Blumagine 1 Geschrieben 17. Juli 2023 Melden Geschrieben 17. Juli 2023 Hallo Ihr, Ich würde am liebsteh die RDP-Authentifizierung mittels Yubikeys einrichten. Laut der Anleitung (https://swjm.blog/the-complete-guide-to-rdp-with-yubikeys-fido2-cba-1bfc50f39b43) sollte dies recht einfach sein. Aber ich scheitere beim Versuch, den Befehl LocalGroupMember -Group "Remotedesktopbenutzer" -Member "AzureAD\[kundenname]@stbk.link" auszuführen. LocalGroupMember : Der Prinzipal AzureAD\[kundenname]@stbk.link wurde nicht gefunden. In Zeile:1 Zeichen:1 + LocalGroupMember -Group "Remotedesktopbenutzer" -Member "AzureAD\[kundenname] ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (AzureAD\[kundenname]@stbk.link:String) [Get-LocalGroupMember], PrincipalN otFoundException + FullyQualifiedErrorId : PrincipalNotFound,Microsoft.PowerShell.Commands.GetLocalGroupMemberCommand Der Host ist bereits Azure-AD-Hybrid-Joined: +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : YES DomainName : STBK Device Name : vrdp501172.stbk.link +----------------------------------------------------------------------+ | Device Details | +----------------------------------------------------------------------+ DeviceId : XXX Thumbprint : XXX DeviceCertificateValidity : [ 2023-07-11 10:27:44.000 UTC -- 2033-07-11 10:57:44.000 UTC ] KeyContainerId : XXX KeyProvider : Microsoft Software Key Storage Provider TpmProtected : NO DeviceAuthStatus : SUCCESS +----------------------------------------------------------------------+ | Tenant Details | +----------------------------------------------------------------------+ TenantName : [kundenname] TenantId : c742fd56-3458-40a8-8c97-7a57e83fecb3 AuthCodeUrl : https://login.microsoftonline.com/XXX/oauth2/authorize AccessTokenUrl : https://login.microsoftonline.com/XXX/oauth2/token MdmUrl : https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc MdmTouUrl : https://portal.manage.microsoft.com/TermsofUse.aspx MdmComplianceUrl : https://portal.manage.microsoft.com/?portalAction=Compliance SettingsUrl : JoinSrvVersion : 2.0 JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/ JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net KeySrvVersion : 1.0 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/ KeySrvId : urn:ms-drs:enterpriseregistration.windows.net WebAuthNSrvVersion : 1.0 WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/XXX/ WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net DeviceManagementSrvVer : 1.0 DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/XXX/ DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : NO WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : {XXX} (AzureAd) +----------------------------------------------------------------------+ | SSO State | +----------------------------------------------------------------------+ AzureAdPrt : YES AzureAdPrtUpdateTime : 2023-07-13 06:19:37.000 UTC AzureAdPrtExpiryTime : 2023-07-27 06:19:36.000 UTC AzureAdPrtAuthority : https://login.microsoftonline.com/XXX EnterprisePrt : NO EnterprisePrtAuthority : OnPremTgt : NO CloudTgt : YES KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342 +----------------------------------------------------------------------+ | Diagnostic Data | +----------------------------------------------------------------------+ AadRecoveryEnabled : NO Executing Account Name : STBK\[kundenname]@stbk.link KeySignTest : PASSED DisplayNameUpdated : YES OsVersionUpdated : YES HostNameUpdated : YES Last HostName Update : NONE +----------------------------------------------------------------------+ | IE Proxy Config for Current User | +----------------------------------------------------------------------+ Auto Detect Settings : YES Auto-Configuration URL : Proxy Server List : Proxy Bypass List : +----------------------------------------------------------------------+ | WinHttp Default Proxy Config | +----------------------------------------------------------------------+ Access Type : DIRECT +----------------------------------------------------------------------+ | Ngc Prerequisite Check | +----------------------------------------------------------------------+ IsDeviceJoined : YES IsUserAzureAD : YES PolicyEnabled : NO PostLogonEnabled : YES DeviceEligible : NO SessionIsNotRemote : NO CertEnrollment : none PreReqResult : WillNotProvision For more information, please visit https://www.microsoft.com/aadjerrors Hat jemand eine Idee, warum dies fehlschlägt und somit die Remote-RDP-Verbindung fehlschlägt? Mit freundlichen Grüßen, Lars Kusch
NorbertFe 2.283 Geschrieben 17. Juli 2023 Melden Geschrieben 17. Juli 2023 Evtl. solltest du deine Infos etwas pseudonymisieren.
q617 1 Geschrieben 17. Juli 2023 Melden Geschrieben 17. Juli 2023 Hast du Azure ohne Supportvertrag oder wie?
