4
RDP mit 2 FA von Azure (gewissen IPs sollen aber ausgeschlossen werden)
Hallo Admins,
bei folgendem Problem / Anfrage benötige ich eure Hilfe.
Zuerst einmal das Szenario:
Einrichtung nach folgender Anleitung von MS
https://docs.microsoft.com/de-de/azure/active-directory/authentication/h ...
Hier mal ein Schaubild
Alles Funktioniert auch ohne Probleme. Nun kam die Bitte gewisse öffentliche IP´s von der 2 FA zu befreien.
Hier dachte ich erst ich muss dies über Die Sichheitseinstellungen in Azure AD Admin Center Einrichten. Leider scheint dies nicht zu greifen.
Ich vermute aber das ich eher die Lösung im NPS oder GW finden muss.
Sprich wenn eine Anfrage von einer gewissen IP kommt, dann soll dieses nicht an die Azure 2 FA weitergeleitet werden, sondern direkt zu den TS-Servern
Kann mir hierzu einen einen Tip geben wie ich hier weiterkomme.
Ich hoffe ich konnte alles verständlich beschreiben.
Danke für eure Mühe
bei folgendem Problem / Anfrage benötige ich eure Hilfe.
Zuerst einmal das Szenario:
- Es existiert eine local Domäne, welche mit Azure AD Connect syncronisiert wird.
- Es existiert ein Terminal Gateway-Server mit Windows Server 2022 ( Gateway-Server ist auch Sessionbroker)
- Der Sessionbroker verwaltet 2 Terminalserver. Auch Win Server 2022
- Zusätzlich wurde ein Server installiert mit dem NPS Diesnst. Hierauf wurde die NPS-Erweiterung installiert für die 2FA Abfrage zu Azure
Einrichtung nach folgender Anleitung von MS
https://docs.microsoft.com/de-de/azure/active-directory/authentication/h ...
Hier mal ein Schaubild
Alles Funktioniert auch ohne Probleme. Nun kam die Bitte gewisse öffentliche IP´s von der 2 FA zu befreien.
Hier dachte ich erst ich muss dies über Die Sichheitseinstellungen in Azure AD Admin Center Einrichten. Leider scheint dies nicht zu greifen.
Ich vermute aber das ich eher die Lösung im NPS oder GW finden muss.
Sprich wenn eine Anfrage von einer gewissen IP kommt, dann soll dieses nicht an die Azure 2 FA weitergeleitet werden, sondern direkt zu den TS-Servern
Kann mir hierzu einen einen Tip geben wie ich hier weiterkomme.
Ich hoffe ich konnte alles verständlich beschreiben.
Danke für eure Mühe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3949351687
Url: https://administrator.de/contentid/3949351687
Printed on: April 28, 2024 at 05:04 o'clock
4 Comments
Latest comment
Moin.
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.
Cheers
certguy
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.
Cheers
certguy
Zitat von @3803037559:
Moin.
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.
Cheers
certguy
Moin.
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.
Cheers
certguy
Hi Certguy,
da sind wir schon ganz dicht an der Lösung.
bei einer zweiten Regel die vorgeschalten ist ( höhere Prio ) und keine Bedingung funktioniert es.
Wenn ich aber die Bedingung auf eine IP reduziere scheint er es nicht zu verstehen und verwendet dann die zweite Richtlinie
Die Bedingungsproperty für die SRC-IP ist IMHO eine andere (habe gerade kein Zugriff um nachzusehen).
Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.
Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.
Zitat von @3803037559:
Die Bedingungsproperty für die SRC-IP ist IMHO eine andere (habe gerade kein Zugriff um nachzusehen).
Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.
Die Bedingungsproperty für die SRC-IP ist IMHO eine andere (habe gerade kein Zugriff um nachzusehen).
Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.
Hi Certguy,
Du hattest recht, die Info von welchem Client die Anmeldung kommt wird mit "Empfangs-ID" abgefragt. Leider funktioniert dies aber nur mit internen Adressen. IPs von Extern werden nicht übermittelt oder können ausgewertet werden.
Meine Lösung sieht daher wie folgt aus.
Ich habe ein zweites RD-GW installiert. Von der Firewall aus selektiere ich nun von welche IP die Anfrage kommt und schicke diese nun entweder zu GW extern oder GW intern.
Wenn die RDP-Anfrage nun über das zweite GW kommt, kann ich hier die IP in der Verbindungsanforderung aufgreifen und diese wiederum direkt zu den TS-Server durchreichen
Am Broker musste ich aber noch folgende Regel hinterlegen
