Force Network Layer Authentication

Темы, которые не попадают в остальные категории.
Ответить
headcraft
Сообщения: 4
Зарегистрирован: Вт окт 06, 2020 10:52 am

Force Network Layer Authentication

Сообщение headcraft »

Доброго времени суток!
Можно ли как то wtware указать форсировано использовать NLA при подключении к терминальному серверу который умеет работать с NLA и без NLA? У нас в продукции на сервере снята галочка "Require user authentication for remote connections by using Network Level Authentication".

но если клиент указывает в файле .rdp параметр "enablecredsspsupport:i:1", то используется NLA. Нам он очень нужен для правильной балансировке нагрузки через брокера, чтобы не ломались UPD профиля.

Примеры лога без обязательного NLA:

[ pfac] [ 9904.124474] Run /sbin/rdpclient 1.
[ gm] [ 9904.124481] Run '/sbin/rdpclient 1', log '/tmp/rdpclient.out', env '', pid ''.
[ pfac] [ 9904.124502] Ok, PID 2031.
[rdpclient 2031] [ 9904.125734] RDP Terminal Client, WTware 6.0.12, pipe 1, pid 2031.
[rdpclient 2031] [ 9904.126084] Use /lib/ui16.so.
[rdpclient 2031] [ 9904.126188] Make RDP session with 192.168.0.119, port 3389.
[rdpclient 2031] [ 9904.126213] Username: "testuser".
[rdpclient 2031] [ 9904.126232] Password: present.
[rdpclient 2031] [ 9904.126248] No PIN.
[rdpclient 2031] [ 9904.126267] Domain: "testdomain".
[rdpclient 2031] [ 9904.126284] No shell.
[rdpclient 2031] [ 9904.126300] No directory.
[rdpclient 2031] [ 9904.126314] Window: 1216x1024@16.
[rdpclient 2031] [ 9904.126324] PFlags 0x000001AE.
[rdpclient 2031] [ 9904.126334] Keyboard 00010426:00000426.
[rdpclient 2031] [ 9904.126345] My hostname "tc-test".
[rdpclient 2031] [ 9904.126374] TCP: connecting to 192.168.0.119:3389.
[rdpclient 2031] [ 9904.127087] TCP: connection with 192.168.0.119:3389 established.
[rdpclient 2031] [ 9904.127143] Turn keepalive on.
[rdpclient 2031] [ 9904.127285] Free ram after buffers allocation: 2920040 KB.
[rdpclient 2031] [ 9904.127306] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 2031] [ 9904.138986] Server supports GFX Pipeline.
[rdpclient 2031] [ 9904.142283] Process RDP server certificate.
[rdpclient 2031] [ 9904.142307] RDP4 encryption.
[rdpclient 2031] [ 9904.145205] Enable font smoothing and Desktop Composition.
[rdpclient 2031] [ 9904.326755] GFX codec.
[rdpclient 2031] [ 9904.334366] Graphics output buffer 1216x1024, 1 monitors.
[rdpclient 2031] [ 9904.334405] Monitor 0: 0.0-1215.1023 primary.
[rdpclient 2031] [ 9905.327280] Run 3 tile threads.

В итоге клиент пытается залогинится в брокера, игнорируя redirect packet

Пример подключения к серверу где обязателен NLA:

