Active Directory не поддерживает RDP в журнале, поэтому FW может разрешить интернет
У меня есть брандмауэр Fortinet, который просматривает мою AD, чтобы распознать пользователей моего домена для предоставления доступа к Интернету, и по большей части он работает отлично, за исключением случаев, когда пользователи удаленно подключаются к компьютерам с другого компьютера (не TS).
У нас в конференц-зале есть компьютер, и пользователь зайдет туда и подключится к своему компьютеру за столом, чтобы запустить какое-то специальное программное обеспечение или что-то в этом роде. Проблема заключается в том, что когда пользователь запускает сеанс RDP, он больше не сообщает AD, что пользователь все еще вошел в систему на своем компьютере и отключил его через брандмауэр, и как только это произойдет, компьютер, на котором он удален, теряет свои интернет-привилегии.
Могу ли я что-нибудь настроить в AD, чтобы распознавать сеанс RDP как пользователя, который все еще вошел в систему, чтобы мой брандмауэр мог получить это сообщение и продолжить пропускать его в Интернет?
У меня 2 DC Server 2008 R2 и DC Server 2016 и только 1 домен.
1 ответ
Проблема в том, что когда пользователь запускает сеанс RDP, он больше не сообщает AD, что пользователь все еще вошел в систему на своем компьютере.
Компьютер никогда не "сообщает" домену, что пользователь "все еще вошел в систему", это не AD. FSSO опрашивает состояние от делегированного узла kerberos (который выбирается из AD, верно).
Я бы изменил время аутентификации для FSSO. Подключитесь к CLI и:
config user fsso-polling
edit <ID>
set logon-history <24> (0-48, default is 8. Try 24 for 24hr logon history.)
next
end