Tham gia Đăng nhập
Điểm:1
Manu avatar Server

Apache Guacamole Đăng nhập với Người dùng từ DomainA, rdp đến Máy chủ từ DomainB

lá cờ us
Manu

Tổng quan

Chúng tôi đăng nhập vào Gucamole bằng Người dùng từ MiềnA nơi chúng tôi chọn kết nối thứ cấp với máy chủ từ MiềnB.

ủy thác

DomainA đến DomainB và ngược lại:

  • Loại: Bên Ngoài
  • Hỗ trợ mã hóa Kerberos AES: không
  • Hướng: hai chiều
  • Tính chuyển tiếp: không
  • Xác thực: Toàn miền

Quyền

Người dùng từ MiềnA đã được tham gia vào nhóm Người dùng Máy tính Từ xa cục bộ trên Máy chủ từ MiềnB. Tạm thời cũng đã thử với nhóm Quản trị viên cục bộ.

Guacamole

Toàn bộ thiết lập không phải do tôi thực hiện và tôi không có nhiều thông tin chi tiết vì nó được quản lý bởi một nhóm khác. Những gì tôi biết là nó hoạt động tốt với Người dùng từ DomainA đến Máy chủ từ DomainA. Người dùng đăng nhập bằng upn và sử dụng 2FA bằng OpenOTP. Nếu các bạn nghĩ rằng việc chia sẻ một số cấu hình của Guacamole sẽ hữu ích, hãy cho tôi biết những gì bạn muốn xem và tôi sẽ kiểm tra với nhóm.

Kết nối trên Guacamole

  • giao thức: rdp
  • tên máy chủ: ip của máy chủ từ DomainB
  • cổng: 3389
  • tên người dùng: ${GUAC_USERNAME}
  • mật khẩu: ${GUAC_PASSWORD}
  • miền: trống
  • Chế độ bảo mật: NLA
  • tắt xác thực: không
  • bỏ qua chứng chỉ máy chủ: có
  • mọi thứ khác được đặt thành mặc định/không được định cấu hình

Tất nhiên chúng tôi đã thử nhiều cài đặt khác nhau.

Triệu chứng

Bây giờ đây là những gì xảy ra.

  • Tôi đăng nhập vào Guacamole bằng Người dùng từ DomainA
  • nhận OpenOTP đẩy và xác nhận
  • Tôi đã đăng nhập vào Guacamole và chọn kết nối đến máy chủ của DomainB
  • nhận thông báo lỗi:

Máy chủ máy tính từ xa hiện không thể truy cập được. Nếu sự cố vẫn tồn tại, vui lòng thông báo cho quản trị viên hệ thống của bạn hoặc kiểm tra nhật ký hệ thống của bạn.

  • sau một vài lần thử lại, đôi khi tôi nhận được thông báo này:

Kết nối này đã bị đóng vì máy chủ mất quá nhiều thời gian để phản hồi. Điều này thường xảy ra do các sự cố mạng, chẳng hạn như tín hiệu không dây yếu hoặc tốc độ mạng chậm. Vui lòng kiểm tra kết nối mạng của bạn và thử lại hoặc liên hệ với quản trị viên hệ thống của bạn.

  • và bây giờ là phần thú vị khiến tôi phát điên: Tôi có thể đăng nhập vào máy chủ của DomainB bằng Người dùng từ DomainA thông qua rdp trực tiếp và nếu tôi làm như vậy, hãy giữ kết nối mở và bắt đầu kết nối trên Guacamole, tôi có thể tiếp quản phiên !!

Nhật ký

Nhật ký Guacamole hiển thị hoàn toàn không có gì hữu ích.

Nhật ký bảo mật Windows hiển thị sự kiện này trên lỗi đăng nhập:

ID sự kiện 4625, đăng nhập
Một tài khoản không đăng nhập được.

