Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie einmaliges Anmelden für lokale Ressourcen bereit, die über Microsoft Entra-Privatzugriff veröffentlicht wurden. Microsoft Entra--Privatzugriff verwendet Kerberos, um diese Ressourcen zu unterstützen. Verwenden Sie optional Sie die Windows Hello for Business-Cloud Kerberos-Vertrauensstellung, um einmaliges Anmelden für Benutzer zuzulassen.
Voraussetzungen
Bevor Sie mit dem einmaligen Anmelden beginnen, müssen Sie sicherstellen, dass Ihre Umgebung bereit ist.
- Eine Active Directory-Gesamtstruktur. Der Leitfaden verwendet einen Gesamtstrukturdomänennamen, der öffentlich aufgelöst werden kann. Eine öffentlich aufgelöste Domäne ist jedoch keine Anforderung.
- Sie haben das Microsoft Entra-Privatzugriff-Weiterleitungsprofil aktiviert.
- Die neueste Version des Microsoft Entra-Privatzugriff-Connectors wird auf einem Windows-Server installiert, der Zugriff auf Ihre Domänencontroller hat.
- Die neueste Version des Clients für globalen sicheren Zugriff Weitere Informationen zu dem Client finden Sie unter Globaler sicherer Zugriff – Clients.
Veröffentlichen von Ressourcen für die Verwendung mit einmaligem Anmelden
Um Single Sign-On zu testen, erstellen Sie eine neue Enterprise-Anwendung, die eine Dateifreigabe bereitstellt. Wenn Sie eine Unternehmensanwendung zur Veröffentlichung Ihrer Dateifreigabe verwenden, können Sie der Ressource eine Richtlinie für den bedingten Zugriff zuweisen und zusätzliche Sicherheitskontrollen wie die Multi-Faktor-Authentifizierung erzwingen.
- Melden Sie sich bei Microsoft Entra als mindestens ein Anwendungsadministrator an.
- Wechseln Sie zu Globaler sicherer Zugriff>Anwendungen>Unternehmensanwendungen.
- Wählen Sie Neue Anwendung aus.
- Fügen Sie ein neues App-Segment mit der IP Ihres Dateiservers über Port
445/TCPhinzu und wählen Sie dann Speichern aus. Das Server Message Block (SMB)-Protokoll verwendet diesen Port. - Öffnen Sie die von Ihnen erstellte Unternehmensanwendung und wählen Sie Benutzer und Gruppen, um den Zugriff auf die Ressource zuzuweisen.
In Microsoft Entra ID eingebundene Geräte – Passwort-basiertes SSO
Eine zusätzliche Konfiguration über diesen Leitfaden hinaus ist nicht erforderlich, wenn Benutzerinnen und Benutzer Kennwörter für die Anmeldung bei Windows verwenden.
In Microsoft Entra ID eingebundene Geräte beruhen auf der Active Directory-Domäne und den Benutzerinformationen, die von Microsoft Entra ID Connect synchronisiert werden. Der Windows-Domänencontroller-Locator findet die Domänencontroller aufgrund der Synchronisierung. Der User Principal Name (UPN) und das Benutzerkennwort werden verwendet, um ein Kerberos Ticket-Granting Ticket (TGT) anzufordern. Weitere Informationen zu diesem Ablauf finden Sie unter Wie SSO für lokale Ressourcen auf Microsoft Entra verbundenen Geräten funktioniert.
In Microsoft Entra ID eingebundene und hybrid in Microsoft Entra ID eingebundene Geräte – Einmaliges Anmelden für Windows Hello for Business
Für Windows Hello for Business ist eine zusätzliche Konfiguration erforderlich, die über diese Anleitung hinausgeht.
Es wird empfohlen, die Bereitstellung des Hybrid Cloud Kerberos Trust mit Microsoft Entra ID durchzuführen. Geräte mit Cloud Kerberos Trust erhalten ein TGT-Ticket, das für einmaliges Anmelden verwendet wird. Weitere Informationen über die Cloud Kerberos-Vertrauensstellung finden Sie unter Aktivieren der kennwortlosen Anmeldung bei lokalen Ressourcen mithilfe von Microsoft Entra ID.
So stellen Sie die Windows Hello for Business-Cloud Kerberos-Vertrauensstellung mit lokalem Active Directory bereit.
- Erstellen Sie das Microsoft Entra ID Kerberos-Serverobjekt. Informationen zum Erstellen des Objekts finden Sie unter Installieren des AzureADHybridAuthenticationManagement-Moduls.
