Jump to content
Ben1804

Smartcardanmeldung (2FA) in AD funktioniert nicht

Recommended Posts

Hallo Liebe MCSE-Community,

 

ich versuche seit über einer Woche eine 2FA mittels Smartcard in meinem Netzwerk einzurichten und stoße immer wieder auf neue Hindernisse. Es liegt ziemlich sicher daran, dass etwas mit den DNS Einstellungen nicht passt.

 

Aktuell komme ich selbst mit meinem Freund Google und anderen Foren nicht mehr weiter. Daher hoffe ich, dass ihr mir vielleicht weiterhelfen könnt.

 

Vorab die technischen Eckdaten (Server):

 

OS: Windows Server 2012R2 (64 Bit)

 

Modell: Server PER730

 

CPU: Intel(R) Xenon(R) CPU E5-2640 v4 @2.40GHz

 

RAM: 64GB

 

 

Technische Eckdaten (Clienten):

 

OS: Windows 7 Professional (64 Bit)

 

Modell: Dell Precision 7720

 

CPU: Intel(R) Core(TM) i7-6920HQ @ 2,90Ghz

 

RAM: 32GB

 

 

Smartcards/Reader:

 

2x MD830 FIPS Lvl 2 Operator cards f. Vsec

 

1x CT40 Reader per USB (alle Laptops verfügen zusätzlich über eigene Reader)

 

5x MD830 FIPS Lvl 2 Smartcards

 

 

 

Mein aktueller Stand ist, dass ich eine Karte mit einem Zertifikat beschreiben konnte, aber Windows die Anmeldung nach der PIN-Eingabe nicht zulässt.

 

Fehler:

"Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist."

 

 

 

AD DS Übersicht mit Fehlermeldungen

 

Warnung 4013:

 

"Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde."

 

Fehler: 1202:

 

Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.

 

Verzeichnisinstanz: NTDS

LDAP-Port der Verzeichnisinstanz: 389

SSL-Port der Verzeichnisinstanz: 636

 

 

Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden.

 

Weitere Informationen:

Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)

 

 

AD CS zeigt Fehler 91:

Fehler 91:

Es konnte keine Verbindung mit Active Directory hergestellt werden. Der Vorgang wird wiederholt, sobald der Zugriff auf Active Directory während der Verarbeitung erneut erforderlich ist.

 

 

Gerne liefere ich bei Bedarf noch mehr CMD-Ergebnisse oder andere Informationen.

 

Windows PowerShell
Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten.

PS C:\Users\cseidl> dcdiag /all
Ungültige Syntax: ungültige Option /all. Hilfe erhalten Sie mithilfe von "dcdiag.exe /h".
PS C:\Users\cseidl> dcdiag /fix