pfac] [ 72.412223] Run /sbin/rdpclient 1.
[ gm] [ 72.412230] Run '/sbin/rdpclient 1', log '/tmp/rdpclient.out', env '', pid ''.
[ pfac] [ 72.412251] Ok, PID 1236.
[rdpclient 1236] [ 72.413479] RDP Terminal Client, WTware 6.0.12, pipe 1, pid 1236.
[rdpclient 1236] [ 72.413821] Use /lib/ui16.so.
[rdpclient 1236] [ 72.413941] Make RDP session with 192.168.0.137, port 3389.
[rdpclient 1236] [ 72.413962] Username: "testuser".
[rdpclient 1236] [ 72.413976] Password: present.
[rdpclient 1236] [ 72.413993] No PIN.
[rdpclient 1236] [ 72.414008] Domain: "testdomain".
[rdpclient 1236] [ 72.414025] No shell.
[rdpclient 1236] [ 72.414039] No directory.
[rdpclient 1236] [ 72.414050] Window: 1216x1024@16.
[rdpclient 1236] [ 72.414062] PFlags 0x000001AE.
[rdpclient 1236] [ 72.414073] Keyboard 00010426:00000426.
[rdpclient 1236] [ 72.414086] My hostname "tc-test".
[rdpclient 1236] [ 72.414095] TCP: connecting to 192.168.0.137:3389.
[rdpclient 1236] [ 72.414846] TCP: connection with 192.168.0.137:3389 established.
[rdpclient 1236] [ 72.414886] Turn keepalive on.
[rdpclient 1236] [ 72.415048] Free ram after buffers allocation: 2963320 KB.
[rdpclient 1236] [ 72.415073] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 1236] [ 72.429252] Reconnect with NLA enabled.
[rdpclient 1236] [ 72.429278] TCP: reconnecting to 192.168.0.137:3389.
[rdpclient 1236] [ 72.429550] TCP: connection with 192.168.0.137:3389 established.
[rdpclient 1236] [ 72.429578] Turn keepalive on.
[rdpclient 1236] [ 72.429591] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 1236] [ 72.433932] Server supports GFX Pipeline.
[rdpclient 1236] [ 72.433963] NLA.
[rdpclient 1236] [ 72.433983] SSL/TLS.


wtwawre тут сразу переключается на NLA и всё работает как доктор прописал.
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Force Network Layer Authentication

Сообщение aka »

headcraft писал(а): Вт окт 06, 2020 10:58 am Нам он очень нужен для правильной балансировке нагрузки через брокера, чтобы не ломались UPD профиля.
Не понял. Можно подробнее, что именно ломается, когда подключаешься без NLA, и как это увидеть?
headcraft писал(а): Вт окт 06, 2020 10:58 am [rdpclient 2031] [ 9904.126188] Make RDP session with 192.168.0.119, port 3389.
..
[rdpclient 2031] [ 9904.127306] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 2031] [ 9904.142307] RDP4 encryption.

В итоге клиент пытается залогинится в брокера, игнорируя redirect packet
Здесь нет redirect пакета. Сказано подключаться к .119, оно туда и подключается.
headcraft писал(а): Вт окт 06, 2020 10:58 am Пример подключения к серверу где обязателен NLA:
[rdpclient 1236] [ 72.413941] Make RDP session with 192.168.0.137, port 3389.
..
[rdpclient 1236] [ 72.414095] TCP: connecting to 192.168.0.137:3389.
[rdpclient 1236] [ 72.414846] TCP: connection with 192.168.0.137:3389 established.
..
[rdpclient 1236] [ 72.429252] Reconnect with NLA enabled.
[rdpclient 1236] [ 72.429278] TCP: reconnecting to 192.168.0.137:3389.
[rdpclient 1236] [ 72.429550] TCP: connection with 192.168.0.137:3389 established.

wtwawre тут сразу переключается на NLA и всё работает как доктор прописал.
Покажите мне проблему, которую это решит. Принципиальных сложностей нет, но это лишинй параметр в конфиге, лишняя настройка в конфигураторе, чтобы этим заниматься, хотелось бы понимать решаемую проблему.
headcraft
Сообщения: 4
Зарегистрирован: Вт окт 06, 2020 10:52 am

Re: Force Network Layer Authentication

Сообщение headcraft »

Имеется 3 сервера терминальной фермы с коллекцией под названием "Office_RDS_Colle":
1. Windows Server 2019 Remote Desktop Connection Broker (192.168.0.119) - логины запрещены
2. Windows Server 2019 Remote Desktop Session Host (192.168.0.120) - балансировка нагрузки через брокера
3. Windows Server 2019 Remote Desktop Session Host (192.168.0.121) - балансировка нагрузки через брокера

Мы отказались от использования "Roaming Profile" в пользу "User Profile Disk", что идёт с 2012 сервера. И вот тут кроется ложка дёгтя.
Если мы подключаемся без NLA на 192.168.0.120, видим экран логина виндоус, вводим пользователя и пароль, нажимаем Enter, брокер изза балансировки нас перенаправляет на 192.168.0.121 где мы опять видим экран логина виндоус, мы повторно вводим логин и пароль и в этом случае мы логинимся в TEMPORARY PROFILE. Это происходит изза того, что после первого ввода логина и пароля, диск vhdx монтируется на 192.168.0.120. В этот момент нас перенаправляет балансировщик на 192.168.0.121, и диск уже не может замонтироватся, поскольку он залочен и всё ещё смонтирован на том сервере. Профиль не может загрузится, всё ломается. Эта проблема существует с 2012 сервера, майкрософт исправлять её не спешит как и признавать. Информации на этот счёт мало, но проблема есть только тогда, когда клиент соединяется без NLA (credssp).

