Kerberos bei Remote Desktop Farm
Hallo,
bin gerade dabei, schön langsam bei uns NTLM in den Ruhestand zu schicken. Zumindest versuche ich das
Etwas Probleme habe ich gerade bei unserer RDS-Farm.
Nachdem hier Round-Robin-DNS zum Einsatz kommt ist natürlich der verwendete DNS-Name nicht als SPN bei den Session Hosts hinterlegt. Bedeutet: Kerberos geht nicht und NTLM kommt zum Einsatz.
Lt. dieser Anleitung sollte die Lösung ein Dienstkonto (gMSA) sein.
Und nach langem Suchen konnte ich nun diese Anleitung finden, wo lt. meiner Auffassung dann genau dieses Dienstkonto zur Verwendung kommt.
Mal abgesehen davon, dass diese Anleitung bei mir nicht klappt (RDS:\RDSFarms ist bei mir nicht vorhanden - aber das ist ein anderes Thema) und ich nicht weiß ob das so überhaupt noch gültig ist (Anleitung ist von 2009):
Hat irgendjemand Erfahrungen beim Einsatz von Kerberos mit RDS-Farmen? Wie habt ihr das umgesetzt? Genau so wie in dieser Anleitung angeführt? Irgendwelche Probleme?
Beste Grüße
Patrick
bin gerade dabei, schön langsam bei uns NTLM in den Ruhestand zu schicken. Zumindest versuche ich das
Etwas Probleme habe ich gerade bei unserer RDS-Farm.
Nachdem hier Round-Robin-DNS zum Einsatz kommt ist natürlich der verwendete DNS-Name nicht als SPN bei den Session Hosts hinterlegt. Bedeutet: Kerberos geht nicht und NTLM kommt zum Einsatz.
Lt. dieser Anleitung sollte die Lösung ein Dienstkonto (gMSA) sein.
Und nach langem Suchen konnte ich nun diese Anleitung finden, wo lt. meiner Auffassung dann genau dieses Dienstkonto zur Verwendung kommt.
Mal abgesehen davon, dass diese Anleitung bei mir nicht klappt (RDS:\RDSFarms ist bei mir nicht vorhanden - aber das ist ein anderes Thema) und ich nicht weiß ob das so überhaupt noch gültig ist (Anleitung ist von 2009):
Hat irgendjemand Erfahrungen beim Einsatz von Kerberos mit RDS-Farmen? Wie habt ihr das umgesetzt? Genau so wie in dieser Anleitung angeführt? Irgendwelche Probleme?
Beste Grüße
Patrick
Please also mark the comments that contributed to the solution of the article
Content-ID: 7521339203
Url: https://administrator.de/contentid/7521339203
Printed on: October 10, 2024 at 04:10 o'clock
3 Comments
Latest comment
gMSA schön und gut aber ich hab jetzt im Kopf das ich für die Terminlserver Dienste keinen "eigenen" gMSA Account brauche. Zudem müssen für gMSA Accounts noch andere Randbedingungen erfüllt werden.
Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:
2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.
Geht Ihr über einen Broker / Gateway Server oder direkt auf die Hosts.
Wenn ich das oben lese so meine ich das Ihr in etwa folgende Konfig haben könntet:
2 GatewayServer welche unter RDP-GW-Server.FIRMA.TLD im DNS eingetragen sind und dann das DNS entsprechend entweder nach 10.99.44.1 oder bzw. 10.99.44.2 aufgelöst. ? Richtig?
beschreibe doch deine Infrastruktur mal ein wenig.