4
RDP, NLA od. NTLM Frage!
Hi,
wer kennt sich hier sehr gut mit RDP und den Authentifizierungen die damit einhergehen aus?
Ich möchte gerne wissen wie es funktioniert wenn man eine gemischte Infrastruktur hat mit Linux und Windows Geräten, Windows Geräten die in der Domäne sind und welche nicht.
zB.: Wie funktioniert die Authentifizierung zwischen einem Gerät das in der Domäne ist und sich auf einen PC der nicht in der Domäne ist, verbinden möchte!?
Wer entscheidet ob eine RDP Verbindung aufgebaut werden darf? (Meiner Meinung sollte das doch immer das Ziel entscheiden müssen/dürfen).
Also was wenn ein Rechner nicht in der Domäne ist, dann müsste es ja sofern dieser RDP zulässt, immer funktionieren, egal was die Gegenseite hat?
Und wie löst man es am besten wenn sich Linux Geräte (keine Domäne) per RDP auf Windows Geräte (domäne) verbinden müssen aber NTLM deaktiviert sein soll!?
Und wozu braucht man die Option "NLA" die es bei dem RDP-client von microsoft gibt.
wer kennt sich hier sehr gut mit RDP und den Authentifizierungen die damit einhergehen aus?
Ich möchte gerne wissen wie es funktioniert wenn man eine gemischte Infrastruktur hat mit Linux und Windows Geräten, Windows Geräten die in der Domäne sind und welche nicht.
zB.: Wie funktioniert die Authentifizierung zwischen einem Gerät das in der Domäne ist und sich auf einen PC der nicht in der Domäne ist, verbinden möchte!?
Wer entscheidet ob eine RDP Verbindung aufgebaut werden darf? (Meiner Meinung sollte das doch immer das Ziel entscheiden müssen/dürfen).
Also was wenn ein Rechner nicht in der Domäne ist, dann müsste es ja sofern dieser RDP zulässt, immer funktionieren, egal was die Gegenseite hat?
Und wie löst man es am besten wenn sich Linux Geräte (keine Domäne) per RDP auf Windows Geräte (domäne) verbinden müssen aber NTLM deaktiviert sein soll!?
Und wozu braucht man die Option "NLA" die es bei dem RDP-client von microsoft gibt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3336130520
Url: https://administrator.de/contentid/3336130520
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
4 Kommentare
Neuester Kommentar
@Shepherd81:
Hallo.
Domäne oder nicht ist - in beide Richtungen und wechselweise - erstmal völlig wurscht, solange der Zugreifende die notwendigen Anmeldecredentials des Ziel-PC, auf den er zugreifen will, kennt.
Wenn also physische Verbindung besteht und der Zugreifende einen Anmeldeprompt bekommt, kann er sich anmelden, wenn er die dazu notwendigen Anmeldeinformation hat (diese müssen natürlich von einem User sein, der sich wirklich am Ziel-PC anmelden darf, der Ziel-PC muß RDP-Zugriff aktiviert haben usw. usf.). Ebenso bei Servern. Besonderheiten gibt's da höchstens bei echten RD-/Terminalservern (RDS-Lizensierung). Wie der physische Zugriff - die Verbindung - erlangt wurde, ist ebenfalls egal (VPN, zertifikatbasierender RDS-Brokerzugriff u. v. w. m.).
Natürlich kann am Ziel-PC od. -Server mit den RDP-Zugriffsberechtigungen gespielt werden, zum Beispiel kann eingestellt werden, daß nur einzelne od. eine Gruppe von Usern RDP-zugriffsberechtigt sind, da können dann auch, wenn man das will, ausschließlich Domänen-User oder Domänen-Usergruppen ausgewählt werden. Jedoch keine Domänengeräte.
Viele Grüße
von
departure69
Hallo.
Domäne oder nicht ist - in beide Richtungen und wechselweise - erstmal völlig wurscht, solange der Zugreifende die notwendigen Anmeldecredentials des Ziel-PC, auf den er zugreifen will, kennt.
Wenn also physische Verbindung besteht und der Zugreifende einen Anmeldeprompt bekommt, kann er sich anmelden, wenn er die dazu notwendigen Anmeldeinformation hat (diese müssen natürlich von einem User sein, der sich wirklich am Ziel-PC anmelden darf, der Ziel-PC muß RDP-Zugriff aktiviert haben usw. usf.). Ebenso bei Servern. Besonderheiten gibt's da höchstens bei echten RD-/Terminalservern (RDS-Lizensierung). Wie der physische Zugriff - die Verbindung - erlangt wurde, ist ebenfalls egal (VPN, zertifikatbasierender RDS-Brokerzugriff u. v. w. m.).
Natürlich kann am Ziel-PC od. -Server mit den RDP-Zugriffsberechtigungen gespielt werden, zum Beispiel kann eingestellt werden, daß nur einzelne od. eine Gruppe von Usern RDP-zugriffsberechtigt sind, da können dann auch, wenn man das will, ausschließlich Domänen-User oder Domänen-Usergruppen ausgewählt werden. Jedoch keine Domänengeräte.
Viele Grüße
von
departure69
1
Ok, leider beantwortet das nur zum Teil meine Fragen.
Wir haben Szenarien wo NTLM deaktiviert sein muss und wir trotzdem von Domänen Rechnern auf Nicht Domänen Rechner zugreifen und nur wenn dort NLA deaktiviert ist, dann geht es wieder.