Чтобы не было вышеуказанной проблемы, мы изменили всем виндовым машинам файлик .rdp так, чтобы они соединялись сразу на брокера с указанием loadbalanceinfo (без nla этот параметр безполезен, кака я понял), чтобы он перенаправил сразу на нужный сервер без лишнего ввода пароля:

full address:s:192.168.0.119
use redirection server name:i:1
loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.Office_RDS_Colle
enablecredsspsupport:i:1

Поскольку мы не можем себе позволить убрать Password expiration (из-за аудита), мы оставляем лазейку для пользователей, чтобы они будучи удалённо, могли поменять себе истёкший пароль, подключившись без nla. Для этого кладём в документы отдельный файлик на этот случай:

full address:s:192.168.0.119
enablecredsspsupport:i:0

Что касается wtware, хотелось бы сделать по аналогии, но через опцию "next screen". В одном виртуальном десктопе с nla, в другом без. Знаю, это огромный костыль, но нам майкрософт не оставляет других вариантов. Может есть лучшее решение которое я не вижу.

Лог wtware если на сервере убрать параметр "Require user authentication for remote connections by using Network Level Authentication" при подключении к брокеру:

[rdpclient 22751] [266547.520805] RDP Terminal Client, WTware 6.0.12, pipe 19, pid 22751.
[rdpclient 22751] [266547.521161] Use /lib/ui16.so.
[rdpclient 22751] [266547.521288] Make RDP session with 192.168.0.119, port 3389.
[rdpclient 22751] [266547.521309] Username: "testuser".
[rdpclient 22751] [266547.521326] Password: present.
[rdpclient 22751] [266547.521341] No PIN.
[rdpclient 22751] [266547.521358] Domain: "testdomain".
[rdpclient 22751] [266547.521376] No shell.
[rdpclient 22751] [266547.521394] No directory.
[rdpclient 22751] [266547.521406] Window: 1216x1024@16.
[rdpclient 22751] [266547.521418] PFlags 0x000001AE.
[rdpclient 22751] [266547.521429] Keyboard 00010426:00000426.
[rdpclient 22751] [266547.521440] My hostname "tc-test".
[rdpclient 22751] [266547.521452] TCP: connecting to 192.168.0.119:3389.
[rdpclient 22751] [266547.522274] TCP: connection with 192.168.0.119:3389 established.
[rdpclient 22751] [266547.522330] Turn keepalive on.
[rdpclient 22751] [266547.522476] Free ram after buffers allocation: 2965376 KB.
[rdpclient 22751] [266547.522490] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 22751] [266547.535366] Server supports GFX Pipeline.
[rdpclient 22751] [266547.538585] Process RDP server certificate.
[rdpclient 22751] [266547.538611] RDP4 encryption.
[rdpclient 22751] [266547.541165] Enable font smoothing and Desktop Composition.
[rdpclient 22751] [266547.691924] GFX codec.
[rdpclient 22751] [266547.699291] Graphics output buffer 1216x1024, 1 monitors.
[rdpclient 22751] [266547.699327] Monitor 0: 0.0-1215.1023 primary.
[rdpclient 22751] [266548.467361] Run 3 tile threads.

Лог wtware если на сервере выставить параметр "Require user authentication for remote connections by using Network Level Authentication" при подключении к брокеру:

[rdpclient 22762] [266592.249508] RDP Terminal Client, WTware 6.0.12, pipe 20, pid 22762.
[rdpclient 22762] [266592.249828] Use /lib/ui16.so.
[rdpclient 22762] [266592.249943] Make RDP session with 192.168.0.119, port 3389.
[rdpclient 22762] [266592.249964] Username: "testuser".
[rdpclient 22762] [266592.249976] Password: present.
[rdpclient 22762] [266592.249993] No PIN.
[rdpclient 22762] [266592.250010] Domain: "testdomain".
[rdpclient 22762] [266592.250028] No shell.
[rdpclient 22762] [266592.250043] No directory.
[rdpclient 22762] [266592.250052] Window: 1216x1024@16.
[rdpclient 22762] [266592.250063] PFlags 0x000001AE.
[rdpclient 22762] [266592.250073] Keyboard 00010426:00000426.
[rdpclient 22762] [266592.250082] My hostname "tc-test".
[rdpclient 22762] [266592.250092] TCP: connecting to 192.168.0.119:3389.
[rdpclient 22762] [266592.250793] TCP: connection with 192.168.0.119:3389 established.
[rdpclient 22762] [266592.250848] Turn keepalive on.
[rdpclient 22762] [266592.250993] Free ram after buffers allocation: 2965864 KB.
[rdpclient 22762] [266592.251016] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 22762] [266592.263213] Reconnect with NLA enabled.
[rdpclient 22762] [266592.263236] TCP: reconnecting to 192.168.0.119:3389.
[rdpclient 22762] [266592.263770] TCP: connection with 192.168.0.119:3389 established.
[rdpclient 22762] [266592.263791] Turn keepalive on.
[rdpclient 22762] [266592.263803] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 22762] [266592.276315] Server supports GFX Pipeline.
[rdpclient 22762] [266592.276352] NLA.
[rdpclient 22762] [266592.276374] SSL/TLS.
[rdpclient 22762] [266592.311940] Enable font smoothing and Desktop Composition.
[rdpclient 22762] [266592.485987] Server Redirection flags 0x00000b0d.
[rdpclient 22762] [266592.486058] Server 192.168.0.120.
[rdpclient 22762] [266592.486094] User "TestUser".
[rdpclient 22762] [266592.486126] Domain "TESTDOMAIN".
[rdpclient 22762] [266592.486157] Send Disconnect Provider Ultimatum.
[ gm] [266592.493760] TSClient (sessionId 20, pid 22762) gracefully end.
[ gm] [266592.493870] Free ram before fork terminal client /sbin/rdpclient (session 21): 2965580 Kb.
[ gm] [266592.493964] Run '/sbin/rdpclient 21', log '/tmp/rdpclient.out', env '', pid ''.
[ pfac] [266592.494016] Run /sbin/rdpclient 21.
[ pfac] [266592.494111] Ok, PID 22763.
[ pfac] [266592.494250] Process pid 22762 terminated, status 00000009.
[rdpclient 22763] [266592.495352] RDP Terminal Client, WTware 6.0.12, pipe 21, pid 22763.
[rdpclient 22763] [266592.495473] Use /lib/ui16.so.
[rdpclient 22763] [266592.495587] Make RDP session with 192.168.0.120, port 3389.
[rdpclient 22763] [266592.495602] Username: "TestUser".
[rdpclient 22763] [266592.495613] Password: present.
[rdpclient 22763] [266592.495624] No PIN.
[rdpclient 22763] [266592.495632] Domain: "TESTDOMAIN".
[rdpclient 22763] [266592.495640] No shell.
[rdpclient 22763] [266592.495648] No directory.
[rdpclient 22763] [266592.495656] Window: 1216x1024@16.
[rdpclient 22763] [266592.495663] PFlags 0x000001AE.
[rdpclient 22763] [266592.495671] Keyboard 00010426:00000426.
[rdpclient 22763] [266592.495679] My hostname "tc-test".
[rdpclient 22763] [266592.495687] TCP: connecting to 192.168.0.120:3389.
[rdpclient 22763] [266592.496015] TCP: connection with 192.168.0.120:3389 established.
[rdpclient 22763] [266592.496035] Turn keepalive on.
[rdpclient 22763] [266592.496143] Free ram after buffers allocation: 2966712 KB.
[rdpclient 22763] [266592.496156] Empty Balance Info.
[rdpclient 22763] [266592.506904] Server supports GFX Pipeline.
[rdpclient 22763] [266592.506927] Redirected Session ID 0x00000000.
[rdpclient 22763] [266592.520923] Process RDP server certificate.
[rdpclient 22763] [266592.520951] RDP5 encryption (X.509).
[rdpclient 22763] [266592.523465] Enable font smoothing and Desktop Composition.
[rdpclient 22763] [266592.794028] GFX codec.
[rdpclient 22763] [266592.801410] Graphics output buffer 1216x1024, 1 monitors.
[rdpclient 22763] [266592.801439] Monitor 0: 0.0-1215.1023 primary.
[rdpclient 22763] [266598.167314] Run 3 tile threads.
[rdpclient 22763] [266598.214482] LOGON_EX_LOGONERRORS: ErrorNotificationType 0xfffffffe, ErrorNotificationData 0x000001b9.
[rdpclient 22763] [266611.065156] SessionId 0x000001b9: TESTDOMAIN\TestUser.
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Force Network Layer Authentication

Сообщение aka »

headcraft писал(а): Пт окт 09, 2020 11:56 am Если мы подключаемся без NLA на 192.168.0.120, видим экран логина виндоус, вводим пользователя и пароль, нажимаем Enter, брокер изза балансировки нас перенаправляет на 192.168.0.121 где мы опять видим экран логина виндоус, мы повторно вводим логин и пароль и в этом случае мы логинимся в TEMPORARY PROFILE. Это происходит изза того, что после первого ввода логина и пароля, диск vhdx монтируется на 192.168.0.120.
Как проверили, что монтируется?
headcraft писал(а): Пт окт 09, 2020 11:56 am ...с указанием loadbalanceinfo (без nla этот параметр безполезен, кака я понял),
loadbalanceinfo= работал в втвари раньше, чем появился NLA.
headcraft писал(а): Пт окт 09, 2020 11:56 am чтобы он перенаправил сразу на нужный сервер без лишнего ввода пароля:
"ask_password=on" в конфиге втвари избавит от второго ввода пароля на сервере без NLA. С этой настройкой втварь спрашивает пароль в своем интерфейсе до подключения к серверу.
headcraft писал(а): Пт окт 09, 2020 11:56 am Поскольку мы не можем себе позволить убрать Password expiration (из-за аудита), мы оставляем лазейку для пользователей, чтобы они будучи удалённо, могли поменять себе истёкший пароль, подключившись без nla.
Оригинальная идея! Expiration под NLA это нерешаемая проблема у втвари. Но разве у виндовсов это тоже проблема?
headcraft писал(а): Пт окт 09, 2020 11:56 am Лог wtware если на сервере убрать параметр "Require user authentication for remote connections by using Network Level Authentication" при подключении к брокеру:
..
Лог wtware если на сервере выставить параметр "Require user authentication for remote connections by using Network Level Authentication" при подключении к брокеру:
..
[rdpclient 22762] [266592.263213] Reconnect with NLA enabled.
..
[rdpclient 22762] [266592.485987] Server Redirection flags 0x00000b0d.
[rdpclient 22762] [266592.486058] Server 192.168.0.120.
И это всегда так, никаких других причин, кроме включения/отключения обязательного NLA не появляется? Не может так получиться, что при первом подключении на первом сервере ещё висела сессия юзера, а потом её отключили по таймауту, или ещё чего-то похожего?

Попробуй это:

http://wtware.com/testing/202010090831.zip

В конфиге обязательно добавь "ask_password=on". Пока никаких параметров про NLA, первое подключение само сразу будет с NLA. Что изменится?
headcraft
Сообщения: 4
Зарегистрирован: Вт окт 06, 2020 10:52 am

Re: Force Network Layer Authentication

Сообщение headcraft »

aka писал(а): Пт окт 09, 2020 3:34 pm Как проверили, что монтируется?
Записи в логе винды:

server: 192.168.0.120
LogName: Microsoft-Windows-VHDMP/Operational
Logged: 12.10.2020 16:46:09
Text: The VHD \\srv-fs01\Users Profile Disks\Office2013\UVHD-S-1-5-21-9574501859-3067463910-574832968-1211.vhdx has come online (surfaced) as disk number 3.

server: 192.168.0.121
LogName: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
Logged: 12.10.2020 16:46:11
Text: Remote Desktop Services could not apply a user desktop for a user account with a SID of S-1-5-21-9574501859-3067463910-574832968-1211. A temporary profile was enforced for the user. Verify that the user profile disk settings are correct. The error code is 0x20.135

server: 192.168.0.120
LogName: Microsoft-Windows-VHDMP/Operational
Logged: 12.10.2020 16:46:20
Text: The VHD \\srv-fs01\Users Profile Disks\Office2013\UVHD-S-1-5-21-9574501859-3067463910-574832968-1211.vhdx has been removed (unsurfaced) as disk number 3.
aka писал(а): Пт окт 09, 2020 3:34 pm loadbalanceinfo= работал в втвари раньше, чем появился NLA.
При выключенном NLA что с этим параметром что без, работает одинакого, и балансит одинакого. В чём его смысл без nla?
aka писал(а): Пт окт 09, 2020 3:34 pm "ask_password=on" в конфиге втвари избавит от второго ввода пароля на сервере без NLA. С этой настройкой втварь спрашивает пароль в своем интерфейсе до подключения к серверу.
Знаю, но при этом он всё равно делает двойной вход, что портит профиля, просто пароль за меня сам подсовывает.
aka писал(а): Пт окт 09, 2020 3:34 pm Оригинальная идея! Expiration под NLA это нерешаемая проблема у втвари. Но разве у виндовсов это тоже проблема?
Да, у винды тоже нет механизма, если в рдп файле указать enablecredsspsupport:i:1
aka писал(а): Пт окт 09, 2020 3:34 pm И это всегда так, никаких других причин, кроме включения/отключения обязательного NLA не появляется? Не может так получиться, что при первом подключении на первом сервере ещё висела сессия юзера, а потом её отключили по таймауту, или ещё чего-то похожего?
Как только не крутил его ни вертел, пришёл к выводу, что всё портит балансировка. Именно сам непосредственный "первый ввод пароля" монтирует диск и держит его пока не введу второй раз пароль на другом сервере, и только через примерно 10 секунд диск отпускается на первом, но уже поздно. В случае nla, не происходит лишнего логина вообще. Клиент и сервер обмениваются информацией, происходит редирект до непосредственного логина в систему. Этой проблемы не существует если используется Roaming Profile, когда файлы профиля лежат просто на сетевом хранилище.
aka писал(а): Пт окт 09, 2020 3:34 pm http://wtware.com/testing/202010090831.zip

В конфиге обязательно добавь "ask_password=on". Пока никаких параметров про NLA, первое подключение само сразу будет с NLA. Что изменится?
Галку "Require" снял и отработал как надо! Профиль не сломал даже когда бился напрямую на первый хост, и он меня перекинул на второй не монтируя диск на первом!

