Write a comment

Für viele Kunden habe ich schon Microsoft MFA über Citrix Netscaler verfügbar gemacht und hatte dabei bereits diverse Probleme. Hier zusammengefasst, die Stolpersteine bei dem Setup der NPS-Extension für Azure AD Multi-Faktor-Authentifizierung (MFA). Ich hatte bei einem Kunden schon alle Probleme auf einmal.

Microsoft Azure AD Multi-Faktor-Authentifizierung (MFA) ist eine sehr populäre Option für Kunden eine flexible Zwei-Faktor-Authentifizierung einzusetzen, die dabei sehr benutzerfreundlich ist. Das Setup der NPS-Extension für MFA ist eigentlich problemlos, eigentlich! Hier eine Zusammenfassung der Probleme, die bisher aufgetreten sind.

  • Für die Kommunikation muss TLS1.2 für Powershell aktiviert sein. Hierzu folgenden Befehl im Powershell als Administrator ausführen:
    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

  • Das Powershell-Skript AzureMfaNpsExtnConfigSetup.ps1 hat hartkodiert $user='NETWORK SERVICE'. Hiermit wird die Berechtigung auf den privaten Schlüssel des Zertifikats zur Kommunikation gesetzt.
    Sind die Systeme aber z.B. in deutscher Sprache, dann sollte es Netzwerkdienst heißen und muss daher im Skript anpasst werden!

  • Selbst bei der Nutzung von Azure AD Free, muss beim Setup min. Azure AD Premium Trial aktiviert sein.
    Hierzu einfach im Azure AD auf Lizenzen gehen und dann die Trial aktivieren, was nur wenige Sekunden dauert.

  • Wer die NPS Rolle auf einem Server 2019 aktiviert, hat fehlerhafte lokale Firewall Regeln.
    Diese müssen gelöscht und wieder neu angelegt werden für UDP 1812/1813

  • Das Zertifikat für den Azure Multi-Faktor Auth Client muss alle zwei Jahre erneuert werden, lesen sie hierzu folgenden Beitrag.

  • Soll die "Genehmigen\Verweigern" Methode beibehalten werden, dann muss der Key OVERRIDE_NUMBER_MATCHING_WITH_OTP auf FALSE gesetzt werden.

  • Wer NTLMv2 Authentifizierung einsetzt, muss MS-CHACP-V2nutzen und zudem den folgenden Registrierungswert setzen
    HKLM\System\CurrentControlSet\Services\RemoteAccess\Policy
    "Enable NTLMv2 Compatibility" REG_DWORD = 0x00000001

Sie kennen noch weitere Probleme bei der NPS-Extension Installation, dann lasst Sie es mich wissen.

Gib hier deinen Kommentar ein...
oder als Gast kommentieren
Lade Kommentar... Der Kommentar wird aktualisiert nach 00:00.

Schreibe den ersten Kommentar.