Vấn đề:
    ID bảo mật: NULL SID
    Tên tài khoản:       -
    Tên miền tài khoản: -
    ID đăng nhập: 0x0

Loại đăng nhập: 3

Tài khoản đăng nhập không thành công:
    ID bảo mật: NULL SID
    Tên tài khoản: Người dùng (chính xác)
    Tên miền tài khoản: DomainA (chính xác)

Thông tin thất bại:
    Lý do thất bại: Đã xảy ra lỗi trong quá trình đăng nhập.
    Trạng thái: 0xC000005E
    Trạng thái phụ: 0x0

Thông tin quy trình:
    ID tiến trình người gọi: 0x0
    Tên quy trình người gọi: -

Thông tin mạng:
    Tên máy trạm: f7054e3b9dd7
    Địa chỉ mạng nguồn: Guacamole-Server-IP
    Cổng nguồn: 0

Thông tin xác thực chi tiết:
    Quá trình đăng nhập: NtLmSsp 
    Gói xác thực: NTLM
    Dịch vụ chuyển tiếp: -
    Tên gói (chỉ dành cho NTLM): -
    Độ dài khóa: 0

Sự kiện này được tạo khi yêu cầu đăng nhập không thành công. Nó được tạo trên máy tính nơi truy cập đã được thử.

Các trường Chủ đề cho biết tài khoản trên hệ thống cục bộ đã yêu cầu đăng nhập. Đây thường là một dịch vụ chẳng hạn như dịch vụ Máy chủ hoặc quy trình cục bộ chẳng hạn như Winlogon.exe hoặc Services.exe.

Trường Loại đăng nhập cho biết loại đăng nhập đã được yêu cầu. Các loại phổ biến nhất là 2 (tương tác) và 3 (mạng).

Các trường Thông tin quy trình cho biết tài khoản và quy trình nào trên hệ thống đã yêu cầu đăng nhập.

Các trường Thông tin Mạng cho biết nơi bắt nguồn yêu cầu đăng nhập từ xa. Tên máy trạm không phải lúc nào cũng có sẵn và có thể để trống trong một số trường hợp.

Các trường thông tin xác thực cung cấp thông tin chi tiết về yêu cầu đăng nhập cụ thể này.
    - Các dịch vụ đã chuyển tiếp cho biết các dịch vụ trung gian nào đã tham gia vào yêu cầu đăng nhập này.
    - Tên gói cho biết giao thức phụ nào đã được sử dụng trong số các giao thức NTLM.
    - Độ dài khóa cho biết độ dài của khóa phiên được tạo. Giá trị này sẽ là 0 nếu không có khóa phiên nào được yêu cầu.

Xử lý sự cố

Tại thời điểm này, tôi không biết nên đặt trọng tâm tiếp theo của mình vào đâu. Chúng tôi đã thử nhiều cài đặt trên kết nối Guacamole rdp. Đã thực hiện rất nhiều nghiên cứu trực tuyến nhưng không thể tìm thấy các ví dụ có thông tin trong đó ai đó thử điều tương tự như chúng tôi. Vì rdp thông thường hoạt động tốt, chúng tôi nghĩ rằng sự tin tưởng và quyền của chúng tôi sẽ ổn.

Các bạn có thể cho tôi bất kỳ gợi ý nào mà tôi nên điều tra theo hướng nào không?

Có ai đó sử dụng Guacamole trong một thiết lập tương tự không?

Chỉnh sửa Thông tin Trình xem sự kiện bổ sung được đề xuất từ ​​Người dùng Swisstone:

RemoteDesktopServices-RdpCoreTS
08:38:23 Thông tin: Máy chủ đã chấp nhận kết nối TCP mới từ máy khách *Guacamole-IP*:53494.
08:38:23 Thông tin: Đã tạo kết nối RDP-Tcp#78 
08:38:23 Thông tin: Phương thức giao diện có tên: PrepareForAccept
08:38:23 Thông tin: Phương thức giao diện có tên: SendPolicyData
08:38:23 Thông tin: Phiên PerfCounter bắt đầu với phiên bản ID 78
08:38:23 Cảnh báo: Ổ cắm TCP đã bị chấm dứt một cách duyên dáng
08:38:23 Thông tin: Phương thức giao diện có tên: OnDisconnected
08:38:23 Thông tin: Máy chủ đã ngắt kết nối RDP chính với máy khách.
08:38:23 Thông tin: Trong quá trình kết nối này, máy chủ đã không gửi dữ liệu hoặc cập nhật đồ họa trong 0 giây (Idle1: 0, Idle2: 0).
08:38:23 Thông tin: Kênh rdpinpt giữa máy chủ và máy khách trên đường hầm truyền tải đã bị đóng: 0.
08:38:23 Thông tin: Kênh rdpcmd đã bị đóng giữa máy chủ và máy khách trên đường hầm vận chuyển: 0.
08:38:23 Thông tin: Kênh rdplic đã bị đóng giữa máy chủ và máy khách trên đường hầm truyền tải: 0.
08:38:23 Thông tin: Lý do mất kết nối là 14

