9
Unterschied lokal vs. RDP bei Windows SmartCard-Login
Ich grüße Euch!
Wer nutzt denn hier auf Windows den SmartCard-Login auch in Verbindung mit RDP?
Ich habe auf meinem Yubikey 3 Zertifikate gespeichert - lokal kann ich alle 3 nutzen.
Für RDP-Login kann ich jedoch nur 2 davon nutzen, nämlich die beiden, die ich zuerst auf den Stick geschrieben habe:
Da der Yubikey-Support ohne Vertrag nicht so schnell antworten wird, möchte ich die Gelegenheit nutzen und fragen, ob das bei Euch auch so ist.
Mir scheint, der über RDP durchgeschleifte SmartcardReader kann remote nicht das leisten, was er lokal kann, aber das ist nur eine Vermutung.
Wer nutzt denn hier auf Windows den SmartCard-Login auch in Verbindung mit RDP?
Ich habe auf meinem Yubikey 3 Zertifikate gespeichert - lokal kann ich alle 3 nutzen.
Für RDP-Login kann ich jedoch nur 2 davon nutzen, nämlich die beiden, die ich zuerst auf den Stick geschrieben habe:
Mir scheint, der über RDP durchgeschleifte SmartcardReader kann remote nicht das leisten, was er lokal kann, aber das ist nur eine Vermutung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 626334
Url: https://administrator.de/contentid/626334
Printed on: April 19, 2024 at 14:04 o'clock
9 Comments
Latest comment
@DerWoWusste:
Hallo.
Zu dem Gerät und den Keys kann ich leider gar nichts sagen.
Aber die Funktionalität und die Fähigkeiten des RDP-Protokolls stehen und fallen mit dem Alter der jeweiligen RDP-/RDS-Software auf Client- und Serverseite.
Deshalb gestatte die Frage:
Wo willst Du per RDP-Client hin? Auf einen richtigen RDS-/Terminalserver? Dann geht das am Besten mit dem allerneuesten, den Microsoft zu bieten hat, also dem W2K19. Aber auch der RDP-Client sollte dem jüngsten Sproß von W10 angehören, momentan 20H2. Geht es um VDI (oder auch ein W10-Blech), gilt das gleiche, beide "Gegenstellen" sollten möglichst aktuell sein.
Ich betone das deshalb so sehr, weil sich hinsichtlich RDS/RDP beim W2K19 einiges massiv verbessert hat. Aber auch der W10-Client muß hier mitziehen, damit auch der entsprechend neueste RDP-Client im Einsatz ist.
Viele Grüße
von
departure69
Hallo.
Zu dem Gerät und den Keys kann ich leider gar nichts sagen.
Aber die Funktionalität und die Fähigkeiten des RDP-Protokolls stehen und fallen mit dem Alter der jeweiligen RDP-/RDS-Software auf Client- und Serverseite.
Deshalb gestatte die Frage:
Wo willst Du per RDP-Client hin? Auf einen richtigen RDS-/Terminalserver? Dann geht das am Besten mit dem allerneuesten, den Microsoft zu bieten hat, also dem W2K19. Aber auch der RDP-Client sollte dem jüngsten Sproß von W10 angehören, momentan 20H2. Geht es um VDI (oder auch ein W10-Blech), gilt das gleiche, beide "Gegenstellen" sollten möglichst aktuell sein.
Ich betone das deshalb so sehr, weil sich hinsichtlich RDS/RDP beim W2K19 einiges massiv verbessert hat. Aber auch der W10-Client muß hier mitziehen, damit auch der entsprechend neueste RDP-Client im Einsatz ist.
Viele Grüße
von
departure69
Moin.
Es ist das allerneueste. Im Screenshot sieht man zwar rechts 2012 R2 als Ziel, aber es funktioniert ebensowenig mit Server 2019 als Ziel und auch nicht bei 20H2 als Ziel. Client ist Win10 20H2.
Es ist das allerneueste. Im Screenshot sieht man zwar rechts 2012 R2 als Ziel, aber es funktioniert ebensowenig mit Server 2019 als Ziel und auch nicht bei 20H2 als Ziel. Client ist Win10 20H2.
Ok, gelöst.
Die Lösung ist etwas kurios. Der Remote-Anmeldebildschirm prüft allen Ernstes sofort ab, ob sich diese in der Smartcard gespeicherten Konten beim Quellrechner anmelden dürfen und stellt nur die dar, welche das dürfen! Unabhängig von der Anmeldeberechtigung am Ziel!
Das ist mal wieder MS-Logik!
Und nein, NLA (Network Level Authentication) spielt dabei keine Rolle, das ist deaktiviert am Ziel!
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
Das ist mal wieder MS-Logik!
Und nein, NLA (Network Level Authentication) spielt dabei keine Rolle, das ist deaktiviert am Ziel!
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
Zitat von @DerWoWusste:
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist
Mal sehen, ob Ihnen das bewusst ist.
Der Supportmitarbeiter gibt das Problem in Tante Google ein ...... findet die Lösung auf administrator.de ...... und verkauft sie Dir ums teure Geld
2
🤫
So, kommen wir nun zur eigentlichen Lösung *hüstel*
Es hat mit den Anmeldeberechtigungen nichts zu tun. Es war nach vielem Geteste etwas unübersichtlich.
Was gegeben sein muss, damit es funktioniert: Auto-Enrollment auf der Yubikeyzertifikatsvorlage muss für die Nutzer aktiviert sein. Zudem habe ich die Zertifikate im AD veröffentlicht. Mir scheint, beides ist nötig. Ich hoffe, dass Yubico dies bestätigen kann, dann werde ich es hier reinschreiben - noch schweigen sie seit Freitag.
Es hat mit den Anmeldeberechtigungen nichts zu tun. Es war nach vielem Geteste etwas unübersichtlich.
Was gegeben sein muss, damit es funktioniert: Auto-Enrollment auf der Yubikeyzertifikatsvorlage muss für die Nutzer aktiviert sein. Zudem habe ich die Zertifikate im AD veröffentlicht. Mir scheint, beides ist nötig. Ich hoffe, dass Yubico dies bestätigen kann, dann werde ich es hier reinschreiben - noch schweigen sie seit Freitag.
Ich habe nach weiteren Tests nun endlich gepeilt, wie der Hase läuft:
Yubikey 5 (nfc) hat offiziell nur "Platz" für 2 Smartcardzertifikate. Allerdings hat der Yubikey 5 noch 20 weitere Slots für "retired Zertifikate", die man jedoch auch für diesen Zweck (die Smartcardanmeldung) nutzen kann (Enrollment wie gehabt, keine weiteren Schritte nötig).
Nun kommt's: damit diese retired Slots auch remote gelesen werden können, muss remote nicht nur der Treiber "Yubikey Smartcard Minidriver" installiert sein, sondern auch im Gerätemanager sichtbar sein - das passiert aber wenn von remote verbunden nicht automatisch, sondern nur manuell. Man muss ihn also als Legacydevice manuell hinzufügen, dann klappt alles sofort und ohne Neustart.
Hat also mit Anmeldeberechtigungen und Enrollmentart rein gar nichts zu tun!
Ich hatte mich in diese Scheinlösungen verstiegen, da ich getestet hatte sowohl mit VMs (die NUR von remote erreichbar sind) und mit realen Maschinen, wo ich die Smartcard ja tatsächlich auch anschließen konnte - daher das unterschiedliche Verhalten und die Trugschlüsse.
Yubico Support ist planlos und wusste von diesem Verhalten rein gar nichts! Es ist nicht einmal dokumentiert, dass die retired Slots dafür überhaupt genutzt werden können!
Yubikey 5 (nfc) hat offiziell nur "Platz" für 2 Smartcardzertifikate. Allerdings hat der Yubikey 5 noch 20 weitere Slots für "retired Zertifikate", die man jedoch auch für diesen Zweck (die Smartcardanmeldung) nutzen kann (Enrollment wie gehabt, keine weiteren Schritte nötig).
Nun kommt's: damit diese retired Slots auch remote gelesen werden können, muss remote nicht nur der Treiber "Yubikey Smartcard Minidriver" installiert sein, sondern auch im Gerätemanager sichtbar sein - das passiert aber wenn von remote verbunden nicht automatisch, sondern nur manuell. Man muss ihn also als Legacydevice manuell hinzufügen, dann klappt alles sofort und ohne Neustart.
Hat also mit Anmeldeberechtigungen und Enrollmentart rein gar nichts zu tun!
Ich hatte mich in diese Scheinlösungen verstiegen, da ich getestet hatte sowohl mit VMs (die NUR von remote erreichbar sind) und mit realen Maschinen, wo ich die Smartcard ja tatsächlich auch anschließen konnte - daher das unterschiedliche Verhalten und die Trugschlüsse.
Yubico Support ist planlos und wusste von diesem Verhalten rein gar nichts! Es ist nicht einmal dokumentiert, dass die retired Slots dafür überhaupt genutzt werden können!
@DerWoWusste:
Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung.
Deine Ausdauer, solch ein Problem so richtig bis in die Tiefe zu knacken, ist übrigens bewundernswert. Ich hätte lange vorher aufgegeben.
Viele Grüße
von
departure69
Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung
.Deine Ausdauer, solch ein Problem so richtig bis in die Tiefe zu knacken, ist übrigens bewundernswert. Ich hätte lange vorher aufgegeben.
Viele Grüße
von
departure69
Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung
Der Yubico-Supporter war wirklich schwach und argumentierte immer "das ist Microsoft, damit haben wir nichts zu tun, da können wir leider nicht helfen".Ausdauer, ja, ein wenig hat's gedauert. Ich habe aber nicht lange rumgemacht, sondern bin irgendwann zufällig drüber gestolpert, nachdem auf einem der vielen Rechner auch bei direktem Anschluss der Karte kein Smartcardsymbol im Gerätemanager auftauchte.
1
