stefankittel
15.08.2024, aktualisiert am 16.08.2024
view903
view7
0
Goto Top

Anmeldung mit 365-Account vom Notebook an 2016-RDS mit PIN funktioniert nicht

gelöstFrageWindows Server
Hallo,

ich bräuchte mal einen Tipp.
Ich habe ein Test-PC der nicht im AD ist sondern im AAD.
Der Benutzer meldet sich mit name@firma.de und seinem PIN an.

Nachdem ich diese Azure Connect und diese Anleitung durchgegangen bin kann man nun auf die Freigaben auf den Server zugreifen ohne sich erneut anzumelden.
https://cnag.de/anleitung-windows-hello-for-business-fuer-hybride-umgebu ...

Jetzt stehe ich vor der Hürde dies auch für den 2016er Terminalserver hinzubekommen.
Der ist im lokalen AD und nicht im AAD.

Info: Wenn ich mich mit name@firma.de und dem Kennwort anmelde funktioniert alles normal.
Die Probleme treten nur bei der Anmeldung mit PIN am PC auf. Aber Windows prioritierst Biometrie und PIN gegenüber Kennwort. Das Kennwort ist die letzte Option und man muss immer 4mal klicken bis man das ausgewählt hat.

Problem 1
Wenn NLA aktive ist kann man sich gar nicht anmelden.
Es erscheint diese Meldung:
"Für den Remotecomputer, zu dem Sie eine Verbindung herstellen möchten, ist eine Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) erforderlich. Ihr Windows-Domänencontroller ist aber nicht erreichbar, sodass keine NLA durchgeführt werden kann. Sie können versuchen, eine Verbindung mit dem Remotecomputer herzustellen, indem Sie statt einer NLA Ihren Benutzernamen und Ihr Kennwort verwenden.".

Problem 2
Wenn ich NLA deaktiviere kann man die RDP-Verbindung herstellen. Aber es erscheint die Windows-Anmeldemaske wo man Benutzername und Kennwort eintragen muss.
PIN oder Biometrie fehlen hier als Auswahlmöglichkeit.

Über den Gruppenrichtlinien-Editor am RDS habe ich diese Einstellungen vorgenommen.
(Es gibt nur den einen RDS)
1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Verwendung von Biometrie zulassen > aktivieren
2. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Benutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Domänenbenutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
4. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmelden > Komfortable PIN-Anmeldung aktivieren > aktivieren

Das änderte aber leider nichts.

Wo muss ich noch etwas aktivieren?
Danke für einen Schubs.

Stefan
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 13142127290

Url: https://administrator.de/contentid/13142127290

Ausgedruckt am: 23.11.2024 um 04:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
StefanKittel
StefanKittel 15.08.2024 aktualisiert um 00:39:21 Uhr
Goto Top
Update
Wenn ich in die Einstellungen gehe zu "Anmeldeoptionen" steht dort "Windows Hello ist auf diesem Gerät nicht verfügbar.

Der Server läuft auf einem ESXi 6.7 ohne TPM.
Aber auch die File- und der AD-Server haben kein TPM.

Geht das mit 2016 überhaupt oder braucht man ein neueres Windows?
ThePinky777
ThePinky777 15.08.2024 um 08:14:19 Uhr
Goto Top
das ist normal, RDS Applikationen usw... gehen so nicht.
zumindest konnte das in der letzten firma wo ich war auch nie behoben werden,
trotz hinzuziehen von externen dienstleistern.
Daher anmelden mit Login + PW
StefanKittel
StefanKittel 15.08.2024 um 12:52:19 Uhr
Goto Top
Moin,
danke für die Info.

Das ist ja super.
Liegt das an 2016 und/oder dem fehlenden TPM?

Gibt es einen Terminalserver wo das funktioniert?
z.B. 2022 mit TPM?

Würde es mit VDI also mit Windows 11 VMs funktionieren?

Wie macht Ihr das?
Mitarbeiter melden sich mit 365 an einem Notebook an, wählen sich per VPN ein dann auf RDS-Server für Anwendungen die nur im LAN funktionieren.