TerminalServices-LocalSessionManager
không có gì trong thời gian này

TerminalServices-RemoteConnectionManager
không có gì trong thời gian này

Quên đề cập, Máy chủ là Phiên bản 2019 1809

Chỉnh sửa2

Ok, tôi đã làm cho nó hoạt động bằng cách thay đổi chế độ bảo mật trên kết nối thành tls. Tôi nhớ đã thử tls trước khi nó không hoạt động. Có thể một số thay đổi tôi đã thực hiện trong toàn bộ quá trình khắc phục sự cố đã tạo ra sự khác biệt. Đến bây giờ tôi không thể nói nó là gì.

Tôi đã tìm đến "giải pháp" này bằng cách thử ngẫu nhiên các tùy chọn khác nhau để kết nối bằng freerdp sau khi tôi phát hiện ra rằng nó được guacamole sử dụng cho các kết nối thứ cấp.

Có ai đó thấy bất kỳ mối quan tâm nào khi sử dụng tls thay vì nla trong trường hợp này không?

1685
1 + 2
Swisstone avatar
lá cờ cn
Swisstone
Bạn có thể xem các nhật ký sau trên máy chủ mục tiêu và xem liệu bạn có thể tìm thấy điều gì hữu ích không: Trình xem sự kiện -> Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> `RemoteDesktopServices-RdpCoreTS` và `TerminalServices-LocalSessionManager` và `TerminalServices-RemoteSessionManager`
1
Hồi đáp
Manu avatar
lá cờ us
Manu
@Swisstone, đã thêm Sự kiện trong khi thử đăng nhập. Tất cả chúng đều thuộc danh mục nhiệm vụ "Mô-đun RemoteFX", sẽ tìm hiểu sâu hơn về điều này. Cảm ơn!
0
Hồi đáp
Điểm:2
Manu avatar Server
lá cờ us
Manu

Tôi đã có toàn bộ công việc phù hợp với mình và ở đây là kết luận về thông tin tôi đã thu thập theo cách này:

Lòng tin

Trust như được đăng trong câu hỏi của tôi chỉ hoạt động tốt cho mục đích này. Tôi chắc rằng một số tùy chọn khác cũng sẽ hoạt động.

Quyền

Người dùng trong DomainA là thành viên của UniversalGroup của DomainA. UniversalGroup này là thành viên của LocalGroup trong DomainB là thành viên của Nhóm quản trị viên cục bộ của Máy chủ đích.

Guacamole

Chúng tôi sử dụng upn để đăng nhập, đã thiết lập kết nối như sau:

giao thức: rdp
tên máy chủ: ip của máy chủ từ DomainB
cổng: 3389
tên người dùng: ${GUAC_USERNAME}
mật khẩu: ${GUAC_PASSWORD}
miền: trống
chế độ bảo mật: tls
tắt xác thực: không
bỏ qua chứng chỉ máy chủ: có
mọi thứ khác được đặt thành mặc định/không được định cấu hình

Mạng

Đảm bảo rằng các kết nối giữa các Bộ điều khiển miền được cho phép: Cách định cấu hình tường lửa cho miền Active Directory và độ tin cậy

Nếu bạn muốn duyệt GC của DomainA từ Máy chủ của DomainB, hãy cho phép các cổng LDAP cho kết nối này.

Tôi vẫn chưa biết

Nếu NLA sẽ là một lợi thế và làm thế nào tôi sẽ làm cho nó hoạt động.

Hiện tại tôi sẽ giữ nguyên như vậy.

Chỉnh sửa

Bây giờ tôi khá chắc chắn rằng tôi cần một ủy thác rừng để sử dụng NLA theo cách tôi cố gắng đăng nhập vào máy chủ (UPN)

Chỉnh sửa2

Bây giờ tôi chắc chắn 100% rằng tôi cần có sự tin tưởng của Forest đối với RDP với NLA bằng UPN. Tìm thấy một, thử nghiệm, làm việc.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.