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = ASPSERVER01
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\ASPSERVER01
      Starting test: Connectivity
         ......................... ASPSERVER01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\ASPSERVER01
      Starting test: Advertising
         ......................... ASPSERVER01 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... ASPSERVER01 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie
         zur Folge haben.
         ......................... Der Test DFSREvent für ASPSERVER01 ist fehlgeschlagen.
      Starting test: SysVolCheck
         ......................... ASPSERVER01 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ......................... ASPSERVER01 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... ASPSERVER01 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... ASPSERVER01 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... ASPSERVER01 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         [ASPSERVER01] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs.
         Das für diesen Test verwendete Konto muss für die Domäne dieses
         Computers über Netwerkanmelderechte verfügen.
         ......................... Der Test NetLogons für ASPSERVER01 ist fehlgeschlagen.
      Starting test: ObjectsReplicated
         ......................... ASPSERVER01 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         [Replikationsüberprüfung, ASPSERVER01] Fehler bei DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105 "Der Replikationszugriff wurde verweigert."
         ......................... Der Test Replications für ASPSERVER01 ist fehlgeschlagen.
      Starting test: RidManager
         ......................... ASPSERVER01 hat den Test RidManager bestanden.
      Starting test: Services
            Der Dienst NTDS auf ASPSERVER01 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert"
         ......................... Der Test Services für ASPSERVER01 ist fehlgeschlagen.
      Starting test: SystemLog
         Warnung. Ereignis-ID: 0x000727AA
            Erstellungszeitpunkt: 08/01/2019   09:39:08
            Ereigniszeichenfolge: Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/ASPSERVER01.ASPSERVER01.ADDS; WSMAN/ASPSERVER01.
         Warnung. Ereignis-ID: 0x0000000C
            Erstellungszeitpunkt: 08/01/2019   09:39:08
            Ereigniszeichenfolge:
            Zeitanbieter "NtpClient": Dieser Computer ist für die Verwendung der Domänenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Domäne, der erste Compute
r in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Domänenhierarchie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverlässigen Zeitdienst in
der Stammdomäne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Andernfalls wird dieser Computer als verbindliche Zeitquelle in der Domänenhierarchie aus
geführt. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden.
         Warnung. Ereignis-ID: 0x00002724
            Erstellungszeitpunkt: 08/01/2019   09:39:11
            Ereigniszeichenfolge:
            Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewähr
leisten.
         Fehler. Ereignis-ID: 0x00000423
            Erstellungszeitpunkt: 08/01/2019   09:39:11
            Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.
         Fehler. Ereignis-ID: 0x00000423
            Erstellungszeitpunkt: 08/01/2019   09:39:11
            Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.
         Warnung. Ereignis-ID: 0x00001696
            Erstellungszeitpunkt: 08/01/2019   09:39:24
            Ereigniszeichenfolge: Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen. Fehler:
         Warnung. Ereignis-ID: 0x00000937
            Erstellungszeitpunkt: 08/01/2019   09:39:37
            Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider:  Physical Disk 0:1:6 Controller 0, Connector 0
         Warnung. Ereignis-ID: 0x00000937
            Erstellungszeitpunkt: 08/01/2019   09:39:37
            Ereigniszeichenfolge: Disk found is not supplied by an authorized hardware provider:  Physical Disk 0:1:7 Controller 0, Connector 0
         Warnung. Ereignis-ID: 0x0000091F
            Erstellungszeitpunkt: 08/01/2019   09:39:42
            Ereigniszeichenfolge: Controller event log: PD 06(e0x20/s6) is not a certified drive:  Controller 0 (PERC H730 Mini)
         Warnung. Ereignis-ID: 0x0000091F
            Erstellungszeitpunkt: 08/01/2019   09:39:42
            Ereigniszeichenfolge: Controller event log: PD 07(e0x20/s7) is not a certified drive:  Controller 0 (PERC H730 Mini)
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 08/01/2019   09:43:12
            Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID     1810 (C:\Windows\system32\dcdiag.exe).
         Fehler. Ereignis-ID: 0x0000900A
            Erstellungszeitpunkt: 08/01/2019   09:53:41
            Ereigniszeichenfolge:
            Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, v
om Server unterstützt. Fehler bei der SSL-Verbindungsanforderung.
         Fehler. Ereignis-ID: 0x00009018
            Erstellungszeitpunkt: 08/01/2019   09:53:41
            Ereigniszeichenfolge:
            Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das
 TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 08/01/2019   09:55:33
            Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "192.168.5.1" kommunizieren; angefordert von PID     16bc (C:\Windows\system32\dcdiag.exe).
         ......................... Der Test SystemLog für ASPSERVER01 ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... ASPSERVER01 hat den Test VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: ASPSERVER01
      Starting test: CheckSDRefDom
         ......................... ASPSERVER01 hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ASPSERVER01 hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS
      Starting test: LocatorCheck
         ......................... ASPSERVER01.ADDS hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... ASPSERVER01.ADDS hat den Test Intersite bestanden.
PS C:\Users\cseidl>

 

Windows PowerShell
Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten.

PS C:\Users\cseidl> dcdiag /test:dns

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = ASPSERVER01
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\ASPSERVER01
      Starting test: Connectivity
         ......................... ASPSERVER01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\ASPSERVER01

      Starting test: DNS

         DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten...
         ......................... Der Test DNS für ASPSERVER01 ist fehlgeschlagen.

   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: ASPSERVER01

   Unternehmenstests werden ausgeführt auf: ASPSERVER01.ADDS
      Starting test: DNS
         Testergebnisse für Domänencontroller:

            Domänencontroller: ASPSERVER01.ASPSERVER01.ADDS
            Domäne: ASPSERVER01.ADDS


               TEST: Basic (Basc)
                  Achtung: Adapter [00000024] Microsoft Network Adapter Multiplexor Driver besitzt einen ungültigen DNS-Server: 192.168.5.1 (<name unavailable>)
                  Warning: The A record for this DC was not found
                  Für diesen Domänencontroller wurden keine Hosteinträge (A oder AAAA) gefunden.
                  Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)

         Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten DNS-Server:

            DNS-Server: 192.168.5.1 (<name unavailable>)
               1 Testfehler auf diesem DNS-Server
               Name resolution is not functional. _ldap._tcp.ASPSERVER01.ADDS. failed on the DNS server 192.168.5.1

         Zusammenfassung der DNS-Testergebnisse:

                                            Auth. Bas. Weiterl. Entf.  Dyn.  RReg. Erw.
            _________________________________________________________________
            Domäne: ASPSERVER01.ADDS
               ASPSERVER01                  PASS FAIL n/a  n/a  n/a  n/a  n/a

         ......................... Der Test DNS für ASPSERVER01.ADDS ist fehlgeschlagen.
PS C:\Users\cseidl>

 

Vielen Dank im Voraus!

 

Gruß

Bene

Dashboard (Server).PNG

Edited by Ben1804

Share this post


Link to post
Share on other sites

Wer ist 192.168.5.1? Und es hilft, wenn Du sowas nicht einfach ungefiltert hier reinwirfst, sondern sinnvoll selektierst... Die "Ok-Meldungen" von DCDiag interessieren ja hier nicht :-)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...