Azure
Eine Cloud Computing-Plattform und -Infrastruktur für die Erstellung, Bereitstellung und Verwaltung von Anwendungen und Diensten über ein weltweites Netzwerk aus Rechenzentren, die von Microsoft verwaltetet werden.
Windows Hello for Business mit Cloud Kerberos Trust funktioniert nicht beim Zugriff auf lokale SMB Freigaben
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(64, 0%, 16%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EFK%3C/text%3E%3C/svg%3E)
FLORIAN KATTNER
0
Zuverlässigkeitspunkte
Wir haben eine Hybride Umgebung mit einer Synchronisierung zwischen unserer lokalen AD und der AAD.
Neu ist, das wir WHfB nutzen möchten dazu haben wir diese Anleitung verwendet:
Wir haben uns entschieden Cloud Kerberos zu verwenden statt Zertifikate, so wie es im Guide empfohlen wird.
In unserer Domäne ist auf Grund von Härtungsrichtlinien NTLM, RC4 ,TLS1.0/1.1 abgeschaltet. Ebenso ist LDAP Channel Binding, Signing und Encrpytion aktiviert. SMB Signing ist ebenfalls aktiviert sowie SMB1 deaktiviert.
Wenn sich ein Benutzer einen Windows Hello for Business Login Pin/Gesicht erstellt und sich damit am Client anmeldet , dann ist es nicht möglich auf eine Fileserverfreigabe zuzugreifen z.B. \fileserver.internal.contoso.com es erfolgt eine Abfrage nach dem WHfB Pin/Gesicht, welches nicht funktioniert. Nach eingabe der User/Password Credentials ist der Zugriff dann möglich.
Wenn man Troubleshooting betreibt sieht man via Wireshark, das eine AS-REQ Anfrage an einen lokalen Domänencontroller gestellt wird mit einem CNAME in einem merkwürdigem Format. z.B (echte Daten durch Dummy Einträge ersetzt):
Azure
Anmelden, um zu antworten