6
Windows Server 2025 und Windows 11 24H2 - Remote Credential Guard erneut defekt
Moin.
Eine Info, da hier die Ersten sicherlich schon mit Server 2025 planen und auch Win11 24H2 schon länger bereitsteht:
Wer das für SSO wichtige Sicherheitsfeature Remote Credential Guard ("RCG") einsetzen möchte, wird mit diesen OS' nicht glücklich werden, sofern man sie mit vorigen OS' mischt, denn das Feature ist teilweise defekt.
Übersicht:
W11 24H2 <-> W11 24H2 RCG läuft!
W11 24H2 <-> Server 2025 läuft!
W11 24H2 <-> W11 pre 24H2 defekt!
W11 24H2 <-> W10 bzw. Server 2016/2019/2022 defekt!
Server 2025 <->W10 bzw. W11 pre 24H2 bzw. Server 2016/2019/2022 defekt!
Symptome: SSO tot: in der Remotesitzung wird nach Anmeldeinformationen gefragt, sobald man Domänenressourcen aufruft wie Netzlaufwerke o.Ä.
Microsofts Bezahl-Support habe ich bereits im Juli darüber informieren können, da bereits die Vorabversionen dieses Problem hatten. Der Support bestätigt das Problem, kriegt aber bislang zur Lösung nichts auf die Reihe.
PS: Witzigerweise gab es das Problem bereits mit Win11 22H2 in exakt der selben Form und mein Supportfall damals führte zum Fix (nachdem 10 Monate vergangen waren). Ich habe mich auf den Fall bezogen und die Namen derer genannt, die die Lösung entwickelt haben... hilft dem jetzigen Supportfallbearbeiter bislang offenbar nicht weiter
PSPS: RCG bitte nicht verwechseln mit Credential Guard ("CG"), das ist was ganz anderes.
Eine Info, da hier die Ersten sicherlich schon mit Server 2025 planen und auch Win11 24H2 schon länger bereitsteht:
Wer das für SSO wichtige Sicherheitsfeature Remote Credential Guard ("RCG") einsetzen möchte, wird mit diesen OS' nicht glücklich werden, sofern man sie mit vorigen OS' mischt, denn das Feature ist teilweise defekt.
Übersicht:
W11 24H2 <-> W11 24H2 RCG läuft!
W11 24H2 <-> Server 2025 läuft!
W11 24H2 <-> W11 pre 24H2 defekt!
W11 24H2 <-> W10 bzw. Server 2016/2019/2022 defekt!
Server 2025 <->W10 bzw. W11 pre 24H2 bzw. Server 2016/2019/2022 defekt!
Symptome: SSO tot: in der Remotesitzung wird nach Anmeldeinformationen gefragt, sobald man Domänenressourcen aufruft wie Netzlaufwerke o.Ä.
Microsofts Bezahl-Support habe ich bereits im Juli darüber informieren können, da bereits die Vorabversionen dieses Problem hatten. Der Support bestätigt das Problem, kriegt aber bislang zur Lösung nichts auf die Reihe.
PS: Witzigerweise gab es das Problem bereits mit Win11 22H2 in exakt der selben Form und mein Supportfall damals führte zum Fix (nachdem 10 Monate vergangen waren). Ich habe mich auf den Fall bezogen und die Namen derer genannt, die die Lösung entwickelt haben... hilft dem jetzigen Supportfallbearbeiter bislang offenbar nicht weiter
PSPS: RCG bitte nicht verwechseln mit Credential Guard ("CG"), das ist was ganz anderes.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669352
Url: https://administrator.de/contentid/669352
Ausgedruckt am: 18.11.2024 um 23:11 Uhr
6 Kommentare
Neuester Kommentar
Danke für die Info.
Gruss Penny.
Gruss Penny.
Okay das erklärt auch warum bei manchen TS Aufrufen es auf anhieb mit SSO klappt und mache nach Password gefragt werden 
Oder lieg ich da falsch? Weil bei einigen Systemen gehts bei einigen nicht wobei die wo es nicht geht eher W11 sind.
Hat das "Passwort speichern" beim Remote Login Dialog auf den TS auch damit zu tun ?
Oder lieg ich da falsch? Weil bei einigen Systemen gehts bei einigen nicht wobei die wo es nicht geht eher W11 sind.
