scrises
Goto Top

RDP mit 2 FA von Azure (gewissen IPs sollen aber ausgeschlossen werden)

Hallo Admins,

bei folgendem Problem / Anfrage benötige ich eure Hilfe.


Zuerst einmal das Szenario:

  • Es existiert eine local Domäne, welche mit Azure AD Connect syncronisiert wird.
  • Es existiert ein Terminal Gateway-Server mit Windows Server 2022 ( Gateway-Server ist auch Sessionbroker)
  • Der Sessionbroker verwaltet 2 Terminalserver. Auch Win Server 2022
  • Zusätzlich wurde ein Server installiert mit dem NPS Diesnst. Hierauf wurde die NPS-Erweiterung installiert für die 2FA Abfrage zu Azure

Einrichtung nach folgender Anleitung von MS
https://docs.microsoft.com/de-de/azure/active-directory/authentication/h ...

Hier mal ein Schaubild
1

Alles Funktioniert auch ohne Probleme. Nun kam die Bitte gewisse öffentliche IP´s von der 2 FA zu befreien.
Hier dachte ich erst ich muss dies über Die Sichheitseinstellungen in Azure AD Admin Center Einrichten. Leider scheint dies nicht zu greifen.
Ich vermute aber das ich eher die Lösung im NPS oder GW finden muss.
Sprich wenn eine Anfrage von einer gewissen IP kommt, dann soll dieses nicht an die Azure 2 FA weitergeleitet werden, sondern direkt zu den TS-Servern

Kann mir hierzu einen einen Tip geben wie ich hier weiterkomme.
Ich hoffe ich konnte alles verständlich beschreiben.

Danke für eure Mühe

Content-ID: 3949351687

Url: https://administrator.de/forum/rdp-mit-2-fa-von-azure-gewissen-ips-sollen-aber-ausgeschlossen-werden-3949351687.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

3803037559
3803037559 15.09.2022 aktualisiert um 12:05:09 Uhr
Goto Top
Moin.
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.

Cheers
certguy
Scrises
Scrises 15.09.2022 um 12:47:10 Uhr
Goto Top
Zitat von @3803037559:

Moin.
Mein erster Gedanke dazu: Eine höher priorisierte "Verbindungsanforderungsrichtlinie" im NPS erstellen dessen Authentifizierungs-Anfragen nicht an den 2FA Server geleitet werden und in dessen Bedingungen(Conditions) die zwei festen IPs als Quelladressen eingetragen sind.

Cheers
certguy

Hi Certguy,

da sind wir schon ganz dicht an der Lösung.

bei einer zweiten Regel die vorgeschalten ist ( höhere Prio ) und keine Bedingung funktioniert es.
Wenn ich aber die Bedingung auf eine IP reduziere scheint er es nicht zu verstehen und verwendet dann die zweite Richtlinie

2
3803037559
Lösung 3803037559 15.09.2022 aktualisiert um 13:03:10 Uhr
Goto Top
Die Bedingungsproperty für die SRC-IP ist IMHO eine andere (habe gerade kein Zugriff um nachzusehen).

Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.
Scrises
Lösung Scrises 15.09.2022 um 16:13:27 Uhr
Goto Top
Zitat von @3803037559:

Die Bedingungsproperty für die SRC-IP ist IMHO eine andere (habe gerade kein Zugriff um nachzusehen).

Ich würde auch mal prüfen ob der Client evt. über seine IPv6-Adresse reinkommt.

Hi Certguy,

Du hattest recht, die Info von welchem Client die Anmeldung kommt wird mit "Empfangs-ID" abgefragt. Leider funktioniert dies aber nur mit internen Adressen. IPs von Extern werden nicht übermittelt oder können ausgewertet werden.

Meine Lösung sieht daher wie folgt aus.

Ich habe ein zweites RD-GW installiert. Von der Firewall aus selektiere ich nun von welche IP die Anfrage kommt und schicke diese nun entweder zu GW extern oder GW intern.
Wenn die RDP-Anfrage nun über das zweite GW kommt, kann ich hier die IP in der Verbindungsanforderung aufgreifen und diese wiederum direkt zu den TS-Server durchreichen

11

Am Broker musste ich aber noch folgende Regel hinterlegen

3