- Aktivieren Sie WHfB Cloud Trust auf Ihren Geräten mithilfe von Intune oder Gruppenrichtlinien. Informationen zum Aktivieren von WHfB finden Sie im der Bereitstellungsanleitung zur Cloud Kerberos-Vertrauensstellung.
Veröffentlichen von Domänencontrollern
Domänencontroller müssen für Clients veröffentlicht werden, um Kerberos-Tickets zu erhalten. Die Tickets sind für einmaliges Anmelden bei lokalen Ressourcen erforderlich.
Veröffentlichen Sie mindestens alle Domänencontroller, die am Active Directory-Standort konfiguriert sind, an dem Ihre Private Access-Connectors installiert sind. Wenn sich Ihre Private Access-Connectors beispielsweise in Ihrem Rechenzentrum in Brisbane befinden, veröffentlichen Sie alle Domänencontroller im Rechenzentrum in Brisbane.
Die Domänencontrollerports sind erforderlich, um SSO für lokale Ressourcen zu aktivieren.
| Hafen | Protokoll | Zweck |
|---|---|---|
| 88 | User Datagram-Protokoll (UDP) / Transmission Control-Protokoll (TCP) | Kerberos |
| 123 | UDP (User Datagram Protocol) | Netzwerkzeitprotokoll (NTP) |
| 135 | UDP/TCP | Domänencontroller-zu-Domänencontroller- und Client-zu-Domänencontroller-Operationen |
| 138 | UDP (User Datagram Protocol) | Dateireplikationsdienst zwischen Domänencontrollern |
| 139 | TCP | Dateireplikationsdienst zwischen Domänencontrollern |
| 389 | UDP (User Datagram Protocol) | Domänencontroller-Locator |
| 445 | UDP/TCP | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinie |
| 464 | UDP/TCP | Anforderung der Kennwortänderung |
| 636 | TCP | LDAP SSL |
| 1025-5000 | UDP/TCP | Ephemere Ports, einschließlich 3268-3269 TCP für den globalen Katalog von Client zu Domänencontroller |
| 49152-65535 | UDP/TCP | Kurzlebige Ports |
Hinweis
Die Anleitung konzentriert sich auf die Aktivierung von SSO für lokale Ressourcen und schließt die Konfiguration aus, die für Windows-Domänen-Clients erforderlich ist, um Vorgänge in der Domäne durchzuführen (Kennwortänderung, Gruppenrichtlinie usw.). Weitere Informationen zu den Anforderungen des Windows-Netzwerkports finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows
- Melden Sie sich bei Microsoft Entra als mindestens ein Anwendungsadministrator an.
- Wechseln Sie zu Globaler sicherer Zugriff>Anwendungen>Unternehmensanwendungen.
- Wählen Sie Neue Anwendung aus, um eine neue Anwendung zum Veröffentlichen Ihrer Domänencontroller zu erstellen.
- Wählen Sie Anwendungssegment hinzufügen aus, und fügen Sie dann alle Domänencontroller-IP-Adressen oder vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) und Ports gemäß der Tabelle hinzu. Nur die Domänencontroller am Active Directory-Standort, an dem sich die Private Access-Connectors befinden, sollten veröffentlicht werden.
Hinweis
Stellen Sie sicher, dass Sie keine Platzhalter-FQDNs verwenden, um Ihre Domänencontroller zu veröffentlichen, sondern fügen Sie stattdessen deren spezifische IPs oder FQDNs hinzu.
Sobald die Unternehmensanwendung erstellt ist, gehen Sie zurück zur Anwendung und wählen Sie Benutzer und Gruppen aus. Fügen Sie alle aus Active Directory synchronisierten Benutzerkonten hinzu.
Veröffentlichen der DNS-Suffixe
Konfigurieren Sie den privaten DNS, damit die Clients von Global Secure Access private DNS-Namen auflösen können. Private DNS-Namen sind für Single Sign-On erforderlich. Die Clients verwenden sie, um auf veröffentlichte lokale Ressourcen zuzugreifen. Weitere Informationen zu Privates DNS mit Schnellzugriff finden Sie unter how-to-configure-quick-access.md#add-private-dns-suffixes.
- Navigieren Sie zu Globaler sicherer Zugriff>Anwendungen>Schnellzugriff.
- Wählen Sie die Registerkarte Privates DNS und dann die Option Privates DNS aktivieren aus.
- Wählen Sie DNS-Suffix hinzufügen aus. Fügen Sie mindestens die Suffixe der obersten Ebene Ihrer Active Directory-Gesamtstrukturen hinzu, in denen die mit Microsoft Entra ID synchronisierten Benutzerkonten gespeichert sind.
