Windows Server 2012 R2 Remote Desktop – Single Sign-On в RD Deployment


Как я писал ранее (Windows Server 2012 R2 Remote Desktop – теперь две модели), Windows Server 2012 R2 RDS имеет классическую модель, которая работает точно также как раньше, только не имеет GUI для настройки, и новую модель RD Deployment с новыми возможностями.

Это также касается SSO: вы можете использовать либо классический вариант, либо новый.

С практической точки зрения использовать классический вариант на Windows Server 2012 R2 не имеет смысла: выгоднее использовать серверы предыдущих версий 2008 R2. Смешивать оба варианта на Windows Server 2012 R2 также не имеет смысла как по затратам, так и из-за проблем, которые описаны ниже.

Поэтому рассматриваем только новую модель RDS.

Настройка SSO в RD Deployment

Официально описано в статье:

Remote Desktop Web Access single sign-on now easier to enable in Windows Server 2012

Все просто и работает «из коробки».

Единственное дополнительное действие – нужно настроить GPO для делегирования учетных данных: «Allow Delegating Default Credentials» в политике «Computer Configuration\Administrative Templates\System\Credentials Delegation«.

SSO работает отлично для Windows 7/8/8.1. Проверено с RDP 8/8.1. Проверка RDP 7 на Windows 7 не делалась, т.к. если вы используете Windows Server 2012 R2, то логично обновить клиента до последней версии и нет никаких оснований поступать иначе.

Внутренние технические подробности будут в другой статье.

Что с Windows XP?

Есть пара проблем. Windows XP не работает также удобно и прозрачно с RD Deployment как более старшие версии Windows 7 и Windows 8. И это невозможно исправить.

1.       Проблема 1 – NLA на Windows XP с RDP Cleint 6/7.0.

Теоретически нужно настроить CredSSP на Windows XP, но есть еще Проблема 2

2.       Проблема 2 – SSO. Теоретически нужно настроить CredSSP на Windows XP, но на практике клиент всегда выдает ошибку ‘unexpected server authentication certificate, т.к. первое обращение всегда идет на брокер, который имеет один сертификат, а сервер в коллекции, куда перенаправляется клиент, имеет другой сертификат.

Побороть это невозможно, т.к. это поведение клиента, а установить на XP клиента более старшей версии невозможно.

Зная внутренние механизмы работы этой кухни, могу сказать, что в некоторых частных случаях возможно минимизировать проблемы Windows XP (нужно настроить CredSSP и политику «Allow Default Credentials With NTLMonly Server Authentication«), но это неудобно в эксплуатации, не решает всех проблем, усложняет поиск неисправностей: лучше уж тогда использовать серверы предыдущих версий 2008 R2. А еще лучше заменить XP на Windows 7/8. Есть еще кое-что в аутентификации, но это, как уже сказал, будет другой статье.

Итоговое решение:

1.       Не настраивать CredSSP на Windows XP, при этом не работает SSO – пользователь каждый раз вводит пароль при подключении к коллекции.

2.       И как следствие нужно выключить NLA на всех Collection и на самих брокерах. Это никак не влияет на работу клиентов более высоких версий и на прозрачную аутентификацию, только понижает безопасность.

В частном случае можно задействовать неподдерживаемое решение: настроить CredSSP на Windows XP, GPO и подключаться без запроса учетных данных к одному серверу с Windows Server 2008/2008 R2 с установленным RDP 8.0/8.1, с которого уже стартовать браузер с сайтом RD Web и получать доступ к приложениям/коллекциям RD Deployment на Windows Server 2012 R2 через него.

Реклама

Один ответ

  1. […] Windows Server 2012 R2 Remote Desktop – Single Sign-On в RD Deployment […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: