Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte."

Folgendes Szenario angenommen:

  • Das Unternehmen setzt Windows Hello for Business ein.
  • Benutzer erhalten bei der Anmeldung am Client folgende Fehlermeldung:
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
„Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte."“ weiterlesen

Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern

Eine neue Funktion von Windows Server 2016 ist, dass die Passwörter für Konten, die eine reine Anmeldung mit Smartcards erfordern, gemäß den Passwortlichtlinien automatisch erneuert werden.

Wird die Option "Smart card is required for interactive logon" für ein Benutzerkonto aktiviert, wird das Kennwort des Benutzerkontos einmalig auf einen zufälligen Wert gesetzt. Das Passwort ändert sich jedoch anschließend nie mehr, was das Konto anfälliger für Pass-the-Hash Angriffe macht.

Die neu eingeführte Funktion löst dieses Problem, indem für entsprechende Konten regelmäßig (in Abhängigkeit der für das Konto konfigurierten Passwortrichtlinie) neue zufallsgenerierte Passwörter erzeugt werden.

„Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern“ weiterlesen

Bearbeiten des NTAuthCertificates Objektes im Active Directory

In der Standardkonfiguration befinden sich alle Zertifizierungsstellen-Zertifikate von ins Active Directory integrierten Zertifizierungsstellen (Enterprise Certification Authority) in einem Objekt vom Typ CertificationAuthority namens NTAuthCertificates innerhalb der Configuration Partition der Active Directory Gesamtstruktur.

„Bearbeiten des NTAuthCertificates Objektes im Active Directory“ weiterlesen

Manuelle Beantragung eines Domänencontroller-Zertifikats

Es gibt Fälle, in welchen man Domain Controller Zertifikate nicht von einer Zertifizierungsstelle in der eigenen Active Directory Gesamtstruktur beziehen kann oder möchte.

In diesem Fall ist die Verwendung von Zertifikatvorlagen nicht möglich, und man muss manuell einen Zertifikatantrag (Certificate Signing Request, CSR erstellen).

„Manuelle Beantragung eines Domänencontroller-Zertifikats“ weiterlesen