Hat das "Passwort speichern" beim Remote Login Dialog auf den TS auch damit zu tun ?
@Mr-Gustav
Ich glaube, du missverstehst, worum es geht. Mit aktiviertem RCG wird man automatisch mit den aktuellen Credentials in einer Remotesitzung angemeldet - das funktioniert auch weiterhin überall.
Nur in der Remotesitzung funktioniert das SSO gegen andere Server in den oben als "defekt" deklarierten Konstellationen nicht mehr, zum Beispiel beim allgegenwärtigen Zugriff auf Netzlaufwerke. Ebenso gilt, dass Nutzer-GPOs nicht mehr eingelesen werden können.
Nach deiner Beschreibung vermute ich, dass Du RCG nicht einmal aktiviert hast, denn sonst müsstest Du bei der Anmeldung keine Kennwörter eingeben.
Ich glaube, du missverstehst, worum es geht. Mit aktiviertem RCG wird man automatisch mit den aktuellen Credentials in einer Remotesitzung angemeldet - das funktioniert auch weiterhin überall.
Nur in der Remotesitzung funktioniert das SSO gegen andere Server in den oben als "defekt" deklarierten Konstellationen nicht mehr, zum Beispiel beim allgegenwärtigen Zugriff auf Netzlaufwerke. Ebenso gilt, dass Nutzer-GPOs nicht mehr eingelesen werden können.
Nach deiner Beschreibung vermute ich, dass Du RCG nicht einmal aktiviert hast, denn sonst müsstest Du bei der Anmeldung keine Kennwörter eingeben.
Mhhh
Ich glaube dann hab ich da was vertan.
Aber ob es jetzt genutzt wird oder nicht finde ich es schon "geil" das MS nicht hinbekommt.
Vor allem nach der Zeit.
Ich glaube dann hab ich da was vertan.
Aber ob es jetzt genutzt wird oder nicht finde ich es schon "geil" das MS nicht hinbekommt.
Vor allem nach der Zeit.
@all..
Macht Windows 365 und werdet glücklich.. keine Systempflege mehr, alle Updates werdem pünktlich, ungeprüft eingespielt - Ihr seid tagelang offline... wunderbar... ;(
Kein Betrieb braucht mehr einen Admin.. M$ macht das alles...
Das, was M$ gerade mit Win11 anstellt ist sträflich!... ### Cloud-Gelumpe.. auch der normale Editor ist schon drin.
Azubis coden wichtige Libaries welche ungeprüft veröffentlicht werden.. Danke.. Danke.. Danke !
Den Aktien scheint es dennoch gut zu gehen.. hab ja nen paar davon ;)
Zur Rente sind es leider noch 15 Jahre ;(
.. und das Teams nervt täglich!
So, Euch nen schönes Wochenende!
PS. Ich vermisse den "Freitags-Post"
Gruss Globe!
Macht Windows 365 und werdet glücklich.. keine Systempflege mehr, alle Updates werdem pünktlich, ungeprüft eingespielt - Ihr seid tagelang offline... wunderbar... ;(
Kein Betrieb braucht mehr einen Admin.. M$ macht das alles...
Das, was M$ gerade mit Win11 anstellt ist sträflich!... ### Cloud-Gelumpe.. auch der normale Editor ist schon drin.
Azubis coden wichtige Libaries welche ungeprüft veröffentlicht werden.. Danke.. Danke.. Danke !
Den Aktien scheint es dennoch gut zu gehen.. hab ja nen paar davon ;)
Zur Rente sind es leider noch 15 Jahre ;(
.. und das Teams nervt täglich!
So, Euch nen schönes Wochenende!
PS. Ich vermisse den "Freitags-Post"
Gruss Globe!
Zitat von @DerWoWusste:
PS: Witzigerweise .... Ich habe mich auf den Fall bezogen und die Namen derer genannt, die die Lösung entwickelt haben... hilft dem jetzigen Supportfallbearbeiter bislang offenbar nicht weiter
PS: Witzigerweise .... Ich habe mich auf den Fall bezogen und die Namen derer genannt, die die Lösung entwickelt haben... hilft dem jetzigen Supportfallbearbeiter bislang offenbar nicht weiter
Salut,
vermutlich arbeiten die schon gar nicht mehr da, oder an ganz anderen Projekten.
Grüße
ToWa
