Jump to content

Ben1804

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    2

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von Ben1804

  2. Smartcardanmeldung (2FA) in AD funktioniert nicht

    in Active Directory Forum

    Geschrieben · bearbeitet von Ben1804

    Hallo Liebe MCSE-Community,

     

    ich versuche seit über einer Woche eine 2FA mittels Smartcard in meinem Netzwerk einzurichten und stoße immer wieder auf neue Hindernisse. Es liegt ziemlich sicher daran, dass etwas mit den DNS Einstellungen nicht passt.

     

    Aktuell komme ich selbst mit meinem Freund Google und anderen Foren nicht mehr weiter. Daher hoffe ich, dass ihr mir vielleicht weiterhelfen könnt.

     

    Vorab die technischen Eckdaten (Server):

     

    OS: Windows Server 2012R2 (64 Bit)

     

    Modell: Server PER730

     

    CPU: Intel(R) Xenon(R) CPU E5-2640 v4 @2.40GHz

     

    RAM: 64GB

     

     

    Technische Eckdaten (Clienten):

     

    OS: Windows 7 Professional (64 Bit)

     

    Modell: Dell Precision 7720

     

    CPU: Intel(R) Core(TM) i7-6920HQ @ 2,90Ghz

     

    RAM: 32GB

     

     

    Smartcards/Reader:

     

    2x MD830 FIPS Lvl 2 Operator cards f. Vsec

     

    1x CT40 Reader per USB (alle Laptops verfügen zusätzlich über eigene Reader)

     

    5x MD830 FIPS Lvl 2 Smartcards

     

     

     

    Mein aktueller Stand ist, dass ich eine Karte mit einem Zertifikat beschreiben konnte, aber Windows die Anmeldung nach der PIN-Eingabe nicht zulässt.

     

    Fehler:

    "Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist."

     

     

     

    AD DS Übersicht mit Fehlermeldungen

     

    Warnung 4013:

     

    "Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde."

     

    Fehler: 1202:

     

    Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.

     

    Verzeichnisinstanz: NTDS

    LDAP-Port der Verzeichnisinstanz: 389

    SSL-Port der Verzeichnisinstanz: 636

     

     

    Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden.

     

    Weitere Informationen:

    Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)

     

     

    AD CS zeigt Fehler 91:

    Fehler 91:

    Es konnte keine Verbindung mit Active Directory hergestellt werden. Der Vorgang wird wiederholt, sobald der Zugriff auf Active Directory während der Verarbeitung erneut erforderlich ist.

     

     

    Gerne liefere ich bei Bedarf noch mehr CMD-Ergebnisse oder andere Informationen.

     

    Windows PowerShell
    Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten.

    PS C:\Users\cseidl> dcdiag /all
    Ungültige Syntax: ungültige Option /all. Hilfe erhalten Sie mithilfe von "dcdiag.exe /h".
    PS C:\Users\cseidl> dcdiag /fix

    Verzeichnisserverdiagnose

    Anfangssetup wird ausgeführt:
       Der Homeserver wird gesucht...
       Homeserver = ASPSERVER01
       * Identifizierte AD-Gesamtstruktur.
       Sammeln der Ausgangsinformationen abgeschlossen.

    Erforderliche Anfangstests werden ausgeführt.

       Server wird getestet: Default-First-Site-Name\ASPSERVER01
          Starting test: Connectivity
             ......................... ASPSERVER01 hat den Test Connectivity bestanden.

    Primärtests werden ausgeführt.

