Wenn eine RDP-Sitzung über Remote Desktop Gateway (RDG) gestartet wird, sieht die Windows-Anmeldekomponente nur die IP-Adresse des RD Gateway selbst und nicht die ursprüngliche IP-Adresse des Clients. Dieses Verhalten ist eine unvermeidbare Eigenschaft des Remote Desktop Gateways: Der Dienst beendet den HTTPS-Tunnel und initiiert im Namen des Clients eine RDP-Sitzung.
Da die tatsächliche IP des Benutzers nicht an den Zielserver weitergegeben wird, kann die Rublon-MFA-Plattform keine Richtlinie anwenden, die auf der echten IP des Clients basiert. Dies betrifft sowohl:
• die Richtlinie „Authorized Networks“ – da der Server immer die IP des RD Gateway meldet, kann die Client-Netzwerkzugehörigkeit nicht bestimmt werden.
• die Richtlinie „Geolocation“ – die geografische Lokalisierung des Benutzers kann nicht ermittelt werden, weil die sichtbare IP die des RD Gateway und nicht die des Clients ist.
In der Folge werden beide Richtlinien immer basierend auf der IP-Adresse des RD Gateway-Servers bewertet und nicht anhand der tatsächlichen Client-IP.
Kann RD Gateway so konfiguriert werden, dass die echte Client-IP weitergegeben wird?
Leider nein. Der RDP-Host wird immer die IP-Adresse des RD Gateway als Quelle sehen. Dies ist keine Einschränkung von Rublon MFA, sondern eine Folge der Architektur von RD Gateway, die die Client-IP aus Sicherheits- und Routinggründen maskiert.
Hilfreiche Links Links
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren