3
Server 2025 und W11 24H2 - Remote Credential Guard erneut defekt
Moin.
Eine Info, da hier die Ersten sicherlich schon mit Server 2025 planen und auch Win11 24H2 schon länger bereitsteht:
Wer das für SSO wichtige Sicherheitsfeature Remote Credential Guard ("RCG") einsetzen möchte, wird mit diesen OS' nicht glücklich werden, sofern man sie mit vorigen OS' mischt, denn das Feature ist teilweise defekt.
Übersicht:
W11 24H2 <-> W11 24H2 RCG läuft!
W11 24H2 <-> Server 2025 läuft!
W11 24H2 <-> W11 pre 24H2 defekt!
W11 24H2 <-> W10 bzw. Server 2016/2019/2022 defekt!
Server 2025 <->W10 bzw. W11 pre 24H2 bzw. Server 2016/2019/2022 defekt!
Symptome: SSO tot: in der Remotesitzung wird nach Anmeldeinformationen gefragt, sobald man Domänenressourcen aufruft wie Netzlaufwerke o.Ä.
Microsofts Bezahl-Support habe ich bereits im Juli darüber informieren können, da bereits die Vorabversionen dieses Problem hatten. Der Support bestätigt das Problem, kriegt aber bislang zur Lösung nichts auf die Reihe.
PS: Witzigerweise gab es das Problem bereits mit Win11 22H2 in exakt der selben Form und mein Supportfall damals führte zum Fix (nachdem 10 Monate vergangen waren). Ich habe mich auf den Fall bezogen und die Namen derer genannt, die die Lösung entwickelt haben... hilft dem jetzigen Supportfallbearbeiter bislang offenbar nicht weiter
PSPS: RCG bitte nicht verwechseln mit Credential Guard ("CG"), das ist was ganz anderes.
Eine Info, da hier die Ersten sicherlich schon mit Server 2025 planen und auch Win11 24H2 schon länger bereitsteht:
Wer das für SSO wichtige Sicherheitsfeature Remote Credential Guard ("RCG") einsetzen möchte, wird mit diesen OS' nicht glücklich werden, sofern man sie mit vorigen OS' mischt, denn das Feature ist teilweise defekt.
Übersicht:
W11 24H2 <-> W11 24H2 RCG läuft!
W11 24H2 <-> Server 2025 läuft!
W11 24H2 <-> W11 pre 24H2 defekt!
W11 24H2 <-> W10 bzw. Server 2016/2019/2022 defekt!
Server 2025 <->W10 bzw. W11 pre 24H2 bzw. Server 2016/2019/2022 defekt!
Symptome: SSO tot: in der Remotesitzung wird nach Anmeldeinformationen gefragt, sobald man Domänenressourcen aufruft wie Netzlaufwerke o.Ä.
Microsofts Bezahl-Support habe ich bereits im Juli darüber informieren können, da bereits die Vorabversionen dieses Problem hatten. Der Support bestätigt das Problem, kriegt aber bislang zur Lösung nichts auf die Reihe.
PS: Witzigerweise gab es das Problem bereits mit Win11 22H2 in exakt der selben Form und mein Supportfall damals führte zum Fix (nachdem 10 Monate vergangen waren). Ich habe mich auf den Fall bezogen und die Namen derer genannt, die die Lösung entwickelt haben... hilft dem jetzigen Supportfallbearbeiter bislang offenbar nicht weiter
PSPS: RCG bitte nicht verwechseln mit Credential Guard ("CG"), das ist was ganz anderes.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669352
Url: https://administrator.de/contentid/669352
Ausgedruckt am: 08.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
Danke für die Info.
Gruss Penny.
Gruss Penny.
Okay das erklärt auch warum bei manchen TS Aufrufen es auf anhieb mit SSO klappt und mache nach Password gefragt werden 
Oder lieg ich da falsch? Weil bei einigen Systemen gehts bei einigen nicht wobei die wo es nicht geht eher W11 sind.
Hat das "Passwort speichern" beim Remote Login Dialog auf den TS auch damit zu tun ?
Oder lieg ich da falsch? Weil bei einigen Systemen gehts bei einigen nicht wobei die wo es nicht geht eher W11 sind.
Hat das "Passwort speichern" beim Remote Login Dialog auf den TS auch damit zu tun ?
@Mr-Gustav
Ich glaube, du missverstehst, worum es geht. Mit aktiviertem RCG wird man automatisch mit den aktuellen Credentials in einer Remotesitzung angemeldet - das funktioniert auch weiterhin überall.
Nur in der Remotesitzung funktioniert das SSO gegen andere Server in den oben als "defekt" deklarierten Konstellationen nicht mehr, zum Beispiel beim allgegenwärtigen Zugriff auf Netzlaufwerke. Ebenso gilt, dass Nutzer-GPOs nicht mehr eingelesen werden können.
Nach deiner Beschreibung vermute ich, dass Du RCG nicht einmal aktiviert hast, denn sonst müsstest Du bei der Anmeldung keine Kennwörter eingeben.
Ich glaube, du missverstehst, worum es geht. Mit aktiviertem RCG wird man automatisch mit den aktuellen Credentials in einer Remotesitzung angemeldet - das funktioniert auch weiterhin überall.
Nur in der Remotesitzung funktioniert das SSO gegen andere Server in den oben als "defekt" deklarierten Konstellationen nicht mehr, zum Beispiel beim allgegenwärtigen Zugriff auf Netzlaufwerke. Ebenso gilt, dass Nutzer-GPOs nicht mehr eingelesen werden können.
Nach deiner Beschreibung vermute ich, dass Du RCG nicht einmal aktiviert hast, denn sonst müsstest Du bei der Anmeldung keine Kennwörter eingeben.
