Unterschied lokal vs. RDP bei Windows SmartCard-Login

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

27.11.2020 um 14:02 Uhr, 915 Aufrufe, 9 Kommentare, 2 Danke

Ich grüße Euch!

Wer nutzt denn hier auf Windows den SmartCard-Login auch in Verbindung mit RDP?
Ich habe auf meinem Yubikey 3 Zertifikate gespeichert - lokal kann ich alle 3 nutzen.
Für RDP-Login kann ich jedoch nur 2 davon nutzen, nämlich die beiden, die ich zuerst auf den Stick geschrieben habe:
capture - Klicke auf das Bild, um es zu vergrößern
Da der Yubikey-Support ohne Vertrag nicht so schnell antworten wird, möchte ich die Gelegenheit nutzen und fragen, ob das bei Euch auch so ist.

Mir scheint, der über RDP durchgeschleifte SmartcardReader kann remote nicht das leisten, was er lokal kann, aber das ist nur eine Vermutung.
Mitglied: departure69
27.11.2020 um 14:43 Uhr
@DerWoWusste:

Hallo.

Zu dem Gerät und den Keys kann ich leider gar nichts sagen.

Aber die Funktionalität und die Fähigkeiten des RDP-Protokolls stehen und fallen mit dem Alter der jeweiligen RDP-/RDS-Software auf Client- und Serverseite.

Deshalb gestatte die Frage:

Wo willst Du per RDP-Client hin? Auf einen richtigen RDS-/Terminalserver? Dann geht das am Besten mit dem allerneuesten, den Microsoft zu bieten hat, also dem W2K19. Aber auch der RDP-Client sollte dem jüngsten Sproß von W10 angehören, momentan 20H2. Geht es um VDI (oder auch ein W10-Blech), gilt das gleiche, beide "Gegenstellen" sollten möglichst aktuell sein.

Ich betone das deshalb so sehr, weil sich hinsichtlich RDS/RDP beim W2K19 einiges massiv verbessert hat. Aber auch der W10-Client muß hier mitziehen, damit auch der entsprechend neueste RDP-Client im Einsatz ist.

Viele Grüße

von

departure69
Bitte warten ..
Mitglied: DerWoWusste
27.11.2020, aktualisiert um 14:54 Uhr
Moin.

Es ist das allerneueste. Im Screenshot sieht man zwar rechts 2012 R2 als Ziel, aber es funktioniert ebensowenig mit Server 2019 als Ziel und auch nicht bei 20H2 als Ziel. Client ist Win10 20H2.
Bitte warten ..
Mitglied: DerWoWusste
27.11.2020, aktualisiert 01.12.2020
Ok, gelöst.

Die Lösung ist etwas kurios. Der Remote-Anmeldebildschirm prüft allen Ernstes sofort ab, ob sich diese in der Smartcard gespeicherten Konten beim Quellrechner anmelden dürfen und stellt nur die dar, welche das dürfen! Unabhängig von der Anmeldeberechtigung am Ziel!
Das ist mal wieder MS-Logik!
Und nein, NLA (Network Level Authentication) spielt dabei keine Rolle, das ist deaktiviert am Ziel!

Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist :-) face-smile
Mal sehen, ob Ihnen das bewusst ist.
Bitte warten ..
Mitglied: Franz-Josef-II
28.11.2020 um 10:09 Uhr
Zitat von DerWoWusste:

Aber ein Gutes hat es: ich kann gleich mal schauen, wie versiert der Yubikey-Support mit Ihrem eigenen Produkt ist :-) face-smile
Mal sehen, ob Ihnen das bewusst ist.


Der Supportmitarbeiter gibt das Problem in Tante Google ein ...... findet die Lösung auf administrator.de ...... und verkauft sie Dir ums teure Geld
;-) face-wink
Bitte warten ..
Mitglied: DerWoWusste
01.12.2020, aktualisiert um 15:46 Uhr
So, kommen wir nun zur eigentlichen Lösung *hüstel*
Es hat mit den Anmeldeberechtigungen nichts zu tun. Es war nach vielem Geteste etwas unübersichtlich.