Stefan
ThePinky777
ThePinky777 15.08.2024 um 16:26:47 Uhr
Goto Top
also da wo ich mal war vor 1 Jahr...
war das so das man sich halt nicht mit PIN angemeldet hat an den clients.
sondern die clients waren intune und man meldet sich mit Azure Cloud Account an also Emailadresse + PW + ggf. authentifizierung MFA.

So und wenn man sich da mit PW angemeldet hat klappte es auch mit den RDS Applikationen.
Wenn nicht haben gewisse Applikation rumgezickt.

Lösung: mit PW anmelden. Fertig.
Wenn MS zu doof ist den PIN schrott vernünftig ans laufen zu bekommen.

hab erst kürzlich Win 11 aufgesetzt... ist der hammer will bei jeder anmeldun das man PIN einrichtet... keine option "halts maul" oder so face-smile
StefanKittel
StefanKittel 15.08.2024 um 18:03:02 Uhr
Goto Top
Zitat von @ThePinky777:
Lösung: mit PW anmelden. Fertig.
Wenn MS zu doof ist den PIN schrott vernünftig ans laufen zu bekommen.
So hatte ich es auf dem NB auch eingerichtet.
Aber sobald der Nutzer Gesichtserkennung und Fingerabdruck einrichtet, werden diese vorgezogen.
Kennwort ist dann an 6. Stelle.
Stefan
StefanKittel
StefanKittel 15.08.2024 um 18:26:33 Uhr
Goto Top
Hallo,

was nervt ist, dass der User beim Herstellen der Verbindung seinen PIN angiebt und danach die Windows-Anmeldungmaske per RDP sieht aber ohne Benutzername.

Wenn der wenigstens ausgefüllt wäre, müsste der User nur sein Kennwort eingeben.
Das wäre schon viel besser.

In der RDP-Datei ist der Benutzername enthalten.
Durch den PIN wird er aber verworfen.

Ich habe auch keine Option in der RDP-Datei gefunden die das verhindern würde.

Jemand hier eine Idee?

Stefan
StefanKittel
Lösung StefanKittel 15.08.2024 aktualisiert um 22:29:12 Uhr
Goto Top
Update:

ich habe hier jetzt eine Lösung die vermutlich annehmbar ist.

1. NLA deaktivieren für RDP am Server
2. Folgende Zeilen zu einer RDP-Datei hinzufügen
full address:s:10.150.50.40
username:s:AD\m.musterfrau
EnableCredSspSupport:i:0

Wenn der Nutzer nun die RDP-Datei anklickt wird direkt eine RDP-Verbindung hergestellt und der Benutzername eingetragen. Er muss also nur noch sein kennwort eintragen.

Nicht wirklich optimal aber annehmbar.

Xaero hat dies mit einem 2022er ausprobiert. Es gibt Windows-Server schlicht kein Windows-Hello. Die Menüpunkte fehlen.

Es gibt ja schon länger die Gerüchte, dass MS RDS einstellen möchte. Auch Teams funktioniert ja kaum auf RDS.
Viele Kunden sind aber auf RDP angewiesen weil sie Software haben die weder via Web funktionieren noch per VPN/WAN nutzbar sind.

Also wird vermutlich die einzige Möglichkeit VDI sein. Entweder Onpremise oder Windows 365 (ca. 100 Euro pro VM und Monat mit den Anforderungen meines Kunden).

Jemand noch Ideen?

Spannendes Thema.

Stefan
gelöstFrageWindows Server
Mehr von StefanKittelStefanKittelMySQL Erklärung für Qcache_lowmem_prunes gesuchtStefanKittelStefanKittelVisualisieren einer Handvoll Werten über einen längeren Zeitraum onlineStefanKittel - 10 KommentareStefanKittelDNS Provider für MSP oder Reseller gesuchtStefanKittel - 8 KommentareStefanKittelMehr dBi bei WLAN Antennen ist doch besser?StefanKittel - 7 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare