Vadim's KB

Remote Desktop Gateway: force use NTLM

18. апреля 2019 koba (0)

On Windows Events (Microsoft-Windows-TerminalServices-Gateway/Operational) appears records with event ID’s 312, but the connection does not authenticate successfully. Remote Desktop Gateway does not support Kerberos authentication, which use Remote Desktop Client with version >= 8.0

Resolution:

  1. On Remote Desktop Gateway server set the EnforceChannelBinding registry value to 0 (zero) to ignore missing channel bindings on the Gateway server. Reboot for applying changes.

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core

    Type: REG_DWORD

    Name: EnforceChannelBinding

    Value: 0 (Decimal)

  2. On client change Local Policy LAN Manager Authentication Level. Adjust the NTLM Manager setting on the client to be "Send LM & NTLM - use NTLMv2 session security if negotiated".

Перемещение служб Terminal Services (Remote Desktop) Gateway в сайт IIS, отличный от Default Web Site

15. октября 2015 koba (0)
Необходимо произвести следующие действия:
  1. Создать новый сайт, настроить на нем привязку на нужный IP, порт 443 и указать SSL-сертификат.
  2. В сайте создать 2 новых приложения (Application) с именами "Rpc" и "RpcWithCert". При создании приложений указать в качестве каталога размещения каталог "%windir%\System32\RpcProxy".
  3. Отредактировать файл "C:\Windows\System32\inetsrv\config\applicationHost.config". В файле скопировать содержимое разделов "Default Web Site/Rpc" и "Default Web Site/RpcWithCert" в соответствующие разделы нового сайта.
  4. Перезапустить службы IIS.
  5. При необходимости добавить запись в реестр сервера (потребуется перезагрузка):
reg add HKLM\Software\Microsoft\RPC\RpcProxy /v Website /t REG_SZ /d <new-web-site>

Примечание.
Открывать файл "C:\Windows\System32\inetsrv\config\applicationHost.config" в 64-битной системе необходимо также 64-битным текстовым редактором.