       Server wird getestet: Default-First-Site-Name\ASPSERVER01
          Starting test: Advertising
             ......................... ASPSERVER01 hat den Test Advertising bestanden.
          Starting test: FrsEvent
             ......................... ASPSERVER01 hat den Test FrsEvent bestanden.
          Starting test: DFSREvent
             Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie
             zur Folge haben.
             ......................... Der Test DFSREvent für ASPSERVER01 ist fehlgeschlagen.
          Starting test: SysVolCheck
             ......................... ASPSERVER01 hat den Test SysVolCheck bestanden.
          Starting test: KccEvent
             ......................... ASPSERVER01 hat den Test KccEvent bestanden.
          Starting test: KnowsOfRoleHolders
             ......................... ASPSERVER01 hat den Test KnowsOfRoleHolders bestanden.
          Starting test: MachineAccount
             ......................... ASPSERVER01 hat den Test MachineAccount bestanden.
          Starting test: NCSecDesc
             ......................... ASPSERVER01 hat den Test NCSecDesc bestanden.
          Starting test: NetLogons
             [ASPSERVER01] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs.
             Das für diesen Test verwendete Konto muss für die Domäne dieses
             Computers über Netwerkanmelderechte verfügen.
             ......................... Der Test NetLogons für ASPSERVER01 ist fehlgeschlagen.
          Starting test: ObjectsReplicated
             ......................... ASPSERVER01 hat den Test ObjectsReplicated bestanden.
          Starting test: Replications
             [Replikationsüberprüfung, ASPSERVER01] Fehler bei DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105 "Der Replikationszugriff wurde verweigert."
             ......................... Der Test Replications für ASPSERVER01 ist fehlgeschlagen.
          Starting test: RidManager
             ......................... ASPSERVER01 hat den Test RidManager bestanden.
          Starting test: Services
                Der Dienst NTDS auf ASPSERVER01 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert"
             ......................... Der Test Services für ASPSERVER01 ist fehlgeschlagen.
          Starting test: SystemLog
             Warnung. Ereignis-ID: 0x000727AA
                Erstellungszeitpunkt: 08/01/2019   09:39:08
                Ereigniszeichenfolge: Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/ASPSERVER01.ASPSERVER01.ADDS; WSMAN/ASPSERVER01.
             Warnung. Ereignis-ID: 0x0000000C
                Erstellungszeitpunkt: 08/01/2019   09:39:08
                Ereigniszeichenfolge:
                Zeitanbieter "NtpClient": Dieser Computer ist für die Verwendung der Domänenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Domäne, der erste Compute
    r in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Domänenhierarchie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverlässigen Zeitdienst in
    der Stammdomäne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Andernfalls wird dieser Computer als verbindliche Zeitquelle in der Domänenhierarchie aus
    geführt. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden.
             Warnung. Ereignis-ID: 0x00002724
                Erstellungszeitpunkt: 08/01/2019   09:39:11
                Ereigniszeichenfolge:
                Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewähr
    leisten.
             Fehler. Ereignis-ID: 0x00000423
                Erstellungszeitpunkt: 08/01/2019   09:39:11
                Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.
             Fehler. Ereignis-ID: 0x00000423
                Erstellungszeitpunkt: 08/01/2019   09:39:11
                Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.
             Warnung. Ereignis-ID: 0x00001696
                Erstellungszeitpunkt: 08/01/2019   09:39:24
                Ereigniszeichenfolge: Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen. Fehler:
             Warnung. Ereignis-ID: 0x00000937
                Erstellungszeitpunkt: 08/01/2019   09:39:37
                Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider:  Physical Disk 0:1:6 Controller 0, Connector 0
             Warnung. Ereignis-ID: 0x00000937
                Erstellungszeitpunkt: 08/01/2019   09:39:37
                Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider:  Physical Disk 0:1:7 Controller 0, Connector 0
             Warnung. Ereignis-ID: 0x0000091F
                Erstellungszeitpunkt: 08/01/2019   09:39:42
                Ereigniszeichenfolge: Controller event log: PD 06(e0x20/s6) is not a certified drive:  Controller 0 (PERC H730 Mini)
             Warnung. Ereignis-ID: 0x0000091F
                Erstellungszeitpunkt: 08/01/2019   09:39:42
                Ereigniszeichenfolge: Controller event log: PD 07(e0x20/s7) is not a certified drive:  Controller 0 (PERC H730 Mini)
             Fehler. Ereignis-ID: 0x0000272C
                Erstellungszeitpunkt: 08/01/2019   09:43:12
                Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID     1810 (C:\Windows\system32\dcdiag.exe).
             Fehler. Ereignis-ID: 0x0000900A
                Erstellungszeitpunkt: 08/01/2019   09:53:41
                Ereigniszeichenfolge:
                Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, v
    om Server unterstützt. Fehler bei der SSL-Verbindungsanforderung.
             Fehler. Ereignis-ID: 0x00009018
                Erstellungszeitpunkt: 08/01/2019   09:53:41
                Ereigniszeichenfolge:
                Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das
     TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205.
             Fehler. Ereignis-ID: 0x0000272C
                Erstellungszeitpunkt: 08/01/2019   09:55:33
                Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID     16bc (C:\Windows\system32\dcdiag.exe).
             ......................... Der Test SystemLog für ASPSERVER01 ist fehlgeschlagen.
          Starting test: VerifyReferences
             ......................... ASPSERVER01 hat den Test VerifyReferences bestanden.


