scrises
15.09.2022
view1318
view4
0
Goto Top

RDP mit 2 FA von Azure (gewissen IPs sollen aber ausgeschlossen werden)

gelöstFrageMicrosoftWindows Server
Hallo Admins,

bei folgendem Problem / Anfrage benötige ich eure Hilfe.


Zuerst einmal das Szenario:

  • Es existiert eine local Domäne, welche mit Azure AD Connect syncronisiert wird.
  • Es existiert ein Terminal Gateway-Server mit Windows Server 2022 ( Gateway-Server ist auch Sessionbroker)
  • Der Sessionbroker verwaltet 2 Terminalserver. Auch Win Server 2022
  • Zusätzlich wurde ein Server installiert mit dem NPS Diesnst. Hierauf wurde die NPS-Erweiterung installiert für die 2FA Abfrage zu Azure

Einrichtung nach folgender Anleitung von MS
https://docs.microsoft.com/de-de/azure/active-directory/authentication/h ...

Hier mal ein Schaubild
1

Alles Funktioniert auch ohne Probleme. Nun kam die Bitte gewisse öffentliche IP´s von der 2 FA zu befreien.
Hier dachte ich erst ich muss dies über Die Sichheitseinstellungen in Azure AD Admin Center Einrichten. Leider scheint dies nicht zu greifen.
Ich vermute aber das ich eher die Lösung im NPS oder GW finden muss.
Sprich wenn eine Anfrage von einer gewissen IP kommt, dann soll dieses nicht an die Azure 2 FA weitergeleitet werden, sondern direkt zu den TS-Servern

Kann mir hierzu einen einen Tip geben wie ich hier weiterkomme.
Ich hoffe ich konnte alles verständlich beschreiben.

Danke für eure Mühe
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 3949351687

Url: https://administrator.de/contentid/3949351687

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
3803037559
3803037559 15.09.2022 aktualisiert um 12:05:09 Uhr
Goto Top
Moin.
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.

Cheers
certguy
Scrises
Scrises 15.09.2022 um 12:47:10 Uhr
Goto Top
Zitat von @3803037559:

Moin.
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.

Cheers
certguy

Hi Certguy,

da sind wir schon ganz dicht an der Lösung.

bei einer zweiten Regel die vorgeschalten ist ( höhere Prio ) und keine Bedingung funktioniert es.
Wenn ich aber die Bedingung auf eine IP reduziere scheint er es nicht zu verstehen und verwendet dann die zweite Richtlinie

2
3803037559
Lösung 3803037559 15.09.2022 aktualisiert um 13:03:10 Uhr
Goto Top
Die Bedingungsproperty für die SRC-IP ist IMHO eine andere (habe gerade kein Zugriff um nachzusehen).

Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.
Scrises
Lösung Scrises 15.09.2022 um 16:13:27 Uhr
Goto Top
Zitat von @3803037559:

Die Bedingungsproperty für die SRC-IP ist IMHO eine andere (habe gerade kein Zugriff um nachzusehen).

Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.

Hi Certguy,

Du hattest recht, die Info von welchem Client die Anmeldung kommt wird mit "Empfangs-ID" abgefragt. Leider funktioniert dies aber nur mit internen Adressen. IPs von Extern werden nicht übermittelt oder können ausgewertet werden.

Meine Lösung sieht daher wie folgt aus.

Ich habe ein zweites RD-GW installiert. Von der Firewall aus selektiere ich nun von welche IP die Anfrage kommt und schicke diese nun entweder zu GW extern oder GW intern.
Wenn die RDP-Anfrage nun über das zweite GW kommt, kann ich hier die IP in der Verbindungsanforderung aufgreifen und diese wiederum direkt zu den TS-Server durchreichen

11

Am Broker musste ich aber noch folgende Regel hinterlegen

3
gelöstFrageMicrosoftWindows Server
Mehr von ScrisesScrisesWindowsdomäne umbenennen (Erfahrungsberichte)Scrises - 8 KommentareScrisesUser sollen abgelaufene Kennwörter via RDP ändern können ( TS-Farm mit RDP via MS RDS Session Broker)Scrises - 17 KommentareScrisesAzure Active Directory nachträglich mit Onpremise AD syncronisierenScrises - 5 KommentareScrisesFehler bei Inplaceupgrade von Server 2012 zu Server 2019Scrises - 4 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareManuManu2021Verpasster Anruf von +49-030-123456 mit einer Mobilfunk Prepaid SIMManuManu2021 - 11 Kommentare