maxhax
Goto Top

Mit Azure AD konto am lokalen AD anmelden

Hallo,

Folgendes Szenario.
Ich habe ein lokales AD mit test.local dieses ist über einen Azure AD Connect mit einem Azure AD verknüpft.
Dort werden die User auch korrekt gematcht. Kennwort sync usw. funktioniert.

Ich habe nun aber Geräte die im Azure eingebunden (Azure joined) sind und mit dem dem entsprechenden Usern angemeldet sind.

Jetzt brauche ich aber eine Authenfizierung über das Azure am lokalen DC damit ich auf Netzlaufwerke Druckerfreigaben usw. zugreifen kann.
Wenn ich mich jetzt auf den Server verbinde bekommen ich immer die Meldung:
Zur Abwicklung der Authetifizerungsanforderung konnte keine Verbindung zum Domänencontroller hergestellt werden.
Obwohl eine Verbindung besteht und der DC auch als DNS am Client eingetragen ist.

Anbei hab ich eine kleine Grafik gemacht um das etwas verständlicher zu machen.

Sie ist vielleicht nicht 100% korrekt da ja nur die Anmeldung über azure statt finden soll der SMB zugriff logischer weiße lokal statt findet.

azure ad sync

Danke euch im Voraus!

Content-ID: 63991218377

Url: https://administrator.de/forum/mit-azure-ad-konto-am-lokalen-ad-anmelden-63991218377.html

Ausgedruckt am: 21.12.2024 um 14:12 Uhr

dertowa
dertowa 15.04.2024 um 14:04:37 Uhr
Goto Top
Zitat von @MaxHax:

Jetzt brauche ich aber eine Authenfizierung über das Azure am lokalen DC damit ich auf Netzlaufwerke Druckerfreigaben usw. zugreifen kann.

Korrekt und dafür ist gar nichts weiter einzurichten.

Wenn ich mich jetzt auf den Server verbinde bekommen ich immer die Meldung:
Zur Abwicklung der Authetifizerungsanforderung konnte keine Verbindung zum Domänencontroller hergestellt werden.
Obwohl eine Verbindung besteht und der DC auch als DNS am Client eingetragen ist.

Also das System sagt dir, es kann keine Verbindung zum DC aufnehmen und du behauptest es kann?
Irgendwer irrt sich nun also.

Was sagt am Client die Befehlszeile mit "klist"?
Werden Tickets vom lokalen DC bereitgestellt?
Wenn nein stimmt irgendetwas mit den Zugangsdaten wohl nicht, oder der DC ist nicht erreichbar.

Grüße
ToWa
MaxHax
MaxHax 15.04.2024 aktualisiert um 14:34:49 Uhr
Goto Top
Hallo ToWa,

ich habe mal die Geräte zurück Schreibung eingerichtet anscheinend umsonst wie es ausschaut.

Du hast recht wenn ich mich manuell anmelde egal ob mit der Mail Adresse oder dem Username habe ich zugriff.

ich glaube es hat etwas mit Windows Hello zu tun mein Gerät bringt immer eine Fingerabdruck oder Pin abfrage.
Sobald ich Konto wechsle dann ohne \domain User Name oder mail zur Anmeldung eintrage funktioniert es.

anmelde

Aber selbst wenn ich Windows Hello ausschalte bekomme ich den selben Fehler.
dertowa
dertowa 15.04.2024 um 14:47:24 Uhr
Goto Top
Zitat von @MaxHax:

ich glaube es hat etwas mit Windows Hello zu tun

Salut,

dein lokales AD kennt die Hashs von Fingerabdruck oder Gesichtserkennung ziemlich sicher nicht.
Dann weißt du ja nun in welche Richtung du recherchieren musst. face-smile

Wenn du das am Laufen hast, gern die Lösung hier mal teilen, das steht tatsächlich auch auf meiner Liste für irgendwann wenn mir mal extrem langweilig ist. face-big-smile

Grüße
ToWa
MaxHax
MaxHax 15.04.2024 um 15:34:40 Uhr
Goto Top
ja so ganz am Windows Hello kanns nicht liegen. Habs testweiße deaktiviert.

Aber wie du schon sagst. Wie oder warum soll das Gerät dem fremden DC die Zugangsdaten einfach übergeben.
Dani
Dani 15.04.2024 um 17:17:10 Uhr
Goto Top
Moin,
ich glaube es hat etwas mit Windows Hello zu tun mein Gerät bringt immer eine Fingerabdruck oder Pin abfrage.
Ist wohl möglich: Plan a Windows Hello for Business deployment


Gruß,
Dani
Pjordorf
Pjordorf 16.04.2024 um 07:21:55 Uhr
Goto Top
Hallo,

Zitat von @MaxHax:
Aber wie du schon sagst. Wie oder warum soll das Gerät dem fremden DC die Zugangsdaten einfach übergeben.
Vielleicht wäre es ratsam hier die genaue Fehlermeldung zu nennen (oder auch Hartkopieren), du kqannst auch die Fehlermeldung im Ereignissprotokoll nachlesen (oder auch Bildschirmschiessen)...Nicht jede Meldung ist eine Fehlermeldung...

Gruss,
Peter
MaxHax
Lösung MaxHax 16.04.2024 aktualisiert um 14:03:46 Uhr
Goto Top
Guten Morgen,

Durch zufall und weil ich bei meinem Gerät Windows Hello ausgeschalten habe hab ich mich heute mit meinem Azure Passwort angemeldet worauf hin die lokale Anmeldung funktionierte es lag also wirklich am Windows Hello.
Nun waren auch im klist Tickets vorhanden.

Die Lösung für dieses Problem war die Einrichtung vom Cloud Kerberos und einer Windows Hello intune Richtlinie.
www.youtube.com/watch?v=66I2P6XjTyY

Nun funktioniert die lokale Anmeldung mit Azure only devices.