凭证如何通过远程桌面网关中的 CredSSP 传递到目标 RDP 机器?
TLS 隧道是否像常规 RDP 会话一样创建?
是否使用 HTTPS?
我在想类似的事情:
在 AD 环境中使用 Pplain RDP,首先从 DC 获取 TGS,然后对目标服务器执行 TLS,并通过 CredSSP 传递凭据,这就是建立会话的方式。
因此,在 RD 网关场景(大型 RDP 部署)中,客户端通过 HTTPS 与网关建立连接,默认情况下具有 TLS,但凭据通过 TLS 内的 CredSSP 传递。然后,网关在结束 TLS 隧道后,将未加密的凭据“传递”到目标 RDP,然后最后一个验证访问?之后,RDP 数据包被发送回网关,网关最终再次加密 TLS 和 HTTPS 内的数据包并返回源客户端。
类似这样的事?
答案1
RDP 客户端通过发送 X.224 连接请求协议数据单元 (PDU) 来启动与 RD 会话主机的连接,如 [MS-RDPBCGR] 第 1.3.1.1 节所述。服务器以 X.224 连接确认 PDU 进行响应。RDP 客户端和 RD 服务器之间发送的所有后续数据都包装在 X.224 数据 PDU 中。
通过代理,RDP 客户端和 RD 会话主机使用多点通信服务 (MCS) 连接初始 PDU 和 MCS 连接响应 PDU 交换基本设置,如 [MS-RDPBCGR] 部分 1.3.1.1 所述。 https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-rdsod/68276a0e-896c-41ee-862e-d05fdcbc2d2b
身份验证由 Rd 网关完成,然后 rd 网关创建到 rd 会话主机的安全 rdo 连接