badger
Goto Top

Kerberos bei Remote Desktop Farm

Hallo,

bin gerade dabei, schön langsam bei uns NTLM in den Ruhestand zu schicken. Zumindest versuche ich das face-smile

Etwas Probleme habe ich gerade bei unserer RDS-Farm.
Nachdem hier Round-Robin-DNS zum Einsatz kommt ist natürlich der verwendete DNS-Name nicht als SPN bei den Session Hosts hinterlegt. Bedeutet: Kerberos geht nicht und NTLM kommt zum Einsatz.

Lt. dieser Anleitung sollte die Lösung ein Dienstkonto (gMSA) sein.
Und nach langem Suchen konnte ich nun diese Anleitung finden, wo lt. meiner Auffassung dann genau dieses Dienstkonto zur Verwendung kommt.

Mal abgesehen davon, dass diese Anleitung bei mir nicht klappt (RDS:\RDSFarms ist bei mir nicht vorhanden - aber das ist ein anderes Thema) und ich nicht weiß ob das so überhaupt noch gültig ist (Anleitung ist von 2009):
Hat irgendjemand Erfahrungen beim Einsatz von Kerberos mit RDS-Farmen? Wie habt ihr das umgesetzt? Genau so wie in dieser Anleitung angeführt? Irgendwelche Probleme?

Beste Grüße
Patrick

Content-Key: 7521339203

Url: https://administrator.de/contentid/7521339203

Printed on: February 23, 2024 at 23:02 o'clock

Member: Mr-Gustav
Mr-Gustav Jun 14, 2023 at 13:01:13 (UTC)
Goto Top
gMSA schön und gut aber ich hab jetzt im Kopf das ich für die Terminlserver Dienste keinen "eigenen" gMSA Account brauche. Zudem müssen für gMSA Accounts noch andere Randbedingungen erfüllt werden.

Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:

2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.
Member: Badger
Badger Jun 15, 2023 at 06:34:33 (UTC)
Goto Top
Zitat von @Mr-Gustav:

gMSA schön und gut aber ich hab jetzt im Kopf das ich für die Terminlserver Dienste keinen "eigenen" gMSA Account brauche. Zudem müssen für gMSA Accounts noch andere Randbedingungen erfüllt werden.

Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:

2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.

Infrastruktur (alles Server 2019):
  • RDCB01 (=Connection Broker & License Server. IP = 10.99.44.100)
  • RDSH01 (=Session Host. IP = 10.99.44.1)
  • RDSH02 (=Session Host. IP = 10.99.44.2)

Im DNS gibt es folgende A-Einträge:
  • RDS-farm.FIRMA.TLD auf die IP-Adresse 10.99.44.1
  • RDS-farm.FIRMA.TLD auf die IP-Adresse 10.99.44.2

Die Clients verbinden sich auf RDS-farm.FIRMA.TLD. Da beim DNS mehrere A-Einträge für RDS-farm.FIRMA.TLD vorhanden sind, verbinden sich die Clients abwechselnd zu den eingetragenen Hosts (=Round-Robin-DNS).
Der angesprochene Session Host kontaktiert dann schlussendlich den Connection Broker der entscheidet, wo die neue Sitzung aufgebaut wird.

In den NTLM-Logs sehe ich, dass ein Verbindungsversuch zu TERMSRV/RDS-farm.FIRMA.TLD stattfindet.
Nachdem TERMSRV/RDS-farm.FIRMA.TLD aber bei den Session Hosts nicht eingetragen ist als SPN, klappt die Verbindung über Kerberos verständlicherweise nicht.

Wird bei dir die Verbindung über Kerberos hergestellt?

Beste Grüße
Patrick
Member: Badger
Badger Oct 16, 2023 at 08:40:32 (UTC)
Goto Top
Ich habe mittlerweile von einer großen Dienstleistungsfirma erfahren, dass die oben genannte Anleitung outdatet ist. RDS:\RDSFarms funktioniert scheinbar nur bis Server 2016. Nicht mehr unter Server 2019.
Und scheinbar gibt es von MS keinen offiziellen Weg, Kerberos in Verbindung mit Remote Desktop Farmen zu verwenden.

Also bleibt über:
  • Lösung 2 von MS probieren. Wobei ich nicht sagen kann, ob die nicht genauso outdatet ist. Ich habs nicht probiert.
  • Wenn keine wirkliche Farm sondern nur ein Session Host verwendet wird, könnte einem netdom weiterhelfen.
  • irgendeine inoffizielle Lösung finden
  • mit NTLM leben
  • Alternativen für RDS suchen. MS will ja eh, dass wir alle in die super tolle Cloud wechseln.