Как я писал ранее (Windows Server 2012 R2 Remote Desktop – теперь две модели), Windows Server 2012 R2 RDS имеет классическую модель, которая работает точно также как раньше, только не имеет GUI для настройки, и новую модель RD Deployment с новыми возможностями.
Это также касается SSO: вы можете использовать либо классический вариант, либо новый.
С практической точки зрения использовать классический вариант на Windows Server 2012 R2 не имеет смысла: выгоднее использовать серверы предыдущих версий 2008 R2. Смешивать оба варианта на Windows Server 2012 R2 также не имеет смысла как по затратам, так и из-за проблем, которые описаны ниже.
Поэтому рассматриваем только новую модель RDS.
Настройка SSO в RD Deployment
Официально описано в статье:
Remote Desktop Web Access single sign-on now easier to enable in Windows Server 2012
Все просто и работает «из коробки».
Единственное дополнительное действие – нужно настроить GPO для делегирования учетных данных: «Allow Delegating Default Credentials» в политике «Computer Configuration\Administrative Templates\System\Credentials Delegation«.
SSO работает отлично для Windows 7/8/8.1. Проверено с RDP 8/8.1. Проверка RDP 7 на Windows 7 не делалась, т.к. если вы используете Windows Server 2012 R2, то логично обновить клиента до последней версии и нет никаких оснований поступать иначе.
Внутренние технические подробности будут в другой статье.
Что с Windows XP?
Есть пара проблем. Windows XP не работает также удобно и прозрачно с RD Deployment как более старшие версии Windows 7 и Windows 8. И это невозможно исправить.
1. Проблема 1 – NLA на Windows XP с RDP Cleint 6/7.0.
Теоретически нужно настроить CredSSP на Windows XP, но есть еще Проблема 2
2. Проблема 2 – SSO. Теоретически нужно настроить CredSSP на Windows XP, но на практике клиент всегда выдает ошибку ‘unexpected server authentication certificate‘, т.к. первое обращение всегда идет на брокер, который имеет один сертификат, а сервер в коллекции, куда перенаправляется клиент, имеет другой сертификат.
Побороть это невозможно, т.к. это поведение клиента, а установить на XP клиента более старшей версии невозможно.
Зная внутренние механизмы работы этой кухни, могу сказать, что в некоторых частных случаях возможно минимизировать проблемы Windows XP (нужно настроить CredSSP и политику «Allow Default Credentials With NTLM—only Server Authentication«), но это неудобно в эксплуатации, не решает всех проблем, усложняет поиск неисправностей: лучше уж тогда использовать серверы предыдущих версий 2008 R2. А еще лучше заменить XP на Windows 7/8. Есть еще кое-что в аутентификации, но это, как уже сказал, будет другой статье.
Итоговое решение:
1. Не настраивать CredSSP на Windows XP, при этом не работает SSO – пользователь каждый раз вводит пароль при подключении к коллекции.
2. И как следствие нужно выключить NLA на всех Collection и на самих брокерах. Это никак не влияет на работу клиентов более высоких версий и на прозрачную аутентификацию, только понижает безопасность.
В частном случае можно задействовать неподдерживаемое решение: настроить CredSSP на Windows XP, GPO и подключаться без запроса учетных данных к одному серверу с Windows Server 2008/2008 R2 с установленным RDP 8.0/8.1, с которого уже стартовать браузер с сайтом RD Web и получать доступ к приложениям/коллекциям RD Deployment на Windows Server 2012 R2 через него.
Filed under: Remote Desktop, Windows | Tagged: Remote Desktop, Windows |
ILYA Sazonov: ITPro 
[…] Windows Server 2012 R2 Remote Desktop – Single Sign-On в RD Deployment […]