我需要在远程桌面网关上针对偏僻的领域。
我们有一个内部企业网络,其域名为corpdomain。此外,远程数据中心站点还有一个网络,其域名为dcdomain。使用远程桌面网关(使用每台计算机上的本地帐户)dcdomain通过远程桌面访问上的计算机。rdgateway
我想要实现的是,用户corpdomain可以使用他们的帐户通过 rd 网关进行身份验证corpdomain。
因此rdgateway必须能够对远程域中的用户进行身份验证corpdomain。这必须以对安全影响最小的方式实现corpdomain。
由于 RD 网关不支持 RADIUS 身份验证,我想到两种可能性:
dcdomain建立从到 的单向信任corpdomain。让身份验证通过 WAN 运行(如果可能,通过 VPN 或 SSL 进行保护)corpdomain在网络中放置 RODCdcdomain。在域之间使用单向信任。因此rdgateway可以在本地针对此 RODC 进行身份验证。
身份验证次数不会很多,因此 RODC 上的身份验证缓存功能并不重要。从安全角度来看,哪种方法更可取?
还有其他选择吗?
答案1
我认为你说的一切都是正确的。确实没有比这更简单的方法来获得你想要的那种身份验证方案了。
假设数据中心的物理安全性合理,我认为您列出的两种选择的风险大致相同。数据中心的只读域控制器 (RoDC) 意味着登录时的延迟更少。msDS-RevealedList如果 RoDC 受到威胁,您可以查询该值以确定您的密码风险。
理想情况下,如果您能够禁用 NTLM 协议并完全依赖 Kerberos,那么在攻击者嗅探数据中心流量时您的暴露也会最小化。
如果数据中心的物理安全性存在问题,我会禁用数据中心内所有机器上的缓存凭据,并通过 VPN 连接对用户进行身份验证。如果有人可以将其带走,那么将 RoDC 放在那里是有意义的。但如果情况确实如此,我会寻找其他数据中心。