login Identity= "On-premise user principal name" -> RD Webfrontend startet erfolgreich Starten der Remote APP intern: MFA Authentifizierung -> App startet erfolgreich extern: keine Login Daten im Anmeldefenster der RDP Datei -> Nutzer muss UPN Namen und Passwort eingeben Versuch des Verbindungsaufbaus -> "Der Anmeldeversuch ist fehlgeschlagen." Frage: Ist es nicht möglich die Anmeldeinformationen(Kerberos Ticket) an die Remote App zu übergeben? Ziel: Nutzer meldet sich nur einmal bei Microsoft mit seiner Mailadresse an -> MFA -> RD Webfrontend -> starten der Remote APP -> Fertig Ich hoffe ihr könnt uns auch noch über die letzte Hürde helfen. Danke. Gruss Norman Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.