当AD Connect的用户登录方法为密码哈希同步时,可以使用本地域凭据将RDP会话用于Azure虚拟机。当AD Connect的用户登录方法更改为传递身份验证时,这些相同的本地凭据无法用于与Azure虚拟机的RDP会话。 RDP使用的安全类型是否与AD Connect中的传递身份验证选项不兼容?
有趣的是,在配置传递身份验证时启用可选的密码哈希同步功能将使RDP正常工作。我的理解是,启用可选的密码哈希同步功能是一种故障转移技术,如果无法访问本地域,则需要手动启用。
但是,似乎两种身份验证方法都在使用,具体取决于所访问的内容。当通过传递身份验证运行时,我们通过从本地域禁用帐户进行了测试。此更改立即反映在Azure门户中,因为我们无法登录到门户。但是,当尝试向同一Azure订阅中的VM发送RDP时,即使该帐户被禁用,我也可以使用相同的凭据。
这是设计使然还是我们的配置搞砸了?不允许传递身份验证与RDP等核心应用程序一起使用似乎是一个很大的疏忽。