De overstap van Windows 7 naar Windows 10 levert met RDS Hosts soms een kleine issue op.
Wanneer we connecten via RDP (mstsc.exe) vanaf een Windows 10 machine naar een Windows 2012 server krijgen we voor sommige user accounts onderstaande foutmelding.
“De systeembeheerder heeft het aantal computers waarop u zich kunt aanmelden beperkt.”
Vreemd, want onder Windows 7 ging dit altijd probleemloos.
Na onderzoek hebben we geconcludeerd dat dit enkel voorkomt bij Active Directory gebruikers die een “Logon To” restrictie hebben.
Voor het betreffende account hebben we dit bewust gedaan om te voorkomen dat “nieuwsgierige” vendors proberen in te loggen op andere servers waarmee ze niks te maken hebben.
Deze setting willen we ook niet uitschakelen en moet er dus een oplossing voor komen.
Technet fora geven aan dat Microsoft dit sinds Windows 8.1 By Design ingebouwd heeft.
Kort uitgelegd :
De RDP client vanaf Windows 8.1 heeft NLA (Network Level Authentication) ingebouwd. Deze client authenticeerd met de Domain Controller op Kerberos of NTLM niveau en de Domain controller houdt de authenticatie weer tegen het user account aan. Het betreffende useraccount heeft de “Logon To” restrictie aanstaan met een lijst devices waarop ingelogged mag worden.
De RDP Client presenteert de authenticatie met het werkstation waar vanaf wordt ingelogged op de RDP Machine die je over wilt nemen.
En dit werkstation staat niet op de lijst met computers waarop ingelogged mag worden en dús mag je geen RDP sessie starten naar de Windows 2012 machine.
De Oplossing / Workaround :
Een oplossing is het niet, maar een workaround. Microsoft heeft aangegeven dat dit gedrag By Design is en daarom komt er geen oplossing voor.
De workaround bestaat enkel uit het toevoegen van de computernaam waar vanaf de RDP sessie wordt gestart aan de Logon To lijst.
Daarna is het toegestaan om vanaf dat werkstation een RDP sessie te starten naar de Windows Server 2012 machine.
Middels Group Policy is dit ook uit te rollen, maar het idee is duidelijk.
Er wordt ook gesproken over register aanpassingen op de RDS host, RDP client settings editten waarbij de vraag is of je dit allemaal wel wilt.
Op zich is dit vanuit security oogpunt wel een mooi dingetje, naast de servers waarop ingelogged mag worden te beperken op account basis, kun je nu dus ook op client niveau aangeven vanaf welke computer dit mag.