Wäre aber eine Option mit aktivem NLA nicht sicherer und besser?
Was ist in solchen Fällen die sicherste Lösung wenn man von NTLM weg will aber nicht einfach so alle Geräte in eine Domäne einhängen kann!?
Was für Lösungsansätze gibt es bzw. wie wichtig is diese NLA option?
Wir haben Szenarien wo NTLM deaktiviert sein muss und wir trotzdem von Domänen Rechnern auf Nicht Domänen Rechner zugreifen und nur wenn dort NLA deaktiviert ist, dann geht es wieder.
Wäre aber eine Option mit aktivem NLA nicht sicherer und besser?
Was ist in solchen Fällen die sicherste Lösung wenn man von NTLM weg will aber nicht einfach so alle Geräte in eine Domäne einhängen kann!?
Was für Lösungsansätze gibt es bzw. wie wichtig is diese NLA option?
Zitat von @Shepherd81:
Und wozu braucht man die Option "NLA" die es bei dem RDP-client von microsoft gibt.
Mal hier anfangen https://en.wikipedia.org/wiki/Network_Level_Authenticationhttps://rmm.datto.com/help/en/Content/5AGENT/NetworkLevelAuthentication. ...
https://kb.parallels.com/en/123661
Oder meintest du dieses NLA https://docs.microsoft.com/en-us/windows/win32/winsock/network-location- ...
https://www.borncity.com/blog/2018/04/10/achtung-bei-linux-rdp-verbindun ...
https://serverfault.com/questions/155629/remote-desktop-from-linux-to-co ...
https://github.com/rdesktop/rdesktop/issues/279
https://www.linuxquestions.org/questions/linux-networking-3/which-rdp-cl ...
https://linuxkamarada.com/en/2020/04/20/remote-desktop-connection-to-win ...
https://access.redhat.com/solutions/6177942
https://forum.devolutions.net/topics/35805/rdp-on-windows-is-working-on- ...
https://www.parallels.com/de/blogs/netzwerk-level-authentifizierung-deak ...
https://en.wikibooks.org/wiki/Windows_Troubleshooter_Guide/Network_Locat ...
Manchmal hilft aber auch http://nla.com.gh/
Gruß,
Peter
1Zitat von @Pjordorf:
https://rmm.datto.com/help/en/Content/5AGENT/NetworkLevelAuthentication. ...
https://kb.parallels.com/en/123661
Oder meintest du dieses NLA https://docs.microsoft.com/en-us/windows/win32/winsock/network-location- ...
https://www.borncity.com/blog/2018/04/10/achtung-bei-linux-rdp-verbindun ...
https://serverfault.com/questions/155629/remote-desktop-from-linux-to-co ...
https://github.com/rdesktop/rdesktop/issues/279
https://www.linuxquestions.org/questions/linux-networking-3/which-rdp-cl ...
https://linuxkamarada.com/en/2020/04/20/remote-desktop-connection-to-win ...
https://access.redhat.com/solutions/6177942
https://forum.devolutions.net/topics/35805/rdp-on-windows-is-working-on- ...
https://www.parallels.com/de/blogs/netzwerk-level-authentifizierung-deak ...
https://en.wikibooks.org/wiki/Windows_Troubleshooter_Guide/Network_Locat ...
Manchmal hilft aber auch http://nla.com.gh/
Gruß,
Peter
Zitat von @Shepherd81:
Und wozu braucht man die Option "NLA" die es bei dem RDP-client von microsoft gibt.
Mal hier anfangen https://en.wikipedia.org/wiki/Network_Level_Authenticationhttps://rmm.datto.com/help/en/Content/5AGENT/NetworkLevelAuthentication. ...
https://kb.parallels.com/en/123661
Oder meintest du dieses NLA https://docs.microsoft.com/en-us/windows/win32/winsock/network-location- ...
https://www.borncity.com/blog/2018/04/10/achtung-bei-linux-rdp-verbindun ...
https://serverfault.com/questions/155629/remote-desktop-from-linux-to-co ...
https://github.com/rdesktop/rdesktop/issues/279
https://www.linuxquestions.org/questions/linux-networking-3/which-rdp-cl ...
https://linuxkamarada.com/en/2020/04/20/remote-desktop-connection-to-win ...
https://access.redhat.com/solutions/6177942
https://forum.devolutions.net/topics/35805/rdp-on-windows-is-working-on- ...
https://www.parallels.com/de/blogs/netzwerk-level-authentifizierung-deak ...
https://en.wikibooks.org/wiki/Windows_Troubleshooter_Guide/Network_Locat ...
Manchmal hilft aber auch http://nla.com.gh/
Gruß,
Peter
Hey Peter! Cool! Danke für die Links. Hab mich da ein bisschen durchgelesen. Viel gutes Zündstoff dabei.
Jetzt meine einfache Frage:
Wenn man NTLM deaktiviert und NLA aktiviert haben möchte (weil ja wirklich wichtig).
Was ist die einfachste aber dennoch sicherste Methode um einen RDP Zugriff von Domänen-Rechnern auf "nicht-domänen-Rechner" zu ermöglichen?
Muss man dafür einen KDC Server installieren und konfigurieren oder was genau macht man da?
Weil ohne NTLM kommen wir momentan nicht mehr auf nicht domänen rechner und umgekehrt sobald NLA aktiviert ist.
LG,
Shepherd