- Wählen Sie Speichern.
So verwenden Sie Kerberos-SSO, um auf eine SMB-Dateifreigabe zuzugreifen.
Dieses Diagramm veranschaulicht, wie Microsoft Entra Private Access funktioniert, wenn Sie versuchen, von einem Windows-Gerät aus auf eine SMB-Dateifreigabe zuzugreifen, die mit Windows Hello for Business + Cloud Trust konfiguriert ist. In diesem Beispiel hat der Administrator privates DNS mit Schnellzugriff und zwei Unternehmens-Apps für den Schnellzugriff konfiguriert – eine für die Domänencontroller und eine für die SMB-Dateifreigabe.
| Schritt | BESCHREIBUNG |
|---|---|
| Ein | Der Benutzer versucht, mit FQDN auf die SMB-Dateifreigabe zuzugreifen. Der GSA-Client fängt den Datenverkehr ab und tunnelt ihn an den SSE-Edge. Autorisierungsrichtlinien in Microsoft Entra ID werden ausgewertet und durchgesetzt, z. B. ob der Benutzer der Anwendung und den Richtlinien für bedingten Zugriff zugewiesen ist. Nachdem der Benutzer autorisiert wurde, gibt Microsoft Entra ID ein Token für die SMB Enterprise-Anwendung aus. Der Datenverkehr wird freigegeben, um den Dienst für privaten Zugriff zusammen mit dem Zugriffstoken der Anwendung fortzusetzen. Der Private Access-Dienst überprüft das Zugriffstoken, und die Verbindung wird mit dem Back-End-Dienst für Private Access vermittelt. Die Verbindung wird dann an den privaten Netzwerkconnector vermittelt. |
| B | Der private Netzwerkconnector führt eine DNS-Abfrage aus, um die IP-Adresse des Zielservers zu identifizieren. Der DNS-Dienst im privaten Netzwerk sendet die Antwort. Der private Netzwerkconnector versucht, auf die SMB-Zieldateifreigabe zuzugreifen, die dann die Kerberos-Authentifizierung anfordert. |
| C | Der Client generiert eine SRV-DNS-Abfrage, um Domänencontroller zu finden. Phase A wird wiederholt, um die DNS-Abfrage abzufangen und den Benutzer für die Schnellzugriffsanwendung zu autorisieren. Der private Netzwerkconnector sendet die SRV-DNS-Abfrage an das private Netzwerk. Der DNS-Dienst sendet die DNS-Antwort über den privaten Netzwerkconnector an den Client. |
| D | Das Windows-Gerät fordert ein partielles TGT (auch als Cloud-TGT bezeichnet) von Microsoft Entra ID an (sofern noch nicht vorhanden). Microsoft Entra ID gibt einen partiellen TGT aus. |
| E | Windows initiiert eine DC Locator-Verbindung über UDP-Port 389 mit jedem Domänencontroller, der in der DNS-Antwort von Phase C aufgeführt ist. Phase A wird wiederholt, um den DC-Locator-Datenverkehr abzufangen und den Benutzer für die Enterprise-Anwendung zu autorisieren, die die lokalen Domänencontroller veröffentlicht. Der private Netzwerkconnector sendet den DC-Locator-Datenverkehr an jeden Domänencontroller. Die Antworten werden zurück an den Client weitergeleitet. Windows wählt den Domänencontroller mit der schnellsten Antwort aus und speichert ihn. |
| F | Der Client tauscht den Teil-TGT gegen einen vollständigen TGT aus. Das vollständige TGT wird dann verwendet, um ein TGS für die SMB-Dateifreigabe anzufordern und zu erhalten. |
| G | Der Client präsentiert das TGS der SMB-Dateifreigabe. Die SMB-Dateifreigabe validiert die TGS. Der Zugriff auf die Dateifreigabe wird gewährt. |
Problembehandlung
Mit Microsoft Entra ID verbundene Geräte mit Kennwort-Authentifizierung beruhen auf Attributen, die von Microsoft Entra ID Connect synchronisiert werden. Stellen Sie sicher, dass die Attribute onPremisesDomainName, onPremisesUserPrincipalName und onPremisesSamAccountName die richtigen Werte aufweisen. Verwenden Sie Graph-Explorer und PowerShell, um die Werte zu überprüfen.
Wenn diese Werte nicht vorhanden sind, überprüfen Sie die Synchronisierungseinstellungen von Microsoft Entra ID Connect und stellen Sie sicher, dass diese Attribute synchronisiert werden. Weitere Informationen über die Synchronisierung von Attributen finden Sie unter Microsoft Entra Connect Sync: Attribute, die mit Microsoft Entra ID synchronisiert werden.
Wenn Sie sich mit Windows Hello for Business anmelden, führen Sie die Befehle von einer Eingabeaufforderung ohne erhöhte Rechte aus.
dsregcmd /status
Überprüfen Sie, ob die Attribute als Werte YES haben.
PRT sollte vorhanden sein. Um mehr über PRTzu erfahren, lesen Sie Fehlerbehebung bei primären Refresh-Token-Problemen auf Windows-Geräten.
OnPremTgt : YES zeigt an, dass Entra Kerberos korrekt konfiguriert ist und dem Benutzer ein partielles TGT für SSO zu On-Premises-Ressourcen erteilt wurde. Weitere Informationen zur Konfiguration der Cloud-Kerberos-Vertrauensstellung finden Sie unter Kennwortlose Sicherheitsschlüssel-Anmeldung bei lokalen Ressourcen.
Führen Sie den Befehl klist aus.
klist cloud_debug
Stellen Sie sicher, dass das Feld Cloud Primary (Hybrid logon) TGT available: den Wert 1 aufweist.
Führen Sie den Befehl nltest aus.
nltest /dsgetdc:contoso /keylist /kdc
Vergewissern Sie sich, dass der DC Locator einen Domänencontroller zurückgibt, der an Cloud Kerberos-Vertrauensvorgängen teilnimmt. Der zurückgegebene DC sollte das Kennzeichen klist haben.
So vermeiden Sie das negative Caching von Kerberos auf Windows-Rechnern.
Kerberos ist die bevorzugte Authentifizierungsmethode für Dienste in Windows, zum Verifizieren von Benutzer- oder Host-Identitäten. Das negative Kerberos-Zwischenspeichern verursacht eine Verzögerung bei Kerberos-Tickets.
Das negative Kerberos-Caching tritt auf Windows-Geräten auf, auf denen der Global Secure Access (GSA)-Client installiert ist. Der GSA-Client versucht, für das Kerberos-Ticket eine Verbindung zum nächstgelegenen Domänencontroller herzustellen, aber die Anforderung schlägt fehl, weil der GSA-Client noch nicht verbunden ist oder der Domänencontroller in diesem Moment nicht erreichbar ist. Wenn die Anforderung fehlschlägt, versucht der Client nicht sofort wieder, eine Verbindung zum Domänencontroller herzustellen, da die Standardzeit für FarKdcTimeout in der Registrierung auf 10 Minuten eingestellt ist. Auch wenn der GSA-Client vor dieser Standardzeit von 10 Minuten verbunden wird, behält der GSA-Client den negativen Cache-Eintrag bei und glaubt, dass die Suche nach dem Domänencontroller fehlgeschlagen ist. Sobald die Standardzeit von 10 Minuten abgelaufen ist, führt der GSA-Client eine Anfrage an den Domänencontroller mit dem Kerberos-Ticket durch, und die Verbindung wird hergestellt.
Um dieses Problem abzuschwächen, können Sie entweder die Standardzeit für FarKdcTimeout in der Registrierung ändern oder den Kerberos-Cache bei jedem Neustart des GSA-Clients manuell leeren.
Option 1: Ändern der Standardzeit für FarKdcTimeout in der Registrierung
Wenn Sie mit Windows arbeiten, können Sie die Kerberos-Parameter ändern, um Probleme mit der Kerberos-Authentifizierung zu beheben oder das Kerberos-Protokoll zu testen.
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.
Registrierungseinträge und -werte unter dem Parameter-Schlüssel
Die Registrierungseinträge, die in diesem Abschnitt aufgeführt sind, müssen dem folgenden Registrierungsunterschlüssel hinzugefügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Hinweis
Wenn der Parameters-Schlüssel nicht unter Kerberos aufgeführt ist, müssen Sie ihn erstellen.
Ändern Sie den folgenden FarKdcTimeoutRegistrierungseintrag
- Eingabe:
FarKdcTimeout - Typ:
REG_DWORD - Standardwert:
0 (minutes)
Es ist der Timeoutwert, der verwendet wird, um einen Domänencontroller von einem anderen Standort im Domänencontrollercache ungültig zu machen.
Option 2: Manuelles Bereinigen des Kerberos-Caches
Wenn Sie sich dafür entscheiden, den Kerberos-Cache manuell zu bereinigen, muss dieser Schritt bei jedem Neustart des GSA-Clients durchgeführt werden.
Öffnen Sie eine Eingabeaufforderung als Administrator, und führen Sie den folgenden Befehl aus: KLIST PURGE_BIND