Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SmartCard-Anmeldung wird für ihr Konto nicht unterstützt

Mitglied: Uhli90

Uhli90 (Level 1) - Jetzt verbinden

22.05.2018, aktualisiert 15:43 Uhr, 1374 Aufrufe, 10 Kommentare

Liebe Kolleginnen und Kollegen,

ich halte die Fragestellung erst einmal allgemein, da ich hoffe nur eine Kleinigkeit vergessen zu haben.

Das Thema CA ist für mich Neuland. Mit viel Einlesen und Probieren habe ich jetzt eine AD-Umgebung mit einer Root-CA und Sub-CA.
Die CA mit angepassten Zertifikatsvorlagen funktioniert, mein Enroll-Benutzer tut was er soll und das erste Zertifikat habe ich auf einen YubiKey4 geladen.


Jetzt zu meinem Problem:

Versuche ich mich mit dem YubiKey an meiner Windows10-Maschine anzumelden erhalte ich die Meldung: "Die SmartCard-Anmeldung wird für ihr Konto nicht unterstützt. ... Administrator."
Die Gruppenrichtlinie für das automatische Ausrollen: Computer>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>"Zertifikatsdienstclient - Automatische Registrierung" habe ich konfiguriert.

Muss man die SmartCard-Anmeldung noch an anderer Stelle explizit erlauben? Ich bin ratlos.

Nachtrage: Es handelt sich um eine reine Windows-Netzwerkumgebung.

Mit freundlichen Grüßen
Uhli90
Mitglied: erikro
22.05.2018 um 16:07 Uhr
Moin,

der Haken im Reiter "Konto" des Users "Benutzer muss sich mit einer Smartcard anmelden" ist gesetzt?

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Uhli90
22.05.2018 um 16:23 Uhr
Moin Erik,

nein der Haken war nicht gesetzt, da ich zu Testzwecken beide Anmeldemöglichkeiten brauche.
Ich habe diesen jetzt versuchsweise gesetzt. Leider keine Änderung. Die Meldung bleibt bestehen.

Gruß Uhli.
Bitte warten ..
Mitglied: emeriks
23.05.2018 um 08:34 Uhr
Hi,
Win10 in welchem Build?
Hier steht z.B., dass es wohl bis 02/18 da noch ein Problem gab.

E.
Bitte warten ..
Mitglied: Uhli90
23.05.2018 um 10:51 Uhr
Windows 10 Build: 16299.431

Ich habe es jetzt mit einem Windows 7 Client ausprobiert und es erscheint eine ähnliche Meldung:

"Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist."

Gruß Uhli.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 23.05.2018 um 11:05 Uhr
Mal am Rande:
  • Die Domaincontroller haben von der CA ein Domain Controller Zertifikat erhalten?
  • Alle Computer im AD kennen diese CA als Root-CA? (Haben das Zertifikat der Root-CA unter "Vertrauenswürdige Zertifizierungsstellen" gespeichert)
Bitte warten ..
Mitglied: Uhli90
23.05.2018 um 11:34 Uhr
Hallo emeriks,

dake für deine bisherigen Hilfsansätze. Da ich gerade noch dabei bin die CA zu verstehen bitte ich jetzt schon um Verständnis für meine Unwissenheit.

Kurz zu meinem Aufbau:
Server2016 Std. als Domain-Controller
Server2016 Std. mit Root-CA (ist heruntergefahren)
Server2016 Std. mit Sub-CA
Windows 10 Client (Domain-Mitglied)
Windows 7 Client (Domain-Mitglied)

Auf dem Windows 10 und Windows 7 Client ist unter "Vertrauenswürdige Zertifizierungsstellen" mein Root-CA Zertifikat zu finden.

Wie kann ich überprüfen ob mein DC ein Zertifikat erhalten hat? Wo muss das liegen? Ich glaube nämlich dort liegt der Hund begraben.

Ich habe im Übrigen endlich eine brauchbare Fehlermeldung im Ereignisprotokoll gefunden:
"Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt."

Gruß Uhli.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 23.05.2018 um 11:41 Uhr
Auf dem DC
MMC starten
SnapIn "Zertifikate" laden für "Computerkonto", lokaler Computer
Unter "Eigene Zertifikate\Zertifikate" sollte ein Zertifikat liegen, welches von der Vorlage "Domänencontroller" erstellt wurde.
Bitte warten ..
Mitglied: Uhli90
23.05.2018 um 12:24 Uhr
Okay, da haben wir den Fehler, es gibt an diesem Ort kein Zertifikat. Dann versuche ich mal herauszufinden was ich vergessen habe.

Kann es ein, dass ich die Zertifikatsvorlagen "Domänencontroller" und "Domänencontrollerauth." noch aktivieren muss? Das habe ich nämlich nicht gemacht. Anschließend sollte sich der DC doch sein Zertifikat anfordern oder? So habe ich das zumindest verstanden.

Gruß Uhli.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 23.05.2018 um 13:22 Uhr
Na ja, meines Wissens ist standardmäßig eingestellt, dass Domaincontroller dieses Zertifikat anfordern dürfen. Sprich die Gruppe "Domaincontroller der Organisation" hat standardmäßig für die Vorlage "Domaincontroller" das Recht "registrieren".
Die DC's schon mal durchgestartet seit dem die CA in Betrieb ist?
Bitte warten ..
Mitglied: Uhli90
04.06.2018 um 08:45 Uhr
Vielen Dank für deinen Input Emeriks,

nachdem ich in meiner Zertifizierungsstelle die Zertifikatsvorlagen "Domänencontroller" und "Domänencontrollerauthentifizierung" hinzugefügt und einen Neustart am DC durchgeführt hatte ging die SmartCard-Anmeldung endlich.

Mein Problem ist somit gelöst.

Gruß Uhli.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Smartcard Anmeldung ohne PIN
Frage von manuelwWindows Server7 Kommentare

Hallo, ich experimentiere gerade in meiner Testumgebung mit Smartcard basierter Domänen- Anmeldung herum. Bisher funktioniert alles einwandfrei. Nur würde ...

Windows Server
RFID SmartCard Anmeldung ohne PIN
Frage von podoguWindows Server9 Kommentare

Hallo liebe Gemeinde, wir haben von einem Kunden den Auftrag bekommen in einer Windows 2008 R2 Domäne mit Windows ...

Windows 10

WIn10 pro "keine Anmeldung am Konto möglich"

Frage von sani007Windows 105 Kommentare

Hallo Wir haben einen HP 840 G4, zurücksetzt. Alle Updates hinauf gespielt. Domain verbinden klappt. alles. Nur wenn wenn ...

Windows 10

BitLocker mit Smartcard??

gelöst Frage von trallerWindows 1012 Kommentare

Hallo, ist folgendes unter Windows 10 mit BitLocker möglich? Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard Wenn SmartCard drin, soll ...

Neue Wissensbeiträge
E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 11 StundenE-Mail7 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 23 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 2 TagenWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Heiß diskutierte Inhalte
DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS23 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server17 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...