3
Kerberos bei Remote Desktop Farm
Hallo,
bin gerade dabei, schön langsam bei uns NTLM in den Ruhestand zu schicken. Zumindest versuche ich das
Etwas Probleme habe ich gerade bei unserer RDS-Farm.
Nachdem hier Round-Robin-DNS zum Einsatz kommt ist natürlich der verwendete DNS-Name nicht als SPN bei den Session Hosts hinterlegt. Bedeutet: Kerberos geht nicht und NTLM kommt zum Einsatz.
Lt. dieser Anleitung sollte die Lösung ein Dienstkonto (gMSA) sein.
Und nach langem Suchen konnte ich nun diese Anleitung finden, wo lt. meiner Auffassung dann genau dieses Dienstkonto zur Verwendung kommt.
Mal abgesehen davon, dass diese Anleitung bei mir nicht klappt (RDS:\RDSFarms ist bei mir nicht vorhanden - aber das ist ein anderes Thema) und ich nicht weiß ob das so überhaupt noch gültig ist (Anleitung ist von 2009):
Hat irgendjemand Erfahrungen beim Einsatz von Kerberos mit RDS-Farmen? Wie habt ihr das umgesetzt? Genau so wie in dieser Anleitung angeführt? Irgendwelche Probleme?
Beste Grüße
Patrick
bin gerade dabei, schön langsam bei uns NTLM in den Ruhestand zu schicken. Zumindest versuche ich das
Etwas Probleme habe ich gerade bei unserer RDS-Farm.
Nachdem hier Round-Robin-DNS zum Einsatz kommt ist natürlich der verwendete DNS-Name nicht als SPN bei den Session Hosts hinterlegt. Bedeutet: Kerberos geht nicht und NTLM kommt zum Einsatz.
Lt. dieser Anleitung sollte die Lösung ein Dienstkonto (gMSA) sein.
Und nach langem Suchen konnte ich nun diese Anleitung finden, wo lt. meiner Auffassung dann genau dieses Dienstkonto zur Verwendung kommt.
Mal abgesehen davon, dass diese Anleitung bei mir nicht klappt (RDS:\RDSFarms ist bei mir nicht vorhanden - aber das ist ein anderes Thema) und ich nicht weiß ob das so überhaupt noch gültig ist (Anleitung ist von 2009):
Hat irgendjemand Erfahrungen beim Einsatz von Kerberos mit RDS-Farmen? Wie habt ihr das umgesetzt? Genau so wie in dieser Anleitung angeführt? Irgendwelche Probleme?
Beste Grüße
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7521339203
Url: https://administrator.de/contentid/7521339203
Printed on: April 27, 2024 at 11:04 o'clock
3 Comments
Latest comment
gMSA schön und gut aber ich hab jetzt im Kopf das ich für die Terminlserver Dienste keinen "eigenen" gMSA Account brauche. Zudem müssen für gMSA Accounts noch andere Randbedingungen erfüllt werden.
Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:
2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.
Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:
2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.
Zitat von @Mr-Gustav:
gMSA schön und gut aber ich hab jetzt im Kopf das ich für die Terminlserver Dienste keinen "eigenen" gMSA Account brauche. Zudem müssen für gMSA Accounts noch andere Randbedingungen erfüllt werden.
Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:
2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.
gMSA schön und gut aber ich hab jetzt im Kopf das ich für die Terminlserver Dienste keinen "eigenen" gMSA Account brauche. Zudem müssen für gMSA Accounts noch andere Randbedingungen erfüllt werden.
Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:
2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.
Infrastruktur (alles Server 2019):
- RDCB01 (=Connection Broker & License Server. IP = 10.99.44.100)
- RDSH01 (=Session Host. IP = 10.99.44.1)
- RDSH02 (=Session Host. IP = 10.99.44.2)
Im DNS gibt es folgende A-Einträge:
- RDS-farm.FIRMA.TLD auf die IP-Adresse 10.99.44.1
- RDS-farm.FIRMA.TLD auf die IP-Adresse 10.99.44.2
Die Clients verbinden sich auf RDS-farm.FIRMA.TLD. Da beim DNS mehrere A-Einträge für RDS-farm.FIRMA.TLD vorhanden sind, verbinden sich die Clients abwechselnd zu den eingetragenen Hosts (=Round-Robin-DNS).
Der angesprochene Session Host kontaktiert dann schlussendlich den Connection Broker der entscheidet, wo die neue Sitzung aufgebaut wird.
In den NTLM-Logs sehe ich, dass ein Verbindungsversuch zu TERMSRV/RDS-farm.FIRMA.TLD stattfindet.
Nachdem TERMSRV/RDS-farm.FIRMA.TLD aber bei den Session Hosts nicht eingetragen ist als SPN, klappt die Verbindung über Kerberos verständlicherweise nicht.
Wird bei dir die Verbindung über Kerberos hergestellt?
Beste Grüße
Patrick
Ich habe mittlerweile von einer großen Dienstleistungsfirma erfahren, dass die oben genannte Anleitung outdatet ist. RDS:\RDSFarms funktioniert scheinbar nur bis Server 2016. Nicht mehr unter Server 2019.
Und scheinbar gibt es von MS keinen offiziellen Weg, Kerberos in Verbindung mit Remote Desktop Farmen zu verwenden.
Also bleibt über:
Und scheinbar gibt es von MS keinen offiziellen Weg, Kerberos in Verbindung mit Remote Desktop Farmen zu verwenden.
Also bleibt über:
- Lösung 2 von MS probieren. Wobei ich nicht sagen kann, ob die nicht genauso outdatet ist. Ich habs nicht probiert.
- Wenn keine wirkliche Farm sondern nur ein Session Host verwendet wird, könnte einem netdom weiterhelfen.
- irgendeine inoffizielle Lösung finden
- mit NTLM leben
- Alternativen für RDS suchen. MS will ja eh, dass wir alle in die super tolle Cloud wechseln.