Настройка KDC Proxy для удаленного доступа

Категория: программы

Служба KDC Proxy (Kerberos Key Distribution Center Proxy) обеспечивает аутентификацию Kerberos через промежуточный сервер, что полезно, когда клиенты не могут напрямую подключаться к контроллерам домена Active Directory. Это особенно актуально для внешних пользователей или рабочих групп, недоступных напрямую.

Основные порты для аутентификации

Для нормального функционирования Kerberos аутентификации между клиентом и KDC обычно открываются следующие порты:

Порт Описание
UDP/TCP 88 Аутентификация Kerberos и получение TGT
UDP/TCP 464 Смена пароля через Kerberos

Открытие этих портов для внешних пользователей небезопасно, поэтому используется KDC Proxy, который создает защищённый туннель через HTTPS (TCP/443) для передачи аутентификационных запросов.

Сценарий использования KDC Proxy

При использовании Remote Desktop Gateway (RDGW) отключение NTLM аутентификации приводит к ошибкам, если внешние пользователи, не являющиеся частью домена, пытаются подключиться. Чтобы решить эту проблему, необходимо развернуть службу KDC Proxy на RDGW.

Для KDC Proxy требуется установить сертификат, который будет использоваться для шифрования и аутентификации. Следует включить в сертификат использования AKU (Extended Key Usage) для сервера, клиента и Kerberos. Сертификат можно получить от внутреннего CA или использовать самоподписанный.

Настройка KDC Proxy

  1. Создание точки подключения:
    Используется команда для резервирования URL:

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"
  2. Привязка сертификата:
    Генерируется уникальный GUID и задается отпечаток сертификата:

    $appguid = [Guid]::NewGuid().ToString("B")
    $kdccert="2E9D8A634ACA8A17657AD597CE0CA7E1D634B088"
    netsh http add sslcert ipport=0.0.0.0:443 certhash=$kdccert appid=$appguid
  3. Настройка аутентификации:
    Отключаем аутентификацию по сертификатам и включаем аутентификацию по паролю:

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f
    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f
  4. Автозапуск службы:
    Настраиваем автоматический запуск и разрешаем трафик:

    Set-Service kpssvc -StartupType Automatic
    Start-Service kpssvc
    New-NetFirewallRule -DisplayName "Allow KDCProxy TCP" -Direction Inbound -Protocol TCP -LocalPort 443

Конфигурация клиентов

Настройка KDC Proxy может быть выполнена через GPO или непосредственно в реестре:

  • Через GPO:
    Включите политику и задайте строку подключения к вашему KDC Proxy.
  • В реестре:
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos" /v KdcProxyServer_Enabled /t REG_DWORD /d 1 /f

После перезагрузки клиентского компьютера пользователи смогут аутентифицироваться через KDC Proxy. Можно проверить успешное получение билета Kerberos с помощью команды:

klist get krbtgt

Логи доступны в Event Viewer под KDCProxy.

В будущем Microsoft планирует упростить развертывание KDC Proxy через Windows Admin Center.

Pin

Related posts:

  1. Решение проблемы «Интерфейс не поддерживается» в Windows 10 и 11
  2. Браузер Microsoft Edge: Обзор возможностей и настроек
  3. Bleachbit: Эффективное решение для очистки диска
  4. Pidgin: Мессенджер, Совместимый с Множеством Протоколов




 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

«     »


Карта сайта
Copyright © 2025  
Clicky