Prezentare generală
Ne autentificăm în Gucamole cu un utilizator din domeniul A unde selectăm o conexiune rdp la un server din domeniul B.
Trusturi
De la Domeniul A la Domeniul B și invers:
- Tip: Extern
- Suport pentru criptare Kerberos AES: nu
- Direcție: bidirecțională
- Tranzitivitate: nu
- Autentificare: la nivel de domeniu
Permisiuni
Utilizatorul de la DomainA a fost alăturat grupului local de utilizatori Remote Desktop de pe serverul de la DomainB. Am încercat temporar și cu grupul local Administratori.
Guacamole
Întreaga configurație nu a fost făcută de mine și nu am prea multe informații, deoarece este gestionată de o altă echipă. Ce știu este că funcționează bine cu un Utilizator de la DomeniulA la un Server de la DomeniulA.
Utilizatorii se conectează cu upn și folosesc 2FA de OpenOTP.
Dacă credeți că ar fi de ajutor să împărtășiți câteva configurații de Guacamole, spuneți-mi ce doriți să vedeți și verific cu echipa.
Conexiuni pe Guacamole
- protocol: rdp
- hostname: ip server de la Domeniul B
- portul: 3389
- nume de utilizator: ${GUAC_USERNAME}
- parola: ${GUAC_PASSWORD}
- domeniu: gol
- Mod de securitate: NLA
- dezactivați autentificarea: nu
- ignora certificatul serverului: da
- totul este setat implicit / nu este configurat
Desigur, am încercat mai multe setări diferite.
Simptome
Acum iată ce se întâmplă.
- Mă conectez la Guacamole cu Utilizatorul de la DomainA
- primiți OpenOTP push și confirmați
- Sunt conectat la Guacamole și selectez conexiunea la serverul DomainB
- primiți mesaj de eroare:
Serverul desktop la distanță este momentan inaccesibil. Dacă problema persistă, vă rugăm să vă informați administratorul de sistem sau să verificați jurnalele de sistem.
- după câteva reîncercări, uneori primesc acest mesaj:
Această conexiune a fost închisă deoarece serverul durează prea mult să răspundă. De obicei, acest lucru este cauzat de probleme de rețea, cum ar fi un semnal wireless neregulat sau viteze reduse ale rețelei. Verificați conexiunea la rețea și încercați din nou sau contactați administratorul de sistem.
- iar acum vine partea amuzantă care mă înnebunește: pot să mă conectez la serverul DomainB cu utilizatorul din DomainA prin direct rdp și dacă fac asta, păstrez conexiunea deschisă și încep conexiunea pe Guacamole, pot să fac preluați sesiunea!!
Bușteni
Buștenii de guacamole nu arată absolut nimic util.
Jurnalul de securitate Windows arată acest eveniment în eroarea de conectare:
EventID 4625, Conectare
Un cont nu s-a conectat.
Subiect:
ID de securitate: NULL SID
Nume de cont: -
Domeniul contului: -
ID de conectare: 0x0
Tip de conectare: 3
Cont pentru care conectarea a eșuat:
ID de securitate: NULL SID
Nume cont: utilizator (corect)
Domeniul contului: Domeniul A (corect)
Informații despre eșec:
Motivul eșecului: a apărut o eroare în timpul conectării.
Stare: 0xC000005E
Stare secundară: 0x0
Informații despre proces:
ID proces apelant: 0x0
Numele procesului apelantului: -
Informații de rețea:
Nume stație de lucru: f7054e3b9dd7
Adresa rețelei sursă: Guacamole-Server-IP
Port sursă: 0
Informații detaliate de autentificare:
Procesul de conectare: NtLmSsp
Pachet de autentificare: NTLM
Servicii de tranzit: -
Nume pachet (numai NTLM): -
Lungimea cheii: 0
Acest eveniment este generat atunci când o solicitare de conectare eșuează. Este generat pe computerul la care s-a încercat accesul.
Câmpurile Subiect indică contul de pe sistemul local care a solicitat conectarea. Acesta este cel mai frecvent un serviciu, cum ar fi serviciul Server, sau un proces local, cum ar fi Winlogon.exe sau Services.exe.
Câmpul Tip de conectare indică tipul de conectare care a fost solicitat. Cele mai comune tipuri sunt 2 (interactiv) și 3 (rețea).
Câmpurile Informații proces indică ce cont și proces de pe sistem a solicitat conectarea.
Câmpurile Informații de rețea indică de unde a provenit o solicitare de conectare la distanță. Numele stației de lucru nu este întotdeauna disponibil și poate fi lăsat necompletat în unele cazuri.
Câmpurile de informații de autentificare oferă informații detaliate despre această solicitare de conectare specifică.
- Serviciile de tranzit indică ce servicii intermediare au participat la această solicitare de conectare.
- Numele pachetului indică ce subprotocol a fost folosit printre protocoalele NTLM.
- Lungimea cheii indică lungimea cheii de sesiune generată. Acesta va fi 0 dacă nu a fost solicitată nicio cheie de sesiune.
Depanare
Acum, în acest moment, nu știu unde să-mi pun următorul focus. Am încercat mai multe setări pe conexiunea Guacamole rdp. Am făcut multe cercetări online, dar nu am putut găsi exemple cu informații în care cineva încearcă același lucru ca și noi. Deoarece rdp obișnuit funcționează bine, credem că încrederile și permisiunile noastre ar trebui să fie în regulă.
Îmi puteți da ceva indicii în ce direcție ar trebui să investighez?
Folosește cineva Guacamole într-o configurație similară?
Editați | ×
Informații suplimentare despre Vizualizatorul de evenimente sugerate de utilizatorul Swisstone:
RemoteDesktopServices-RdpCoreTS
08:38:23 Informații: Serverul a acceptat o nouă conexiune TCP de la client *Guacamole-IP*:53494.
08:38:23 Informații: Conexiune RDP-Tcp#78 creată
08:38:23 Informații: Metoda de interfață numită: PrepareForAccept
08:38:23 Informații: Metoda de interfață numită: SendPolicyData
08:38:23 Informații: Sesiunea PerfCounter a început cu ID-ul instanței 78
08:38:23 Atenție: socket-ul TCP a fost încheiat cu grație
08:38:23 Informații: Metoda de interfață numită: OnDisconnected
08:38:23 Informații: Serverul a întrerupt conexiunea RDP principală cu clientul.
08:38:23 Informații: În timpul acestei conexiuni, serverul nu a trimis date sau actualizări grafice timp de 0 secunde (Idle1: 0, Idle2: 0).
08:38:23 Informații: Canalul rdpinpt a fost închis între server și client pe tunelul de transport: 0.
08:38:23 Informații: Canalul rdpcmd a fost închis între server și client pe tunelul de transport: 0.
08:38:23 Informații: Canalul rdplic a fost închis între server și client pe tunelul de transport: 0.
08:38:23 Informații: Motivul deconectarii este 14
TerminalServices-LocalSessionManager
nimic în acest timp
TerminalServices-RemoteConnectionManager
nimic în acest timp
Am uitat să menționez, serverul este versiunea 2019 1809
Editare 2
Ok, am făcut-o să funcționeze acum schimbând modul de securitate al conexiunii la tls. Îmi amintesc că am încercat tls înainte când nu mergea. Poate că unele dintre modificările pe care le-am făcut în timpul întregului proces de depanare au făcut diferența. Până acum nu pot spune ce a fost.
Am ajuns la această „soluție” încercând aleatoriu diferite opțiuni de conectare folosind freerdp după ce am descoperit că este folosit de guacamole pentru conexiuni rdp.
Vede cineva probleme în utilizarea tls în loc de nla în acest caz?