maxhax
15.04.2024, aktualisiert um 12:33:04 Uhr
view1329
view7
0
Goto Top

Mit Azure AD konto am lokalen AD anmelden

gelöstFrageNetzwerkeServerCloudWindows Server
Hallo,

Folgendes Szenario.
Ich habe ein lokales AD mit test.local dieses ist über einen Azure AD Connect mit einem Azure AD verknüpft.
Dort werden die User auch korrekt gematcht. Kennwort sync usw. funktioniert.

Ich habe nun aber Geräte die im Azure eingebunden (Azure joined) sind und mit dem dem entsprechenden Usern angemeldet sind.

Jetzt brauche ich aber eine Authenfizierung über das Azure am lokalen DC damit ich auf Netzlaufwerke Druckerfreigaben usw. zugreifen kann.
Wenn ich mich jetzt auf den Server verbinde bekommen ich immer die Meldung:
Zur Abwicklung der Authetifizerungsanforderung konnte keine Verbindung zum Domänencontroller hergestellt werden.
Obwohl eine Verbindung besteht und der DC auch als DNS am Client eingetragen ist.

Anbei hab ich eine kleine Grafik gemacht um das etwas verständlicher zu machen.

Sie ist vielleicht nicht 100% korrekt da ja nur die Anmeldung über azure statt finden soll der SMB zugriff logischer weiße lokal statt findet.

azure ad sync

Danke euch im Voraus!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 63991218377

Url: https://administrator.de/contentid/63991218377

Ausgedruckt am: 18.11.2024 um 22:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
dertowa
dertowa 15.04.2024 um 14:04:37 Uhr
Goto Top
Zitat von @MaxHax:

Jetzt brauche ich aber eine Authenfizierung über das Azure am lokalen DC damit ich auf Netzlaufwerke Druckerfreigaben usw. zugreifen kann.

Korrekt und dafür ist gar nichts weiter einzurichten.

Wenn ich mich jetzt auf den Server verbinde bekommen ich immer die Meldung:
Zur Abwicklung der Authetifizerungsanforderung konnte keine Verbindung zum Domänencontroller hergestellt werden.
Obwohl eine Verbindung besteht und der DC auch als DNS am Client eingetragen ist.

Also das System sagt dir, es kann keine Verbindung zum DC aufnehmen und du behauptest es kann?
Irgendwer irrt sich nun also.

Was sagt am Client die Befehlszeile mit "klist"?
Werden Tickets vom lokalen DC bereitgestellt?
Wenn nein stimmt irgendetwas mit den Zugangsdaten wohl nicht, oder der DC ist nicht erreichbar.

Grüße
ToWa
MaxHax
MaxHax 15.04.2024 aktualisiert um 14:34:49 Uhr
Goto Top
Hallo ToWa,

ich habe mal die Geräte zurück Schreibung eingerichtet anscheinend umsonst wie es ausschaut.

Du hast recht wenn ich mich manuell anmelde egal ob mit der Mail Adresse oder dem Username habe ich zugriff.

ich glaube es hat etwas mit Windows Hello zu tun mein Gerät bringt immer eine Fingerabdruck oder Pin abfrage.
Sobald ich Konto wechsle dann ohne \domain User Name oder mail zur Anmeldung eintrage funktioniert es.

anmelde

Aber selbst wenn ich Windows Hello ausschalte bekomme ich den selben Fehler.
dertowa
dertowa 15.04.2024 um 14:47:24 Uhr
Goto Top
Zitat von @MaxHax:

ich glaube es hat etwas mit Windows Hello zu tun

Salut,

dein lokales AD kennt die Hashs von Fingerabdruck oder Gesichtserkennung ziemlich sicher nicht.
Dann weißt du ja nun in welche Richtung du recherchieren musst. face-smile

Wenn du das am Laufen hast, gern die Lösung hier mal teilen, das steht tatsächlich auch auf meiner Liste für irgendwann wenn mir mal extrem langweilig ist. face-big-smile

Grüße
ToWa
MaxHax
MaxHax 15.04.2024 um 15:34:40 Uhr
Goto Top
ja so ganz am Windows Hello kanns nicht liegen. Habs testweiße deaktiviert.

Aber wie du schon sagst. Wie oder warum soll das Gerät dem fremden DC die Zugangsdaten einfach übergeben.
Dani
Dani 15.04.2024 um 17:17:10 Uhr
Goto Top
Moin,
ich glaube es hat etwas mit Windows Hello zu tun mein Gerät bringt immer eine Fingerabdruck oder Pin abfrage.
Ist wohl möglich: Plan a Windows Hello for Business deployment


Gruß,
Dani
Pjordorf
Pjordorf 16.04.2024 um 07:21:55 Uhr
Goto Top
Hallo,

Zitat von @MaxHax:
Aber wie du schon sagst. Wie oder warum soll das Gerät dem fremden DC die Zugangsdaten einfach übergeben.
Vielleicht wäre es ratsam hier die genaue Fehlermeldung zu nennen (oder auch Hartkopieren), du kqannst auch die Fehlermeldung im Ereignissprotokoll nachlesen (oder auch Bildschirmschiessen)...Nicht jede Meldung ist eine Fehlermeldung...

Gruss,
Peter
MaxHax
Lösung MaxHax 16.04.2024 aktualisiert um 14:03:46 Uhr
Goto Top
Guten Morgen,

Durch zufall und weil ich bei meinem Gerät Windows Hello ausgeschalten habe hab ich mich heute mit meinem Azure Passwort angemeldet worauf hin die lokale Anmeldung funktionierte es lag also wirklich am Windows Hello.
Nun waren auch im klist Tickets vorhanden.

Die Lösung für dieses Problem war die Einrichtung vom Cloud Kerberos und einer Windows Hello intune Richtlinie.
www.youtube.com/watch?v=66I2P6XjTyY

Nun funktioniert die lokale Anmeldung mit Azure only devices.
heart1
gelöstFrageNetzwerkeServerCloudWindows Server
Mehr von MaxHaxMaxHaxWindows Speichern unter Pfad ändernMaxHax - 2 KommentareMaxHaxAzure auth an RDS FarmMaxHax - 3 KommentareMaxHaxBackup mit WinSCPMaxHax - 4 KommentareMaxHaxAndroid Azure Kontakte im ArbeitsprofilMaxHax - 6 Kommentare
Heiß diskutiert
FohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 Kommentareseppo1Switche KMUseppo1 - 28 KommentarecseLaufwege erfassen in großer Hallecse - 20 KommentaredenfinHeimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)denfin - 18 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 12 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 12 KommentareDSchmolkePasswort ändern in der Domäne geht nichtDSchmolke - 12 KommentarelucarusAdminrechte eines Servers auf VM in Domänelucarus - 12 KommentareMatthias182Bestehendes Heimnetz auf 2.5G oder 10G erweiternMatthias182 - 12 Kommentare