[Løst] RDP til lokal maskin på kontoret via VPN

[xClaymanx]

Hei

 

Har stusset over et problem de siste dagene.

Problemstillingen er som følgende:

 

1. Brukere som jobber i utlandet er i egen separat AD gruppe.

2. Legger jeg inn hvilke maskiner de skal logge seg på får de ikke lov å koble seg på, og får beskjeden om at admin har begrenset hvilke maskiner du får logge på.

3. Prøver jeg fra min maskin på kontoret i samme domene, å logge på en av mine ansattes maskin i utlandet med deres pålogging får jeg samme feilmelding.

4. Jeg har en bærbar maskin stående ved siden av meg. Kobler denne på wifi som er knyttet til bygget og er ikke i våres subdomene, kobler meg til VPN med den ansattes pålogging, deretter IP for å nå maskinen kommer jeg rett inn uten noen form for feilmeldinger!

5. HVA ER DET SOM SKJER?

 

 

Brukertilgangene er gitt via group policy. Policyen er oppdatert via powershell.

Både login locally og remotely er aktivert i sikkerhetsgruppen.

Denne veiledningen her har jeg også fulgt. http://www.orbitsit.co.uk/2014/03/unable-remote-desktop-server-2012-adding-user-remote-desktop-users-group/

 

 

 

På forhånd takk.

[xClaymanx]

Fant svaret. Og er ikke fornøyd med utformingen må jeg si.

 

It says the following helped a few people:
The RDP client behaviour is changed in 8.1 and it now it enforces NLA which uses CREDSSP – it is more secure.  
Previous behaviour is that it allowed fallback to “no NLA” when NLA failed. 
If NLA is set to “required” on the RDP server side then it is expected that the client connection will fail due to the workstation not being in the list. NLA is using Kerberos or NTLM authentication which cares about where you log on from as per above attribute. In addition if you take RDP out of the loop and browse to a share, for example, on the same RDP server from any OS workstation which is not in the <log onto> list it will also fail with the same error STATUS_INVALID_WORKSTATION!. 
Available options here: 
1. Use this setting: HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\Winstations\RDP-tcp "SecurityLayer", Default is 1 (SSL).  -> Set this to 0. 
2. On the client workstation, open the RDP file with Notepad and add the string enablecredsspsupport:i:0
3. Add the source server that the user is connecting to into the LogonTo field