       Partitionstests werden ausgeführt auf: ForestDnsZones
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: DomainDnsZones
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: Schema
          Starting test: CheckSDRefDom
             ......................... Schema hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... Schema hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: Configuration
          Starting test: CheckSDRefDom
             ......................... Configuration hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... Configuration hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: ASPSERVER01
          Starting test: CheckSDRefDom
             ......................... ASPSERVER01 hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... ASPSERVER01 hat den Test CrossRefValidation bestanden.

       Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS
          Starting test: LocatorCheck
             ......................... ASPSERVER01.ADDS hat den Test LocatorCheck bestanden.
          Starting test: Intersite
             ......................... ASPSERVER01.ADDS hat den Test Intersite bestanden.
    PS C:\Users\cseidl>

     

    Windows PowerShell
    Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten.

    PS C:\Users\cseidl> dcdiag /test:dns

    Verzeichnisserverdiagnose

    Anfangssetup wird ausgeführt:
       Der Homeserver wird gesucht...
       Homeserver = ASPSERVER01
       * Identifizierte AD-Gesamtstruktur.
       Sammeln der Ausgangsinformationen abgeschlossen.

    Erforderliche Anfangstests werden ausgeführt.

       Server wird getestet: Default-First-Site-Name\ASPSERVER01
          Starting test: Connectivity
             ......................... ASPSERVER01 hat den Test Connectivity bestanden.

    Primärtests werden ausgeführt.

       Server wird getestet: Default-First-Site-Name\ASPSERVER01

          Starting test: DNS

             DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten...
             ......................... Der Test DNS für ASPSERVER01 ist fehlgeschlagen.

       Partitionstests werden ausgeführt auf: ForestDnsZones

       Partitionstests werden ausgeführt auf: DomainDnsZones

       Partitionstests werden ausgeführt auf: Schema

       Partitionstests werden ausgeführt auf: Configuration

       Partitionstests werden ausgeführt auf: ASPSERVER01

       Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS
          Starting test: DNS
             Testergebnisse für Domänencontroller:

                Domänencontroller: ASPSERVER01.ASPSERVER01.ADDS
                Domäne: ASPSERVER01.ADDS


                   TEST: Basic (Basc)
                      Achtung: Adapter [00000024] Microsoft Network Adapter Multiplexor Driver besitzt einen ungültigen DNS-Server: 192.168.5.1 (<name unavailable>)
                      Warning: The A record for this DC was not found
                      Für diesen Domänencontroller wurden keine Hosteinträge (A oder AAAA) gefunden.
                      Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)

             Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten DNS-Server:

                DNS-Server: 192.168.5.1 (<name unavailable>)
                   1 Testfehler auf diesem DNS-Server
                   Name resolution is not functional. _ldap._tcp.ASPSERVER01.ADDS. failed on the DNS server 192.168.5.1

             Zusammenfassung der DNS-Testergebnisse:

                                                Auth. Bas. Weiterl. Entf.  Dyn.  RReg. Erw.
                _________________________________________________________________
                Domäne: ASPSERVER01.ADDS
                   ASPSERVER01                  PASS FAIL n/a  n/a  n/a  n/a  n/a

             ......................... Der Test DNS für ASPSERVER01.ADDS ist fehlgeschlagen.
    PS C:\Users\cseidl>

     

    Vielen Dank im Voraus!

     

    Gruß

    Bene

    Dashboard (Server).PNG

×
×
  • Neu erstellen...