12
Zugriff auf Onpremise AD von Entra-Notebook vor Ort
Hallo,
ich probiere hier gerade verschiedenes aus.
Gegeben ist ein Onpremise AD mit Windows Server 2016.
Ich habe den Azure AD Connect der eine ausgewählte OU zu 365 synchronisiert (Kennwort zurückschreiben).
Neuen Benutzer im AD in der OU anlegen
Kurz warten
Benutzer erscheint in 365
Lizenz zuweisen Business 365 Std (aktuell noch manuel)
Mit Benutzer am Notebook anmelden
Das geht soweit
Device WriteBack ist auch aktiviert.
Jetzt habe ich das Notebook vor Ort und will auf einen Server zugreifen.
Der fragt mich nun nach Zugangsdaten. Darunter steht, dass er den AD-Controller nicht erreichen kann.
Aber alle test zeigen, dass die Verbindung normal funktioniert. Das NB ist an einem Anschluss wo sonst ein PC angeschlossen ist.
Richtiges VLAN und DNS.
ich kann mich anmelden mit firma\m.mustermann.
Aber sollte das nicht out of the box gehen? Vermutlich fehlt hier noch etwas, ich weiß aber nicht was.
Danke für einen Tipp.
Stefan
ich probiere hier gerade verschiedenes aus.
Gegeben ist ein Onpremise AD mit Windows Server 2016.
Ich habe den Azure AD Connect der eine ausgewählte OU zu 365 synchronisiert (Kennwort zurückschreiben).
Neuen Benutzer im AD in der OU anlegen
Kurz warten
Benutzer erscheint in 365
Lizenz zuweisen Business 365 Std (aktuell noch manuel)
Mit Benutzer am Notebook anmelden
Das geht soweit
Device WriteBack ist auch aktiviert.
Jetzt habe ich das Notebook vor Ort und will auf einen Server zugreifen.
Der fragt mich nun nach Zugangsdaten. Darunter steht, dass er den AD-Controller nicht erreichen kann.
Aber alle test zeigen, dass die Verbindung normal funktioniert. Das NB ist an einem Anschluss wo sonst ein PC angeschlossen ist.
Richtiges VLAN und DNS.
ich kann mich anmelden mit firma\m.mustermann.
Aber sollte das nicht out of the box gehen? Vermutlich fehlt hier noch etwas, ich weiß aber nicht was.
Danke für einen Tipp.
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73481266935
Url: https://administrator.de/contentid/73481266935
Ausgedruckt am: 18.11.2024 um 20:11 Uhr
12 Kommentare
Neuester Kommentar
Nabönd,
hast du dich am Notebook mit "firma\m.mustermann" angemeldet oder über das EntraID mit m.mustermann@firma.irgendwas? Im zweiten Fall würde sich nämlich der PC mit jenem Login beim AD melden. Klappt natürlich nicht, weil der AD vermutlich "firma\m.mustermann" erwartet?
hast du dich am Notebook mit "firma\m.mustermann" angemeldet oder über das EntraID mit m.mustermann@firma.irgendwas? Im zweiten Fall würde sich nämlich der PC mit jenem Login beim AD melden. Klappt natürlich nicht, weil der AD vermutlich "firma\m.mustermann" erwartet?
Moin
In der Firme meldet man sich mit ad.firma.de\m.mustermann an die "tradiotionellen" PCs an
Benutzeranmeldename (Oben) m.mustermann @ firma.de
Benutzeranmeldename (Prä-Windows 2000) (Darunter) firma\m.mustermann
Das AD kennt also beide Benutzernamen.
Der Benutzer hat eine Business Premium Lizenz weil ich nicht weiß ob Standard reichen würde.
Entweder muss man dem AD noch sagen, dass man sich auch mit m.mustermann@firma.de anmelden darf, oder da fehlt noch irgendwas...
Stefan
Zitat von @anteNope:
hast du dich am Notebook mit "firma\m.mustermann" angemeldet oder über das EntraID mit m.mustermann@firma.irgendwas?
Am Notebook wurde sich mit m.mustermann@firma.de übner Azure AD angemeldethast du dich am Notebook mit "firma\m.mustermann" angemeldet oder über das EntraID mit m.mustermann@firma.irgendwas?
In der Firme meldet man sich mit ad.firma.de\m.mustermann an die "tradiotionellen" PCs an
Im zweiten Fall würde sich nämlich der PC mit jenem Login beim AD melden. Klappt natürlich nicht, weil der AD vermutlich "firma\m.mustermann" erwartet?
Na im Profil dieser Person gibt es bei "Konto" ja zwei Einträge.Benutzeranmeldename (Oben) m.mustermann @ firma.de
Benutzeranmeldename (Prä-Windows 2000) (Darunter) firma\m.mustermann
Das AD kennt also beide Benutzernamen.
Der Benutzer hat eine Business Premium Lizenz weil ich nicht weiß ob Standard reichen würde.
Entweder muss man dem AD noch sagen, dass man sich auch mit m.mustermann@firma.de anmelden darf, oder da fehlt noch irgendwas...
Stefan
Ich nehme mal an das Laptop ist Entra-joined ?
DHCP Option 15 ist auf den Domainnamen gesetzt ?
Auf was soll den zugegriffen werden und ist das für die User oder PC-Accounts freigegeben ? Maschinen-Authentifizierung am on-premises AD funktioniert nicht mit Entra-joined PCs
DHCP Option 15 ist auf den Domainnamen gesetzt ?
Auf was soll den zugegriffen werden und ist das für die User oder PC-Accounts freigegeben ? Maschinen-Authentifizierung am on-premises AD funktioniert nicht mit Entra-joined PCs
Ja, der Status in O365 zum Gerät ist "Microsoft Entra joined".
Dann hat der User Zugriff auf die Freigaben und Drucker. Mehr wird nicht benötigt.
Stefan
DHCP Option 15 ist auf den Domainnamen gesetzt ?
051 DNS-Domänenname ist "ad.firma.de"Auf was soll den zugegriffen werden und ist das für die User oder PC-Accounts freigegeben ? Maschinen-Authentifizierung am on-premises AD funktioniert nicht mit Entra-joined PCs
Ich kann mich an einem Vor-Ort-RDS-Server mit firma\m.mustermann anmelden.Dann hat der User Zugriff auf die Freigaben und Drucker. Mehr wird nicht benötigt.
Stefan
Salut,
eigentlich musst du gar nichts tun.
Das Design und die Funktionalität ist in meinen Augen richtig klasse, wenn man nicht zu viel konfiguriert.
Beispiel aus meiner Umgebung:
Der User kommt mit dem Notebook ins lokale LAN, erhält vom DHCP die Basiskonfiguration:
Damit kann es die lokalen AD-Server erreichen und fragt dort automatisch mit den EntraID Credentials Tickets an.
Da die Daten übereinstimmen erhält es ein Ticket und der User kann gemäß der lokalen AD-Berechtigungsgruppen auf alles zugreifen.
P.S.: Vorsicht bei den Notebooks wenn der Login mit PIN, Gesichtserkennung oder Fingerabdruck läuft, dann brauchst du zusätzliche Konfigurationen.
Grüße
ToWa
eigentlich musst du gar nichts tun.
Das Design und die Funktionalität ist in meinen Augen richtig klasse, wenn man nicht zu viel konfiguriert.
Beispiel aus meiner Umgebung:
- Benutzer werden aus dem AD ins EntraID gesynct inkl. Passwort
- Der Benutzeranmeldename im AD ist username@publicdomain.de
- Notebook wird nur ans EntraID angeknüpft (nicht zurück ins lokale AD portiert!)
Der User kommt mit dem Notebook ins lokale LAN, erhält vom DHCP die Basiskonfiguration:
- IP-Adresse & Subnetzmaske
- Standardgateway
- lokale DNS-Server
Damit kann es die lokalen AD-Server erreichen und fragt dort automatisch mit den EntraID Credentials Tickets an.
Da die Daten übereinstimmen erhält es ein Ticket und der User kann gemäß der lokalen AD-Berechtigungsgruppen auf alles zugreifen.
P.S.: Vorsicht bei den Notebooks wenn der Login mit PIN, Gesichtserkennung oder Fingerabdruck läuft, dann brauchst du zusätzliche Konfigurationen.
Grüße
ToWa
1
Moin
Info: Ich kann mich am RDS mit m.mustermann@firma.de anmelden und erhalte das gleiche Profil wie bei firma\m.mustermann
Info: Ich kann mich am RDS mit m.mustermann@firma.de anmelden und erhalte das gleiche Profil wie bei firma\m.mustermann
P.S.: Vorsicht bei den Notebooks wenn der Login mit PIN, Gesichtserkennung oder Fingerabdruck läuft, dann brauchst du zusätzliche Konfigurationen.
Das wäre natürlich fies. Ich teste das mal.
Moin
Hast Du jetzt zufällig noch eine Idee wie man auch Windows-hello für den AD-Zugriff verwende kann?
Danke.
P.S.: Vorsicht bei den Notebooks wenn der Login mit PIN, Gesichtserkennung oder Fingerabdruck läuft, dann brauchst du zusätzliche Konfigurationen.
Das ist es. Wenn ich mich am Notebook nicht mit PIN, was Windows automatisch vorschlägt sondern mit dem Kennwort anmeldet geht es sofort.Hast Du jetzt zufällig noch eine Idee wie man auch Windows-hello für den AD-Zugriff verwende kann?
Danke.
Cloud Kerberos Trust fehlt dir vermutlich im AD learn.microsoft.com/en-us/entra/identity/authentication/howto-authentication-passwordless-security-key-on-premises#install-the-azureadhybridauthenticationmanagement-module
Moin,
bevor ich das was kaputt mache.
Example 1-4?
Es gibt ein Onpremise AD und PCs die nur damit verbunden sind.
Neu sind 4 Notebooks mit Entra AD die unterwegs in der Cloud und vor Ort im Onpremise AD arbeiten.
Stefan
bevor ich das was kaputt mache.
Example 1-4?
Es gibt ein Onpremise AD und PCs die nur damit verbunden sind.
Neu sind 4 Notebooks mit Entra AD die unterwegs in der Cloud und vor Ort im Onpremise AD arbeiten.
Stefan
3 oder 4 normalerweise, machen eh alle das selbe.
Es muss dann auch evtl. noch "Use Cloud Trust For On Prem Auth." per gpo oder intune gesetzt werden
learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/deploy/hybrid-cloud-kerberos-trust?tabs=intune#configure-windows-hello-for-business-policy-settings
Es muss dann auch evtl. noch "Use Cloud Trust For On Prem Auth." per gpo oder intune gesetzt werden
learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/deploy/hybrid-cloud-kerberos-trust?tabs=intune#configure-windows-hello-for-business-policy-settings
<Rhetorische Frage>Warum hat MS das nicht in den Azure-Connector eingebaut?</Rhetorische Frage>
Sag ich ja.
Wenn ich mal viel Zeit habe wollte ich das bei uns auch umsetzen, steht aber aktuell auf hold.
Abgelegt habe ich mir dazu: Mit Azure AD konto am lokalen AD anmelden
