Blumagine 1 Geschrieben 17. Juli 2023 Melden Teilen Geschrieben 17. Juli 2023 Hallo Ihr, Ich würde am liebsteh die RDP-Authentifizierung mittels Yubikeys einrichten. Laut der Anleitung (https://swjm.blog/the-complete-guide-to-rdp-with-yubikeys-fido2-cba-1bfc50f39b43) sollte dies recht einfach sein. Aber ich scheitere beim Versuch, den Befehl LocalGroupMember -Group "Remotedesktopbenutzer" -Member "AzureAD\[kundenname]@stbk.link" auszuführen. LocalGroupMember : Der Prinzipal AzureAD\[kundenname]@stbk.link wurde nicht gefunden. In Zeile:1 Zeichen:1 + LocalGroupMember -Group "Remotedesktopbenutzer" -Member "AzureAD\[kundenname] ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (AzureAD\[kundenname]@stbk.link:String) [Get-LocalGroupMember], PrincipalN otFoundException + FullyQualifiedErrorId : PrincipalNotFound,Microsoft.PowerShell.Commands.GetLocalGroupMemberCommand Der Host ist bereits Azure-AD-Hybrid-Joined: +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : YES DomainName : STBK Device Name : vrdp501172.stbk.link +----------------------------------------------------------------------+ | Device Details | +----------------------------------------------------------------------+ DeviceId : XXX Thumbprint : XXX DeviceCertificateValidity : [ 2023-07-11 10:27:44.000 UTC -- 2033-07-11 10:57:44.000 UTC ] KeyContainerId : XXX KeyProvider : Microsoft Software Key Storage Provider TpmProtected : NO DeviceAuthStatus : SUCCESS +----------------------------------------------------------------------+ | Tenant Details | +----------------------------------------------------------------------+ TenantName : [kundenname] TenantId : c742fd56-3458-40a8-8c97-7a57e83fecb3 AuthCodeUrl : https://login.microsoftonline.com/XXX/oauth2/authorize AccessTokenUrl : https://login.microsoftonline.com/XXX/oauth2/token MdmUrl : https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc MdmTouUrl : https://portal.manage.microsoft.com/TermsofUse.aspx MdmComplianceUrl : https://portal.manage.microsoft.com/?portalAction=Compliance SettingsUrl : JoinSrvVersion : 2.0 JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/ JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net KeySrvVersion : 1.0 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/ KeySrvId : urn:ms-drs:enterpriseregistration.windows.net WebAuthNSrvVersion : 1.0 WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/XXX/ WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net DeviceManagementSrvVer : 1.0 DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/XXX/ DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : NO WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : {XXX} (AzureAd) +----------------------------------------------------------------------+ | SSO State | +----------------------------------------------------------------------+ AzureAdPrt : YES AzureAdPrtUpdateTime : 2023-07-13 06:19:37.000 UTC AzureAdPrtExpiryTime : 2023-07-27 06:19:36.000 UTC AzureAdPrtAuthority : https://login.microsoftonline.com/XXX EnterprisePrt : NO EnterprisePrtAuthority : OnPremTgt : NO CloudTgt : YES KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342 +----------------------------------------------------------------------+ | Diagnostic Data | +----------------------------------------------------------------------+ AadRecoveryEnabled : NO Executing Account Name : STBK\[kundenname]@stbk.link KeySignTest : PASSED DisplayNameUpdated : YES OsVersionUpdated : YES HostNameUpdated : YES Last HostName Update : NONE +----------------------------------------------------------------------+ | IE Proxy Config for Current User | +----------------------------------------------------------------------+ Auto Detect Settings : YES Auto-Configuration URL : Proxy Server List : Proxy Bypass List : +----------------------------------------------------------------------+ | WinHttp Default Proxy Config | +----------------------------------------------------------------------+ Access Type : DIRECT +----------------------------------------------------------------------+ | Ngc Prerequisite Check | +----------------------------------------------------------------------+ IsDeviceJoined : YES IsUserAzureAD : YES PolicyEnabled : NO PostLogonEnabled : YES DeviceEligible : NO SessionIsNotRemote : NO CertEnrollment : none PreReqResult : WillNotProvision For more information, please visit https://www.microsoft.com/aadjerrors Hat jemand eine Idee, warum dies fehlschlägt und somit die Remote-RDP-Verbindung fehlschlägt? Mit freundlichen Grüßen, Lars Kusch Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 17. Juli 2023 Melden Teilen Geschrieben 17. Juli 2023 Evtl. solltest du deine Infos etwas pseudonymisieren. Zitieren Link zu diesem Kommentar
q617 1 Geschrieben 17. Juli 2023 Melden Teilen Geschrieben 17. Juli 2023 Hast du Azure ohne Supportvertrag oder wie? Zitieren Link zu diesem Kommentar
Damian 1.533 Geschrieben 17. Juli 2023 Melden Teilen Geschrieben 17. Juli 2023 @Blumagine Hallo und Willkommen on Board! Der Hinweis von @NorbertFe zur Pseudonymisierung von Daten in einem öffentlichen Forum ist mehr als berechtigt. Damit sollte man sehr sorgfältig umgehen, also bitte in Zukunft beachten. Danke. Ich habe Deinen Post entsprechend bearbeitet. VG Damian Zitieren Link zu diesem Kommentar
Blumagine 1 Geschrieben 17. Juli 2023 Autor Melden Teilen Geschrieben 17. Juli 2023 Hallo beisamen, entschuldigt bitte, wenn ich das anonymisieren nicht beachtet habe. Die Felder die ich für wichtig gehalten hatte waren ja schon, totzdem DANKE! Der Microsoft-Support sagt leider nur - haben wir keine Ahnung . LG Lars 1 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 18. Juli 2023 Melden Teilen Geschrieben 18. Juli 2023 Moin, ich habe das mal ganz kurz getestet und bei mir funktioniert das mit einem Windows Server 2022 RDSH intern ohne irgendwelche Anpassungen. Von extern übers RD Gateway hatte ich hier noch keinen Erfolg. Ich benutze zwar keinen Yubikey sondern nur passwordless über die MS Authenticator App. (Das sollte aber hier egal sein.) Gruß Jan Zitieren Link zu diesem Kommentar
Blumagine 1 Geschrieben 18. Juli 2023 Autor Melden Teilen Geschrieben 18. Juli 2023 Hallo zusammen, @testperson darf ich fragen wie dein Server konfiguriert ist. Der betreffende Server hat genauso wie bei dir einen RDSH und ist AzureAD-Hybrid-joined, auf dem DC (anderer Server) läuft Azure AD Connect mit Passworthashsynchronisation und SSO-Login. Brauche ich sonst noch etwas? Liebe Grüße, Lars Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 18. Juli 2023 Melden Teilen Geschrieben 18. Juli 2023 Schaue ich mir später mal an und melde mich. Ich habe definitiv noch den "Hybrid Azure AD Device join" eingerichtet. Zusätzlich ist da noch folgendes eingerichtet: Passwordless security key sign-in to on-premises resources - Microsoft Entra | Microsoft Learn Zitieren Link zu diesem Kommentar
Blumagine 1 Geschrieben 19. Juli 2023 Autor Melden Teilen Geschrieben 19. Juli 2023 Ich bin so dämlich... Lesen müsste man können: Der Testbenutzer war natürlich ein Administrator... - mit normalen Benutzern geht es einwandfrei. Dann bleibt jetzt nur noch die Frage, wie kann ich es für Administratoren auch einschalten? Liebe Grüße, Lars Zitieren Link zu diesem Kommentar
Beste Lösung testperson 1.677 Geschrieben 19. Juli 2023 Beste Lösung Melden Teilen Geschrieben 19. Juli 2023 vor 6 Minuten schrieb Blumagine: Der Testbenutzer war natürlich ein Administrator... - mit normalen Benutzern geht es einwandfrei. In welcher/n AD Gruppe/n war der Adminuser denn? Zur RDSH Verwaltung sollte dir ja ein stink normaler Domain User reichen, der auf den beteiligten Server Mitglied der lokalen Administrators ist. Zitieren Link zu diesem Kommentar
Blumagine 1 Geschrieben 19. Juli 2023 Autor Melden Teilen Geschrieben 19. Juli 2023 vor 19 Minuten schrieb testperson: In welcher/n AD Gruppe/n war der Adminuser denn? Zur RDSH Verwaltung sollte dir ja ein stink normaler Domain User reichen, der auf den beteiligten Server Mitglied der lokalen Administrators ist. Die AD-Gruppen sind nicht von Interesse dafür. Sobald ein Benutzer in der lokalen AD Mitglied einer "Admin*"-Gruppe ist, funktioniert die Anmeldung mittels AzureAD nicht mehr. Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 19. Juli 2023 Melden Teilen Geschrieben 19. Juli 2023 Funktioniert bei mir ohne Probleme. Habe meinen Test-Account gerade in die lokalen Administratoren des RDSH gepackt und bin passwordless angemeldet. Ob der Yubikey hier jetzt der ausschlaggebende Faktor ist, kann ich mangels Yubikey nicht beurteilen. Zitieren Link zu diesem Kommentar
Blumagine 1 Geschrieben 3. August 2023 Autor Melden Teilen Geschrieben 3. August 2023 Bei mir klappt es mit den Administratoren leider nicht, aber seie's drum... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.