Was gegeben sein muss, damit es funktioniert: Auto-Enrollment auf der Yubikeyzertifikatsvorlage muss für die Nutzer aktiviert sein. Zudem habe ich die Zertifikate im AD veröffentlicht. Mir scheint, beides ist nötig. Ich hoffe, dass Yubico dies bestätigen kann, dann werde ich es hier reinschreiben - noch schweigen sie seit Freitag.
Bitte warten ..
Mitglied: DerWoWusste
09.12.2020, aktualisiert um 09:32 Uhr
Ich habe nach weiteren Tests nun endlich gepeilt, wie der Hase läuft:
Yubikey 5 (nfc) hat offiziell nur "Platz" für 2 Smartcardzertifikate. Allerdings hat der Yubikey 5 noch 20 weitere Slots für "retired Zertifikate", die man jedoch auch für diesen Zweck (die Smartcardanmeldung) nutzen kann (Enrollment wie gehabt, keine weiteren Schritte nötig).

Nun kommt's: damit diese retired Slots auch remote gelesen werden können, muss remote nicht nur der Treiber "Yubikey Smartcard Minidriver" installiert sein, sondern auch im Gerätemanager sichtbar sein - das passiert aber wenn von remote verbunden nicht automatisch, sondern nur manuell. Man muss ihn also als Legacydevice manuell hinzufügen, dann klappt alles sofort und ohne Neustart.

Hat also mit Anmeldeberechtigungen und Enrollmentart rein gar nichts zu tun!
Ich hatte mich in diese Scheinlösungen verstiegen, da ich getestet hatte sowohl mit VMs (die NUR von remote erreichbar sind) und mit realen Maschinen, wo ich die Smartcard ja tatsächlich auch anschließen konnte - daher das unterschiedliche Verhalten und die Trugschlüsse.

Yubico Support ist planlos und wusste von diesem Verhalten rein gar nichts! Es ist nicht einmal dokumentiert, dass die retired Slots dafür überhaupt genutzt werden können!
Bitte warten ..
Mitglied: departure69
09.12.2020 um 10:14 Uhr
@DerWoWusste:

Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung ;-) face-wink.

Deine Ausdauer, solch ein Problem so richtig bis in die Tiefe zu knacken, ist übrigens bewundernswert. Ich hätte lange vorher aufgegeben.

Viele Grüße

von

departure69
Bitte warten ..
Mitglied: DerWoWusste
09.12.2020 um 10:23 Uhr
Du kannst das denen ja so mitteilen, vielleicht gibt's eine Belohnung
Der Yubico-Supporter war wirklich schwach und argumentierte immer "das ist Microsoft, damit haben wir nichts zu tun, da können wir leider nicht helfen".
Ausdauer, ja, ein wenig hat's gedauert. Ich habe aber nicht lange rumgemacht, sondern bin irgendwann zufällig drüber gestolpert, nachdem auf einem der vielen Rechner auch bei direktem Anschluss der Karte kein Smartcardsymbol im Gerätemanager auftauchte.
Bitte warten ..
Heiß diskutierte Inhalte
Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 1 TagFrageInternet25 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

Windows Server
GPO verschieben von Benutzern
gelöst AnGi1964Vor 1 TagFrageWindows Server10 Kommentare

Hallo in die Runde! Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann. 1. Ich habe bei einem ...

Firewall
Kennt jemand Forcepoint Firewalls oder setzt diese sogar ein?
ZeroTrustVor 1 TagFrageFirewall2 Kommentare

Ich wäre interessiert an User Meinungen über diese Firewall Lösungen. Kenne ich absolut nicht und habe auch noch nie davon gehört, geschweige jemals damit ...

Outlook & Mail
Outlook 2019 stürzt bei Erhalt von Besprechungsanfrage ab
gelöst PhiltaerVor 1 TagFrageOutlook & Mail17 Kommentare

Hallo, ich habe ein ganz merkwürdiges Problem. Outlook 2019 stürzt beim Erhalt von Emails die Besprechungsanfragen enthält ab. Das Programm friert ein mit "Reagiert ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 14 StundenFrageNetzwerke12 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

Router & Routing
Router Firewall gesucht
HamBamVor 1 TagFrageRouter & Routing9 Kommentare

Hallo zusammen, ich schaue mich für die Firma aktuell nach neuen Routern für unsere Außenstellen um. Aktuell haben wir da diese silbernen, bei Administratoren ...

Windows Server
Server 2019 - VM (DC) hängt sporadisch
zer0g2224Vor 1 TagFrageWindows Server13 Kommentare

Hallo liebe Kolleginnen und Kollegen, ich habe mal wieder eine Frage zu einem Problem: Eine VM (DC) bleibt im Betrieb sporadisch "hängen". Das äußert ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 21 StundenFrageWindows 1013 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...