Продукты: Indeed AM (8.*.*)

Затрагиваемые компоненты: 

Описание проблемы: Быстрое закрытие окна 2FA RDP Windows Logon, в сценарии RDS - RDweb – опубликованные приложения, при повторном подключении. 

Предварительные условия на сервере RDweb (RDS):

1.  “view details” (Show Details Always ON):

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"legalnoticecaption"="Welcome"
"legalnoticetext"="Test"

2. “LogonTimeOut”:
   

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"LogonTimeOut"=dword:00000e10

3. Настройки Indeed для компонента RDP Windows Logon:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\AuthProxy]
"ServerUrlBase"="https://indeedam.indeed.local/am/core"
"IsIgnoreCertErrors"=dword:00000000
"AppId"="RDP Windows Logon"
[HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth]
"ProviderId"="{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}"
"IsAuthSelectionEnabled"=dword:00000001

Проблема воспроизводится в следующем сценарии:

1. Заходим на web-портал RDweb, аутентифицируемся по доменным учетным данным, скачиваем RDP-файл подключения.
2. Запускаем файл RDP, входим по доменным учетным данным. Отрабатывает политика “view details”, нажимаем ОК и видим окно Indeed 2FA
3. Вводим OTP 2FA, успешно открываем сессию и приложение (например калькулятор).
4. Нажимаем закрыть приложение (без принудительного дисконнекта, со стороны клиента или сервера).
5. Через ~10 секунд RDS сервер завершает сессию с флагом "disconnect". т.к. приложение было закрыто пользователем.
6. После этого, при попытке повторного входа и ввода доменных учетных данных, политика “view details” не отрабатывает.
   Необходимо нажать «Показать подробности» вручную. Раскрывается окно 2FA, которое, в свою очередь, закрывается в течении 0-20 секунд, без какой-либо ошибки. В результате, ввод OTP невозможен.

В Windows Event Viewer на RDS появляется следующие записи:
Код: 40
Сенас 6 был отключен, код причины 5
Code 5 is generated when a user connects to the device using the same login but the system does not enable multiple concurrent sessions, causing another current connection to be disconnected.

Код: 40
Сенас 6 был отключен, код причины 11
Code 11 is registered when the user disconnecting from the session initiates the disconnection. This might be due to the user shutting the RDP window or to the usage of an administrative tool from the same session, such as the logoff command in CMD or a batch file, to force the disconnect.

 
Проблема не воспроизводится на машинах (клиентах), на которых разрешено сохранение учетных данных, при подключении по RDP и последующий вход осуществляется прозрачно (без ввода учетных данных).

Варианты решения:

    1. Применить политику, запрещающую сохранение паролей со стороны сервера:
Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Безопасность \ Всегда запрашивать пароль при подключении \ Включить.

    2. Отключить политику:
Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Подключения \ Ограничить пользователей служб удаленных рабочих столов одним сеансом служб удаленных рабочих столов

После применения одной из вышеприведенных политик, при повторном переподключении, после закрытия опубликованного web приложения - успешно отрабатывает политика “view details”, и корректно обрабатывается окно 2FA RDP Windows Logon.