[rdpclient 1110] [ 86.022324] RDP Terminal Client, WTware 6.0.15, pipe 3, pid 1110.
[rdpclient 1110] [ 86.022592] Use /lib/ui16.so.
[rdpclient 1110] [ 86.022703] Make RDP session with 192.168.0.120, port 3389.
[rdpclient 1110] [ 86.022720] Username: "testuser".
[rdpclient 1110] [ 86.022732] Password: present.
[rdpclient 1110] [ 86.022744] No PIN.
[rdpclient 1110] [ 86.022756] Domain: "testdomain".
[rdpclient 1110] [ 86.022767] No shell.
[rdpclient 1110] [ 86.022775] No directory.
[rdpclient 1110] [ 86.022784] Window: 1216x1024@16.
[rdpclient 1110] [ 86.022792] PFlags 0x000001AE.
[rdpclient 1110] [ 86.022800] Keyboard 00010426:00000426.
[rdpclient 1110] [ 86.022809] My hostname "tc-test".
[rdpclient 1110] [ 86.022817] TCP: connecting to 192.168.0.120:3389.
[rdpclient 1110] [ 86.023178] TCP: connection with 192.168.0.120:3389 established.
[rdpclient 1110] [ 86.023196] Turn keepalive on.
[rdpclient 1110] [ 86.023343] Free ram after buffers allocation: 3471780 KB.
[rdpclient 1110] [ 86.023364] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.Office_RDS_Colle'.
[rdpclient 1110] [ 86.033177] Server supports GFX Pipeline.
[rdpclient 1110] [ 86.033209] NLA.
[rdpclient 1110] [ 86.033223] SSL/TLS.
[rdpclient 1110] [ 86.065409] Enable font smoothing and Desktop Composition.
[rdpclient 1110] [ 86.071889] RDP5 encryption (X.509).
[rdpclient 1110] [ 86.245167] Server Redirection flags 0x00000b0d.
[rdpclient 1110] [ 86.245240] Server 192.168.0.121.
[rdpclient 1110] [ 86.245289] User "TestUser".
[rdpclient 1110] [ 86.245331] Domain "TESTDOMAIN".
[rdpclient 1110] [ 86.245373] Send Disconnect Provider Ultimatum.
[ gm] [ 86.252404] TSClient (sessionId 3, pid 1110) gracefully end.
[ gm] [ 86.252440] Free ram before fork terminal client /sbin/rdpclient (session 4): 3471528 Kb.
[ gm] [ 86.252463] Run '/sbin/rdpclient 4', log '/tmp/rdpclient.out', env '', pid ''.
[ pfac] [ 86.252499] Run /sbin/rdpclient 4.
[ pfac] [ 86.252534] Ok, PID 1111.
[RDP] close kotopipe (n = -1, errno 11).
[ pfac] [ 86.252559] Process pid 1110 terminated, status 00000009.
[rdpclient 1111] [ 86.253605] RDP Terminal Client, WTware 6.0.15, pipe 4, pid 1111.
[rdpclient 1111] [ 86.253726] Use /lib/ui16.so.
[rdpclient 1111] [ 86.253837] Make RDP session with 192.168.0.121, port 3389.
[rdpclient 1111] [ 86.253853] Username: "TestUser".
[rdpclient 1111] [ 86.253864] Password: present.
[rdpclient 1111] [ 86.253875] No PIN.
[rdpclient 1111] [ 86.253884] Domain: "TESTDOMAIN".
[rdpclient 1111] [ 86.253892] No shell.
[rdpclient 1111] [ 86.253900] No directory.
[rdpclient 1111] [ 86.253909] Window: 1216x1024@16.
[rdpclient 1111] [ 86.253916] PFlags 0x000001AE.
[rdpclient 1111] [ 86.253924] Keyboard 00010426:00000426.
[rdpclient 1111] [ 86.253932] My hostname "tc-test".
[rdpclient 1111] [ 86.253940] TCP: connecting to 192.168.0.121:3389.
[rdpclient 1111] [ 86.254505] TCP: connection with 192.168.0.121:3389 established.
[rdpclient 1111] [ 86.254519] Turn keepalive on.
[rdpclient 1111] [ 86.254630] Free ram after buffers allocation: 3471408 KB.
[rdpclient 1111] [ 86.254642] Empty Balance Info.
[rdpclient 1111] [ 86.265486] Server supports GFX Pipeline.
[rdpclient 1111] [ 86.265519] NLA.
[rdpclient 1111] [ 86.265532] SSL/TLS.
[rdpclient 1111] [ 86.293060] Redirected Session ID 0x00000000.
[rdpclient 1111] [ 86.308662] Enable font smoothing and Desktop Composition.
[rdpclient 1111] [ 86.314571] RDP5 encryption (X.509).
[rdpclient 1111] [ 86.492456] GFX codec.
[rdpclient 1111] [ 86.505644] Graphics output buffer 1216x1024, 1 monitors.
[rdpclient 1111] [ 86.505718] Monitor 0: 0.0-1215.1023 primary.
[rdpclient 1111] [ 89.887280] LOGON_EX_LOGONERRORS: ErrorNotificationType 0xfffffffe, ErrorNotificationData 0x0000000c.
[rdpclient 1111] [ 90.111725] Run 3 tile threads.
[rdpclient 1111] [ 97.032149] SessionId 0x0000000c: TESTDOMAIN\TestUser.
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Force Network Layer Authentication

Сообщение aka »

headcraft писал(а): Пн окт 12, 2020 5:50 pm Галку "Require" снял и отработал как надо! Профиль не сломал даже когда бился напрямую на первый хост, и он меня перекинул на второй не монтируя диск на первом!
Попробуй это:

http://wtware.com/testing/202010131713.zip

Такой конфиг должен отработать:

Код: Выделить всё

connection
loadbalanceinfo=tsv://MS Terminal Services Plugin.1.Office_RDS_Colle
server=192.168.0.119,NLA
connection
server=192.168.0.119
Первое соединение будет с NLA и балансировкой, второе без NLA и без балансировки, чтоб зря не кидало по серверам. В первом соединении оно должно догадаться запросить пароль без ask_password=on.

Это решает проблему обновления паролей?

Мышекликательный конфигуратор пока не написали, будет в следующий официальной версии.
headcraft
Сообщения: 4
Зарегистрирован: Вт окт 06, 2020 10:52 am

Re: Force Network Layer Authentication

Сообщение headcraft »

aka писал(а): Ср окт 14, 2020 12:16 am Это решает проблему обновления паролей?
Отработало как надо! Просто идеальное решение при всей паршивости ситуации! :D
Спасибо огромное!!
Ответить

Вернуться в «Остальное»