NLA schlägt bei RDP Verbindung fehl, wenn nur ein RODC verfügbar ist

SDVTME 0 Zuverlässigkeitspunkte
2024-10-16T08:16:19.1766667+00:00

Hallo,

wir haben bei uns angefangen, die Client- und Terminalservernetzwerke von den Servern abzutrennen.

In diesem Zuge haben wir auch einen RODC bereitsgestellt, über den die Anmeldung der Clients laufen soll. Die lokale Anmeldung an den Clients funktioniert auch ohne Probleme. Sobald man allerdings versucht, sich per Remote Desktop mit einem der Terminalserver zu verbinden, schlägt diese Verbindung fehl, weil NLA nicht verfügbar ist.

Wenn wir die entsprechenden Ports in der Firewall auf einen unserer DCs freigeben, funktioniert die RDP Verbindung problemlos.

Deshalb fragen wir uns aktuell, ob wir noch etwas an der Konfiguration anpassen müssen, damit NLA auch über den RODC funktioniert, oder ob hier immer der Zugriff auf einen normalen DC stattfinden muss.

Macht ein RODC in dieser Konstellation überhaupt Sinn?

Windows Server
Windows Server
Eine Familie von Microsoft-Serverbetriebssystemen, die die Verwaltung, Datenspeicherung, Anwendungen und Kommunikation unternehmensweit unterstützen.
23 Fragen
Active Directory
Active Directory
Eine Reihe verzeichnisbasierter Technologien, die in Windows Server enthalten sind
27 Fragen
0 Kommentare Keine Kommentare
{count} Stimmen

2 Antworten

Sortieren nach: Am hilfreichsten
  1. Daisy Zhou 25,911 Zuverlässigkeitspunkte Microsoft-Anbieter
    2024-10-16T11:10:07.1166667+00:00

    Hallo

    Vielen Dank für Ihren Beitrag im Q&A-Forum.

    Sie können versuchen, Domänencomputer (Server oder Clients) am RODC-Standort anzumelden, und dann überprüfen, ob das gleiche Problem vorliegt.

    Sie können auch festlegen, dass das Benutzerkennwort und das Kennwort des Domänencomputers, das Sie verwenden, auf RODC repliziert werden.

    Referenz.

    https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/understanding-8220-read-only-domain-controller-8221/ba-p/395031

    Wenn es oben nicht funktioniert,Ein RODC (schreibgeschützter Domänencontroller) wird in der Regel in Szenarien verwendet, in denen eine erhöhte Sicherheit erforderlich ist, z. B. in Zweigstellen oder an Standorten mit schwächerer physischer Sicherheit. Sie bieten mehrere Vorteile, sind aber auch mit Einschränkungen verbunden, insbesondere da sie bestimmte Vorgänge nicht ausführen können, die einen beschreibbaren Zugriff oder interaktive Funktionen erfordern, die normalerweise von einem beschreibbaren DC (Domain Controller) verarbeitet werden.

    Aus Ihrer Beschreibung geht hervor, dass das Problem mit der Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) für RDP-Verbindungen (Remote Desktop Protocol) zusammenhängt. NLA verbessert die Sicherheit, indem es erfordert, dass der Benutzer beim Remotecomputer authentifiziert wird, bevor eine Sitzung eingerichtet wird, was in der Regel die Interaktion mit einem beschreibbaren Domänencontroller erfordert.

    Hier sind einige Überlegungen und Schritte, die Sie unternehmen können:

    1. RODC-Einschränkungen: RODCs können bestimmte Authentifizierungsanforderungen, die einen beschreibbaren Domänencontroller erfordern, nicht verarbeiten, was möglicherweise der Grund dafür ist, dass NLA fehlschlägt. In der Regel erfordert NLA Zugriff auf einen beschreibbaren Domänencontroller, um Anmeldeinformationen und Sicherheitsrichtlinien zu überprüfen.
    2. Firewall-Konfiguration: Da Sie festgestellt haben, dass das Öffnen der entsprechenden Ports in der Firewall für einen beschreibbaren DC das Problem behebt, deutet dies darauf hin, dass die RDP-Sitzung Zugriff auf den beschreibbaren DC für NLA und andere Authentifizierungsprozesse erfordert.
    3. NLA und RODC: Leider sind RODCs schreibgeschützt und unterstützen die interaktiven Anmelde- und Authentifizierungsprozesse, die für NLA erforderlich sind, nicht vollständig. Dies bedeutet, dass die NLA-Authentifizierung nicht vollständig auf einen RODC ausgelagert werden kann und stattdessen Kontakt mit einem beschreibbaren DC erfordert.
    4. Ändern der Firewall-Regeln: Erwägen Sie die Änderung der Firewall-Regeln, um die erforderlichen Ports für die NLA-Kommunikation mit beschreibbaren DCs zuzulassen und gleichzeitig die allgemeine Netzwerksicherheit zu gewährleisten.

    Ich hoffe, die obigen Informationen sind hilfreich.

    Wenn Sie Fragen oder Bedenken haben, können Sie uns dies gerne mitteilen.

    Alles Gute

    Gänseblümchen Zhou

    ============================================

    Wenn die Antwort hilfreich ist, klicken Sie bitte auf "Antwort akzeptieren" und stimmen Sie der Antwort zu.

    0 Kommentare Keine Kommentare

  2. SDVTME 0 Zuverlässigkeitspunkte
    2024-10-21T07:04:05.49+00:00

    Die Kennwortreplikation hatten wir bereits aktiviert. Diese brachte keine Veränderung.

    Für uns bedeutet das also, dass wir immer einen beschreibbaren DC bereitstellen müssen, wenn wir NLA nutzen wollen.

    Ist ein RODC in dieser Umgebung dann überhaupt noch sinnvoll, wenn er uns keine zusätzliche Sicherheit bietet?

    0 Kommentare Keine Kommentare

Ihre Antwort

Fragesteller*innen können Antworten als akzeptierte Antworten markiert werden, wodurch Benutzer*innen wissen, dass diese Antwort das Problem gelöst hat.