ปัญหาที่คล้ายกันโดยไม่มีการตอบกลับ: กลุ่ม AD ที่ซ้อนกันทำงานในกลุ่มคอมพิวเตอร์เฉพาะที่ แต่เซิร์ฟเวอร์บางตัวไม่อนุญาต RDP
ฉันเพิ่งเริ่มใช้สภาพแวดล้อมนี้และบุคคลที่ฉันรับช่วงต่อก็ประสบปัญหานี้เช่นกัน แต่ก็ไม่ได้ไปไกลนัก (ถือว่ามีความสำคัญต่ำเนื่องจากปัญหาจะแก้ไขเองในที่สุด)
หลังจากสร้าง VM ใหม่ (VMWare) และติดตั้ง windows 2019 โดยใช้ลำดับงาน ลำดับงานสร้างกลุ่มส่วนกลางของผู้ดูแลระบบภายในสำหรับแต่ละเซิร์ฟเวอร์ใหม่ และเพิ่มกลุ่มเหล่านี้ลงในกลุ่มผู้ดูแลระบบภายในเริ่มต้น จากนั้นกลุ่มส่วนกลางจะเพิ่มกลุ่มผู้ดูแลระบบของทีมด้วย GPO ที่กำหนดค่าให้อนุญาต RDP บาง เซิร์ฟเวอร์มีปัญหาในการไม่อนุญาตให้ผู้ดูแลระบบเครือข่าย RDP ถึงพวกเขา แต่ผู้ดูแลระบบโดเมนใช้งานได้ ฉันไม่เห็นตัวส่วนร่วมระหว่างพวกเขานอกจากปัญหานี้เกิดขึ้นกับฉันในวันศุกร์เท่านั้น (ซึ่งอาจบอกเป็นนัยถึงกระบวนการ/งานบางอย่างที่ฉันไม่รู้เกี่ยวกับการทำงานในวันศุกร์ ซึ่งทำให้เกิดความล่าช้าในการแพร่กระจาย)
เซิร์ฟเวอร์ 1: Fresh VM, ลำดับงานปรับใช้ระบบปฏิบัติการ, เชื่อมต่อกับโดเมนโดยไม่มีปัญหา และฉันสามารถ RDP ได้โดยไม่มีปัญหา
เซิร์ฟเวอร์ 2: Fresh VM, ลำดับงานเดียวกันที่เรียกใช้ไม่กี่นาทีต่อมา/ในเวลาเดียวกัน, เชื่อมต่อกับโดเมน, สามารถเข้าสู่ระบบผ่านคอนโซล แต่ RDP ให้ "ไม่ได้รับอนุญาตสำหรับ rdp"
ทุกเซิร์ฟเวอร์หลังจากนั้นมีปัญหาเดียวกัน แต่เซิร์ฟเวอร์ก่อนหน้าไม่มีปัญหา แม้ว่าทั้งหมดจะถูกสร้างขึ้นในเวลาเดียวกันก็ตาม วันก่อนฉันสามารถทำสิ่งเดียวกันได้ (มีการปรับใช้เซิร์ฟเวอร์หลายเครื่องพร้อมกันโดยใช้ลำดับงานเดียวกัน) โดยไม่มีปัญหาใด ๆ จากนั้นประมาณครึ่งทางของวันศุกร์พวกเขาก็เริ่มมีปัญหา RDP นี้ ฉันสามารถดาวน์โหลดการอัปเดตสำหรับพวกเขาและทำสิ่งอื่นๆ ได้ ดังนั้นฉันจึงรู้ว่าไม่ใช่ปัญหาเครือข่าย
เป็นเรื่องแปลกที่ฉันได้รับสิทธิ์อื่นๆ ที่กลุ่มนี้อนุญาต (เช่น สิทธิ์ของผู้ดูแลระบบ) แต่ไม่ใช่ RDP
ฉันสังเกตว่าถ้าฉันลบกลุ่มผู้ดูแลระบบของทีมและเพิ่มบัญชีของฉันโดยตรงในกลุ่มผู้ดูแลระบบส่วนกลาง RDP จะทำงานทันที แต่ทันทีที่ฉันลบออกและเพิ่มกลุ่มทีมกลับ จะไม่ทำงาน
สิ่งนี้จะเกิดขึ้นกับบางเซิร์ฟเวอร์เท่านั้นและไม่ใช่ทุกเซิร์ฟเวอร์ และฉันไม่พบการเชื่อมต่อใดๆ ระหว่างเซิร์ฟเวอร์ทั้งสอง เซิร์ฟเวอร์ทั้งหมดมีลักษณะเหมือนกันทุกประการเกี่ยวกับกลุ่ม การอนุญาต และ GPO แต่บางเซิร์ฟเวอร์จะอนุญาต RDP และบางเซิร์ฟเวอร์จะไม่อนุญาต นอกจากนี้ ยังน่าสังเกตว่าเมื่อสิ่งนี้เกิดขึ้นในวันศุกร์ ถ้าฉันรอจนถึงวันจันทร์/อังคารถัดไป ทุกอย่างก็เรียบร้อยดี และคุณจะไม่รู้ด้วยซ้ำว่ามีปัญหาตั้งแต่แรก
ฉันสงสัยว่ามีข้อผิดพลาดบางอย่างเกิดขึ้น ผสมกับกระบวนการบางอย่างที่ฉันไม่ทราบ ซึ่งส่งผลให้เกิดปัญหานี้ อย่างไรก็ตาม การพยายามระบุจุดสำหรับการแก้ไขได้พิสูจน์แล้วว่าค่อนข้างยาก ความคิด / ข้อเสนอแนะ?
หลังจากอ่านปัญหาของคุณอย่างรวดเร็ว เราสงสัยว่าเกี่ยวข้องกับนโยบายกลุ่ม หากคุณกำหนดค่า Group Policies อย่างถูกต้อง นโยบายเหล่านั้นจะมอบสภาพแวดล้อมที่เสถียรและเชื่อถือได้ มีหลายด้านที่ต้องคำนึงถึง ⢠การเปิดใช้งานเดสก์ท็อประยะไกลบนคอมพิวเตอร์ ใครได้รับอนุญาตให้ทำเช่นนี้? â คุณกำลังใช้ไฟร์วอลล์ ฉันมี GPO เดียวที่ใช้กับคอมพิวเตอร์และผู้ใช้ทั้งหมดที่ทำงานได้อย่างน่าเชื่อถือ โครงสร้างโดเมนมีดังนี้: การจัดการนโยบายกลุ่ม ฟอเรสต์: ชื่อโดเมนของคุณ, ท้องถิ่น โดเมน v Your-Domain-Name.local ï ชื่อบริษัท OU - ฉันสร้าง GPO ที่นี่ o _ผู้ใช้ o คอมพิวเตอร์ ï§ เดสก์ท็อป ï§ แล็ปท็อป ï§ เซิร์ฟเวอร์
การกำหนดค่าคอมพิวเตอร์ ïนโยบาย ï การตั้งค่า Windows ï การตั้งค่าความปลอดภัย ï กลุ่มที่ถูกจำกัด ⢠Group = BUILTIN\ผู้ดูแลระบบ ⢠สมาชิก = YOUR-DOMAIN-NAME\ItsupportUser YOUR-DOMAIN-NAME\G-IT กลุ่มสนับสนุน YOUR-DOMAIN-NAME\Domain ผู้ดูแลระบบ ชื่อโดเมนของคุณ\adobeupdate ชื่อโดเมนของคุณ\AdministratorUser
⢠Group = BUILTIN\Remote Desktop Users ⢠สมาชิก = YOUR-DOMAIN-NAME\G-IT กลุ่มสนับสนุน ชื่อโดเมนของคุณ\Itสนับสนุนผู้ใช้
ï Windows Firewall พร้อมการรักษาความปลอดภัยขั้นสูง ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง การตั้งค่าส่วนกลาง การกำหนดนโยบาย นโยบายเวอร์ชัน 2.26 ปิดการใช้งาน stateful FTP ไม่ได้กำหนดค่า ปิดใช้งาน PPTP สถานะที่ไม่ได้กำหนดค่า IPsec ได้รับการยกเว้น ไม่ได้กำหนดค่า IPsec ผ่าน NAT ไม่ได้กำหนดค่า ไม่ได้กำหนดค่าการเข้ารหัสคีย์แบบแชร์ล่วงหน้า เวลาว่าง SA ไม่ได้กำหนดค่า ตรวจสอบ CRL ที่รัดกุม ไม่ได้กำหนดค่า
กฎขาเข้า
ชื่อ คำอธิบาย
เดสก์ท็อประยะไกล - กฎขาเข้าของ Shadow (TCP-In) สำหรับบริการเดสก์ท็อประยะไกลที่จะอนุญาต
การสร้างเงาของเซสชันเดสก์ท็อประยะไกลที่มีอยู่
(TCP-อิน)
กฎนี้อาจมีองค์ประกอบบางอย่างที่โมดูลการรายงาน GPMC เวอร์ชันปัจจุบันไม่สามารถตีความได้
เปิดใช้งานจริง
โปรแกรม %SystemRoot%\system32\RdpSa.exe
อนุญาตให้ดำเนินการ
ความปลอดภัย ต้องมีการรับรองความถูกต้อง
คอมพิวเตอร์ที่ได้รับอนุญาต
ผู้ใช้ที่ได้รับอนุญาต
พิธีสาร 6
พอร์ตท้องถิ่น อะไรก็ได้
พอร์ตระยะไกล อะไรก็ได้
การตั้งค่า ICMP บ้าง
ขอบเขตท้องถิ่น ใด ๆ
ขอบเขตระยะไกล อะไรก็ได้
โปรไฟล์ทั้งหมด
ประเภทอินเตอร์เฟสเครือข่าย ทั้งหมด
บริการ โปรแกรมและบริการทั้งหมด
อนุญาตการข้ามผ่านขอบ True
กลุ่มเดสก์ท็อประยะไกล
เดสก์ท็อประยะไกล - โหมดผู้ใช้ (UDP-In) กฎขาเข้าสำหรับบริการเดสก์ท็อประยะไกลที่จะอนุญาต
การจราจร RDP [UDP 3389]
กฎนี้อาจมีองค์ประกอบบางอย่างที่โมดูลการรายงาน GPMC เวอร์ชันปัจจุบันไม่สามารถตีความได้
เปิดใช้งานจริง
โปรแกรม %SystemRoot%\system32\svchost.exe
อนุญาตให้ดำเนินการ
ความปลอดภัย ต้องมีการรับรองความถูกต้อง
คอมพิวเตอร์ที่ได้รับอนุญาต
ผู้ใช้ที่ได้รับอนุญาต
พิธีสาร 17
พอร์ตท้องถิ่น 3389
พอร์ตระยะไกล อะไรก็ได้
การตั้งค่า ICMP บ้าง
ขอบเขตท้องถิ่น ใด ๆ
ขอบเขตระยะไกล อะไรก็ได้
โปรไฟล์ทั้งหมด
ประเภทอินเตอร์เฟสเครือข่าย ทั้งหมด
บริการระยะบริการ
อนุญาตการข้ามผ่านขอบเป็นเท็จ
กลุ่มเดสก์ท็อประยะไกล
เดสก์ท็อประยะไกล - กฎขาเข้าโหมดผู้ใช้ (TCP-In) สำหรับบริการเดสก์ท็อประยะไกลที่จะอนุญาต
การจราจร RDP [TCP 3389]
กฎนี้อาจมีองค์ประกอบบางอย่างที่โมดูลการรายงาน GPMC เวอร์ชันปัจจุบันไม่สามารถตีความได้
เปิดใช้งานจริง
โปรแกรม %SystemRoot%\system32\svchost.exe
อนุญาตให้ดำเนินการ
ความปลอดภัย ต้องมีการรับรองความถูกต้อง
คอมพิวเตอร์ที่ได้รับอนุญาต
ผู้ใช้ที่ได้รับอนุญาต
พิธีสาร 6
พอร์ตท้องถิ่น 3389
พอร์ตระยะไกล อะไรก็ได้
การตั้งค่า ICMP บ้าง
ขอบเขตท้องถิ่น ใด ๆ
ขอบเขตระยะไกล อะไรก็ได้
โปรไฟล์ทั้งหมด
ประเภทอินเตอร์เฟสเครือข่าย ทั้งหมด
บริการระยะบริการ
อนุญาตการข้ามผ่านขอบเป็นเท็จ
กลุ่มเดสก์ท็อประยะไกล
â
กฎขาเข้าสำหรับพอร์ต RDP 3389 กฎขาเข้าสำหรับพอร์ต RDP 3389
กฎนี้อาจมีองค์ประกอบบางอย่างที่โมดูลการรายงาน GPMC เวอร์ชันปัจจุบันไม่สามารถตีความได้
เปิดใช้งานจริง
โปรแกรมอะไรก็ได้
อนุญาตให้ดำเนินการ
ความปลอดภัย ต้องมีการรับรองความถูกต้อง
คอมพิวเตอร์ที่ได้รับอนุญาต
ผู้ใช้ที่ได้รับอนุญาต
พิธีสาร 6
พอร์ตท้องถิ่น 3389
พอร์ตระยะไกล อะไรก็ได้
การตั้งค่า ICMP บ้าง
ขอบเขตท้องถิ่น ใด ๆ
ขอบเขตระยะไกล อะไรก็ได้
โดเมนโปรไฟล์
ประเภทอินเตอร์เฟสเครือข่าย ทั้งหมด
บริการ โปรแกรมและบริการทั้งหมด
อนุญาตการข้ามผ่านขอบเป็นเท็จ
กลุ่ม
การตั้งค่าความปลอดภัยการเชื่อมต่อ ไม่มี
ï เทมเพลตการดูแลระบบ ฉันได้เพิ่มไฟล์ ADMX สำหรับ Windows Builds 2 เวอร์ชัน IE 20H2 และ 21H1 เทมเพลตการดูแลระบบ ข้อกำหนดนโยบาย (ไฟล์ ADMX) ที่ดึงมาจากเครื่องคอมพิวเตอร์
ส่วนประกอบของ Windows/บริการเดสก์ท็อประยะไกล/โฮสต์เซสชันเดสก์ท็อประยะไกล/การเชื่อมต่อ ความคิดเห็นเกี่ยวกับการกำหนดนโยบาย อนุญาตให้ผู้ใช้เชื่อมต่อระยะไกลโดยใช้ Remote Desktop Services Enabled
การกำหนดค่าผู้ใช้ (เปิดใช้งาน) นโยบาย เทมเพลตการดูแลระบบ ข้อกำหนดนโยบาย (ไฟล์ ADMX) ที่ดึงมาจากเครื่องคอมพิวเตอร์ ส่วนประกอบของ Windows/บริการเดสก์ท็อประยะไกล/โฮสต์เซสชันเดสก์ท็อประยะไกล/การเชื่อมต่อ ความคิดเห็นเกี่ยวกับการกำหนดนโยบาย ตั้งกฎสำหรับการควบคุมระยะไกลของเซสชันผู้ใช้ Remote Desktop Services ที่เปิดใช้งาน
หวังว่านี่จะช่วยได้
ประการแรก กลุ่ม AD แบบกำหนดเองลงจอดในกลุ่มท้องถิ่นที่ถูกต้องบนเซิร์ฟเวอร์ที่ได้รับผลกระทบหรือไม่ หากมีการเพิ่มเข้ามา คุณควรจะเห็นใน Computer Management ในแต่ละช่อง คุณอาจพบความล่าช้าในการจำลองกลุ่มใหม่ก่อนที่ลำดับงานของคุณจะเพิ่มเข้าไป
หากคุณทำได้ ฉันขอแนะนำให้สร้างกลุ่มเป็นงานแรกในลำดับของคุณ หวังว่างานสร้างที่เหลือจะใช้เวลานานกว่าช่วงสำหรับการเปลี่ยนแปลง AD เพื่อเผยแพร่ไปยัง DC แต่ละตัว - แน่นอนว่าหากการจำลองใช้เวลาหนึ่งชั่วโมง นั่นอาจเป็นปัญหาได้ วิธีแก้ปัญหาอย่างหนึ่งคือการจับกลุ่ม SID เมื่อคุณสร้างและใช้เพื่อเพิ่มในกลุ่มท้องถิ่นของคุณ เมื่อโฆษณาตามทัน คุณควรเห็นการอัปเดตชื่อกลุ่มในกล่อง
หากมีกลุ่มอยู่ในเซิร์ฟเวอร์ที่มีปัญหา ฉันขอแนะนำให้เรียกใช้ GPResult /H เพื่อดูว่าได้รับนโยบายทั้งหมดที่ควรจะเป็นหรือไม่ อย่างไรก็ตาม หากลำดับงานของคุณไม่ทำการรีบูตสองครั้งหลังจากติดตั้งระบบปฏิบัติการ เราขอแนะนำอย่างยิ่งให้ทำเช่นนั้น ตัวอย่างเช่น ทำการติดตั้งพื้นฐานของ OS, เข้าร่วมกับโดเมน, รีบูต, กำหนดค่ากลุ่มในเครื่อง, กิจกรรมหลังการสร้างอื่นๆ, รีบูต
ตามค่าเริ่มต้น ผู้ดูแลระบบในพื้นที่มีสิทธิ์เข้าถึง RDP ดังนั้นฉันจึงไม่เห็นว่าทำไมจึงมีนโยบายอนุญาต RDP เพิ่มเติมอยู่ด้านบน (เว้นแต่ว่าผู้ดูแลระบบจะถูกปิดใช้งานด้วยวิธีอื่น) หากผู้ดูแลระบบถูกจำกัดการเข้าถึง RDP หรือกลุ่มของคุณไม่ควรอยู่ในผู้ดูแลระบบ ฉันขอแนะนำให้ซ้อนกลุ่ม AD ในกลุ่มผู้ใช้เดสก์ท็อประยะไกลในลำดับงานของคุณเช่นกัน แทนที่จะผ่าน GPO (แม้ว่าจะเป็นไปตามธรรมชาติก็ตาม ทำงานต่อไป)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
