Puncte:1

Apache Guacamole Autentificare cu utilizator din DomeniulA, rdp la Server de la DomeniulB

drapel us

Prezentare generală

Ne autentificăm în Gucamole cu un utilizator din domeniul A unde selectăm o conexiune rdp la un server din domeniul B.

Trusturi

De la Domeniul A la Domeniul B și invers:

  • Tip: Extern
  • Suport pentru criptare Kerberos AES: nu
  • Direcție: bidirecțională
  • Tranzitivitate: nu
  • Autentificare: la nivel de domeniu

Permisiuni

Utilizatorul de la DomainA a fost alăturat grupului local de utilizatori Remote Desktop de pe serverul de la DomainB. Am încercat temporar și cu grupul local Administratori.

Guacamole

Întreaga configurație nu a fost făcută de mine și nu am prea multe informații, deoarece este gestionată de o altă echipă. Ce știu este că funcționează bine cu un Utilizator de la DomeniulA la un Server de la DomeniulA. Utilizatorii se conectează cu upn și folosesc 2FA de OpenOTP. Dacă credeți că ar fi de ajutor să împărtășiți câteva configurații de Guacamole, spuneți-mi ce doriți să vedeți și verific cu echipa.

Conexiuni pe Guacamole

  • protocol: rdp
  • hostname: ip server de la Domeniul B
  • portul: 3389
  • nume de utilizator: ${GUAC_USERNAME}
  • parola: ${GUAC_PASSWORD}
  • domeniu: gol
  • Mod de securitate: NLA
  • dezactivați autentificarea: nu
  • ignora certificatul serverului: da
  • totul este setat implicit / nu este configurat

Desigur, am încercat mai multe setări diferite.

Simptome

Acum iată ce se întâmplă.

  • Mă conectez la Guacamole cu Utilizatorul de la DomainA
  • primiți OpenOTP push și confirmați
  • Sunt conectat la Guacamole și selectez conexiunea la serverul DomainB
  • primiți mesaj de eroare:

Serverul desktop la distanță este momentan inaccesibil. Dacă problema persistă, vă rugăm să vă informați administratorul de sistem sau să verificați jurnalele de sistem.

  • după câteva reîncercări, uneori primesc acest mesaj:

Această conexiune a fost închisă deoarece serverul durează prea mult să răspundă. De obicei, acest lucru este cauzat de probleme de rețea, cum ar fi un semnal wireless neregulat sau viteze reduse ale rețelei. Verificați conexiunea la rețea și încercați din nou sau contactați administratorul de sistem.

  • iar acum vine partea amuzantă care mă înnebunește: pot să mă conectez la serverul DomainB cu utilizatorul din DomainA prin direct rdp și dacă fac asta, păstrez conexiunea deschisă și încep conexiunea pe Guacamole, pot să fac preluați sesiunea!!

Bușteni

Buștenii de guacamole nu arată absolut nimic util.

Jurnalul de securitate Windows arată acest eveniment în eroarea de conectare:

EventID 4625, Conectare
Un cont nu s-a conectat.

Subiect:
    ID de securitate: NULL SID
    Nume de cont:       -
    Domeniul contului: -
    ID de conectare: 0x0

Tip de conectare: 3

Cont pentru care conectarea a eșuat:
    ID de securitate: NULL SID
    Nume cont: utilizator (corect)
    Domeniul contului: Domeniul A (corect)

Informații despre eșec:
    Motivul eșecului: a apărut o eroare în timpul conectării.
    Stare: 0xC000005E
    Stare secundară: 0x0

Informații despre proces:
    ID proces apelant: 0x0
    Numele procesului apelantului: -

Informații de rețea:
    Nume stație de lucru: f7054e3b9dd7
    Adresa rețelei sursă: Guacamole-Server-IP
    Port sursă: 0

Informații detaliate de autentificare:
    Procesul de conectare: NtLmSsp 
    Pachet de autentificare: NTLM
    Servicii de tranzit: -
    Nume pachet (numai NTLM): -
    Lungimea cheii: 0

Acest eveniment este generat atunci când o solicitare de conectare eșuează. Este generat pe computerul la care s-a încercat accesul.

Câmpurile Subiect indică contul de pe sistemul local care a solicitat conectarea. Acesta este cel mai frecvent un serviciu, cum ar fi serviciul Server, sau un proces local, cum ar fi Winlogon.exe sau Services.exe.

Câmpul Tip de conectare indică tipul de conectare care a fost solicitat. Cele mai comune tipuri sunt 2 (interactiv) și 3 (rețea).

Câmpurile Informații proces indică ce cont și proces de pe sistem a solicitat conectarea.

Câmpurile Informații de rețea indică de unde a provenit o solicitare de conectare la distanță. Numele stației de lucru nu este întotdeauna disponibil și poate fi lăsat necompletat în unele cazuri.

Câmpurile de informații de autentificare oferă informații detaliate despre această solicitare de conectare specifică.
    - Serviciile de tranzit indică ce servicii intermediare au participat la această solicitare de conectare.
    - Numele pachetului indică ce subprotocol a fost folosit printre protocoalele NTLM.
    - Lungimea cheii indică lungimea cheii de sesiune generată. Acesta va fi 0 dacă nu a fost solicitată nicio cheie de sesiune.

Depanare

Acum, în acest moment, nu știu unde să-mi pun următorul focus. Am încercat mai multe setări pe conexiunea Guacamole rdp. Am făcut multe cercetări online, dar nu am putut găsi exemple cu informații în care cineva încearcă același lucru ca și noi. Deoarece rdp obișnuit funcționează bine, credem că încrederile și permisiunile noastre ar trebui să fie în regulă.

Îmi puteți da ceva indicii în ce direcție ar trebui să investighez?

Folosește cineva Guacamole într-o configurație similară?

Editați | × Informații suplimentare despre Vizualizatorul de evenimente sugerate de utilizatorul Swisstone:

RemoteDesktopServices-RdpCoreTS
08:38:23 Informații: Serverul a acceptat o nouă conexiune TCP de la client *Guacamole-IP*:53494.
08:38:23 Informații: Conexiune RDP-Tcp#78 creată 
08:38:23 Informații: Metoda de interfață numită: PrepareForAccept
08:38:23 Informații: Metoda de interfață numită: SendPolicyData
08:38:23 Informații: Sesiunea PerfCounter a început cu ID-ul instanței 78
08:38:23 Atenție: socket-ul TCP a fost încheiat cu grație
08:38:23 Informații: Metoda de interfață numită: OnDisconnected
08:38:23 Informații: Serverul a întrerupt conexiunea RDP principală cu clientul.
08:38:23 Informații: În timpul acestei conexiuni, serverul nu a trimis date sau actualizări grafice timp de 0 secunde (Idle1: 0, Idle2: 0).
08:38:23 Informații: Canalul rdpinpt a fost închis între server și client pe tunelul de transport: 0.
08:38:23 Informații: Canalul rdpcmd a fost închis între server și client pe tunelul de transport: 0.
08:38:23 Informații: Canalul rdplic a fost închis între server și client pe tunelul de transport: 0.
08:38:23 Informații: Motivul deconectarii este 14

TerminalServices-LocalSessionManager
nimic în acest timp

TerminalServices-RemoteConnectionManager
nimic în acest timp

Am uitat să menționez, serverul este versiunea 2019 1809

Editare 2

Ok, am făcut-o să funcționeze acum schimbând modul de securitate al conexiunii la tls. Îmi amintesc că am încercat tls înainte când nu mergea. Poate că unele dintre modificările pe care le-am făcut în timpul întregului proces de depanare au făcut diferența. Până acum nu pot spune ce a fost.

Am ajuns la această „soluție” încercând aleatoriu diferite opțiuni de conectare folosind freerdp după ce am descoperit că este folosit de guacamole pentru conexiuni rdp.

Vede cineva probleme în utilizarea tls în loc de nla în acest caz?

Swisstone avatar
drapel cn
Puteți arunca o privire la următoarele jurnale de pe serverul țintă și puteți vedea dacă puteți găsi ceva util: Vizualizator de evenimente -> Jurnal de aplicații și servicii -> Microsoft -> Windows -> `RemoteDesktopServices-RdpCoreTS` și `TerminalServices-LocalSessionManager` și `TerminalServices-RemoteSessionManager`
Manu avatar
drapel us
@Swisstone, a adăugat evenimentele în timpul încercării de conectare. Toate aparțin categoriei de activități „Modul RemoteFX”, vor aprofunda acest lucru. Mulțumiri!
Puncte:2
drapel us

Am pus totul să funcționeze pentru mine și închei aici informațiile pe care le-am adunat în acest fel:

Încredere

Trustul, așa cum a fost postat în întrebarea mea, funcționează foarte bine în acest scop. Sunt sigur că și alte opțiuni ar funcționa.

Permisiuni

Utilizatorul din domeniul A este membru al unui grup universal al domeniului A. Acest UniversalGroup este membru al unui Grup Local din Domeniul B care este membru al Grupului de Administrator local al Serverului de destinație.

Guacamole

Folosim upn-ul pentru autentificare, am configurat conexiunea după cum urmează:

protocol: rdp
hostname: ip server de la Domeniul B
portul: 3389
nume de utilizator: ${GUAC_USERNAME}
parola: ${GUAC_PASSWORD}
domeniu: gol
modul de securitate: tls
dezactivați autentificarea: nu
ignora certificatul serverului: da
totul este setat implicit / nu este configurat

Reţea

Asigurați-vă că sunt permise conexiunile între controlerele de domeniu: Cum să configurați un firewall pentru domeniile și trusturile Active Directory

Dacă doriți să răsfoiți GC al domeniului A de pe Serverul domeniului B, permiteți porturile LDAP pentru această conexiune.

Îmi rămâne necunoscut

Dacă NLA ar fi un avantaj și cum l-aș face să funcționeze.

Deocamdată o voi păstra așa cum este.

Editați | ×

Până acum sunt destul de sigur că voi avea nevoie de un Trust de pădure să folosesc NLA în felul în care încerc să mă conectez la server (UPN)

Editare 2

Acum sunt 100% sigur că aș avea nevoie de un Trust Forest pentru RDP cu NLA folosind UPN. Am găsit unul, a fost testat, a funcționat.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.