Active DirectoryがRDPをログに保持しないため、FWはインターネットを許可できます
ADを見てインターネットへのアクセスを許可するドメインユーザーを認識するフォーティネットファイアウォールがあり、ユーザーが別のコンピューター(TSではない)からコンピューターにリモート接続している場合を除いて、ほとんどの場合完全に機能します。
会議室にコンピューターがあり、ユーザーはそこに行き、デスクのコンピューターにリモートでアクセスして、特別なソフトウェアなどを実行します。問題は、ユーザーがRDPセッションを起動すると、ユーザーがまだコンピューターにログインしていてファイアウォールでタイムアウトしたことをADに報告しなくなり、これが発生すると、リモート接続されているコンピューターがインターネット特権を失うことです。
ファイアウォールがそのメッセージを取得してインターネットへの許可を継続できるように、RDPセッションをまだログインしているユーザーとして認識するようにADで設定できるものはありますか?
2台のServer2008 R2DCと1台のServer2016 DCで、ドメインは1つだけです。
問題は、ユーザーがRDPセッションを起動したときに、ユーザーがまだコンピューターにログインしていることをADに報告しなくなったことです。
コンピュータがドメインにユーザーが「まだログオンしている」ことを「報告」することは決してありません。これはADの問題ではありません。 FSSOは、委任されたkerberosノード(ADからフェッチされます)から状態をポーリングしています。
FSSOの認証時間を変更します。 CLIに接続して:
config user fsso-polling
edit <ID>
set logon-history <24> (0-48, default is 8. Try 24 for 24hr logon history.)
next
end