none
远程桌面网关不允许跨域验证

    问题

  • 环境如下:

    两个独立的域(WIN2012R2),域A单向信任域B,域B的账户可以登录域A成员服务器;

    在域A成员服务器(WIN2012R2)建立远程桌面网关服务器,并且使用网关管理器设置了策略(RDCAP和RDRAP),允许域A和域B相应组的用户访问.

    但结果是:

    域A相应组的用户可以通过远程桌面网关访问域A其他服务器;

    域B相应组的账户不能通过远程桌面网关访问域A其他服务器,并且报错域B账户没有访问远程桌面网关的权限.


    • 已编辑 AKFindy 2016年9月14日 8:44 更新描述
    2016年9月14日 8:41

答案

  • 你好,

    我刚刚完成了测试,得到了和你一样的报错。

    我们需要建立双向的信任才可以跨域访问RDS Collection

    在仅建立单向信任的情况下,不能给被信任域的用户/组添加访问RDS Collection的权限,截图如下:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 AKFindy 2016年10月10日 7:12
    2016年10月4日 7:02
    版主

全部回复

  • 你好,

    我建议打开RD RAP的属性,在 Network Resource tab 下选择 Allow users to connect to any network resource 看是否还有问题。

    也可以创建一个group 包含 所有RDS 相关的服务器,并在 Network Resource tab 下选择这个组。

    下面有个截图:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月15日 9:47
    版主
  • Thanks Amy,

    我测试了您的方法,而且重新做了服务器部署,还是同样的报错:

    远程桌面无法连接到远程计算机"srv01.a.ad",是由于下列原因所致:

    1) 您的用户账户无权访问RD网关"xx.xxx.com"

    2) 您的计算机无法访问RD网关"xx.xxx.com"

    3) 您使用的是不兼容的验证方法(例如,RD网关接受的是智能卡身份验证,而你提供的是密码)

    我如果不使用远程桌面网关,那么域B账户访问域A的资源是没问题的,说明信任关系没问题,访问时域B的账户可以得到验证;

    其次:同一台客户端使用域A的账户通过密码可以正常访问,而且在RD CAP策略里面设置的身份验证方法为密码,那么说明报错2/3条都满足;

    但就是增加网关之后就不能访问了,您那边如有现成的环境,可以麻烦做个单向外部域间信任查看一下吗?

    2016年9月18日 7:42
  • 你好,

    请尝试在CAP的属性中把B域的相应用户/用户组加入到 User group membership 区域:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月21日 14:42
    版主
  • 你好,

    请问现在有进展了吗?

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月26日 9:32
    版主
  • CAP的属性也试了,还是同样报错,这个不会是BUG吧?
    2016年9月27日 1:29
  • 你好,

    请问所有的 RDS 服务器和域控制器都是 Windows Server 2012 R2 的操作系统吗?

    我会按照你的环境做个类似的实验,可能需要多等待一些时间才能完成。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月29日 8:42
    版主
  • @Amy, 有对比环境就最好了,我们的环境还有2003和2008域控,RDS都是WIN2012R2的,您可以先建立2个WIN2012R2的域控来做测试,WIN2012R2的如果能找出原因,那么2003/2008的拍错也就快了,非常感谢您的支持
    2016年9月29日 10:44
  • 你好,

    我刚刚完成了测试,得到了和你一样的报错。

    我们需要建立双向的信任才可以跨域访问RDS Collection

    在仅建立单向信任的情况下,不能给被信任域的用户/组添加访问RDS Collection的权限,截图如下:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 AKFindy 2016年10月10日 7:12
    2016年10月4日 7:02
    版主
  • Hi Amy,

    非常感谢您的耐心解答求证.

    虽然远程桌面网关对双向信任的需求在逻辑上感觉有点不通,但最终确定问题我就可以继续用双向信任实施了.

    2016年10月10日 7:12