Damian 1.797 Geschrieben 17. Juli 2023 Melden Geschrieben 17. Juli 2023 @Blumagine Hallo und Willkommen on Board! Der Hinweis von @NorbertFe zur Pseudonymisierung von Daten in einem öffentlichen Forum ist mehr als berechtigt. Damit sollte man sehr sorgfältig umgehen, also bitte in Zukunft beachten. Danke. Ich habe Deinen Post entsprechend bearbeitet. VG Damian
Blumagine 1 Geschrieben 17. Juli 2023 Autor Melden Geschrieben 17. Juli 2023 Hallo beisamen, entschuldigt bitte, wenn ich das anonymisieren nicht beachtet habe. Die Felder die ich für wichtig gehalten hatte waren ja schon, totzdem DANKE! Der Microsoft-Support sagt leider nur - haben wir keine Ahnung . LG Lars 1
testperson 1.859 Geschrieben 18. Juli 2023 Melden Geschrieben 18. Juli 2023 Moin, ich habe das mal ganz kurz getestet und bei mir funktioniert das mit einem Windows Server 2022 RDSH intern ohne irgendwelche Anpassungen. Von extern übers RD Gateway hatte ich hier noch keinen Erfolg. Ich benutze zwar keinen Yubikey sondern nur passwordless über die MS Authenticator App. (Das sollte aber hier egal sein.) Gruß Jan
Blumagine 1 Geschrieben 18. Juli 2023 Autor Melden Geschrieben 18. Juli 2023 Hallo zusammen, @testperson darf ich fragen wie dein Server konfiguriert ist. Der betreffende Server hat genauso wie bei dir einen RDSH und ist AzureAD-Hybrid-joined, auf dem DC (anderer Server) läuft Azure AD Connect mit Passworthashsynchronisation und SSO-Login. Brauche ich sonst noch etwas? Liebe Grüße, Lars
testperson 1.859 Geschrieben 18. Juli 2023 Melden Geschrieben 18. Juli 2023 Schaue ich mir später mal an und melde mich. Ich habe definitiv noch den "Hybrid Azure AD Device join" eingerichtet. Zusätzlich ist da noch folgendes eingerichtet: Passwordless security key sign-in to on-premises resources - Microsoft Entra | Microsoft Learn
Blumagine 1 Geschrieben 19. Juli 2023 Autor Melden Geschrieben 19. Juli 2023 Ich bin so dämlich... Lesen müsste man können: Der Testbenutzer war natürlich ein Administrator... - mit normalen Benutzern geht es einwandfrei. Dann bleibt jetzt nur noch die Frage, wie kann ich es für Administratoren auch einschalten? Liebe Grüße, Lars
Beste Lösung testperson 1.859 Geschrieben 19. Juli 2023 Beste Lösung Melden Geschrieben 19. Juli 2023 vor 6 Minuten schrieb Blumagine: Der Testbenutzer war natürlich ein Administrator... - mit normalen Benutzern geht es einwandfrei. In welcher/n AD Gruppe/n war der Adminuser denn? Zur RDSH Verwaltung sollte dir ja ein stink normaler Domain User reichen, der auf den beteiligten Server Mitglied der lokalen Administrators ist.
Blumagine 1 Geschrieben 19. Juli 2023 Autor Melden Geschrieben 19. Juli 2023 vor 19 Minuten schrieb testperson: In welcher/n AD Gruppe/n war der Adminuser denn? Zur RDSH Verwaltung sollte dir ja ein stink normaler Domain User reichen, der auf den beteiligten Server Mitglied der lokalen Administrators ist. Die AD-Gruppen sind nicht von Interesse dafür. Sobald ein Benutzer in der lokalen AD Mitglied einer "Admin*"-Gruppe ist, funktioniert die Anmeldung mittels AzureAD nicht mehr.
testperson 1.859 Geschrieben 19. Juli 2023 Melden Geschrieben 19. Juli 2023 Funktioniert bei mir ohne Probleme. Habe meinen Test-Account gerade in die lokalen Administratoren des RDSH gepackt und bin passwordless angemeldet. Ob der Yubikey hier jetzt der ausschlaggebende Faktor ist, kann ich mangels Yubikey nicht beurteilen.
Blumagine 1 Geschrieben 3. August 2023 Autor Melden Geschrieben 3. August 2023 Bei mir klappt es mit den Administratoren leider nicht, aber seie's drum...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden