Wir wollen bei uns die Möglichkeit schaffen, das sich die User an unseren Firmenportale nur noch mit authentifizierten Geräte + Userlogin anmelden und arbeiten können. Dazu haben bei uns eine ADFS 3.0 + Web Proxy Testumgebung nach den Walktroughs
von Microsoft aufgebaut (Anleitungen: http://technet.microsoft.com/en-us/library/dn280939.aspx, http://technet.microsoft.com/en-us/library/dn280943.aspx )
In der Testumgebung haben wir folgende Server + Clients:
•2008R2 (AD + DNS Server + CA, repräsentiert unser Produktivumgebung)
•2012R2 (ADFS + AD DS Server + DNS)
•2012R2 (IIS Webserver, = Beispiel Claim Webapplikation aus dem Walktrough, publizierte ebenfalls die CRL der CA)
•2012R2 (Web Proxy, ist als einziger von dem internen und externen Domainnetz erreichbar)
•Win 8.1 Ent (außerhalb der Testdomän)
•Win 8.1 Ent (Domainmitglied)
Eine Firewall zwischen den Netzen wird nicht verwendet.
Zunächst bekomme ich bei einem Zugriff von dem externen Test PC in den Eventlogs der Server TLS 1.2 Fehlermeldungen (EventID 36888 und 36874). Diese lassen sich abschalten, indem man auf dem ADFS, Web und Proxy Server TLS 1.2 deaktiviert (http://social.technet.microsoft.com/Forums/de-DE/3eecbbc5-fe41-4734-861e-d920c7ae3a39/lync-server-2013-mit-lync-client-2013-fehler-beim-anmelden?forum=ocsde).
Allerdings kann man dann auf den 2012er Servern durch das deaktivierte TLS 1.2 keine Windows Updates mehr herunterladen + installieren.
oder Windowsauthentifizierung aktiviert ist. Sobald man nur noch Zertifikatsbasierte Anmeldungen oder MFA (Userlogin + Zertifikat) aktiviert, erscheint lediglich vom ADFS Server eine Website mit der Meldung: "Wählen Sie ein Zertifikat aus, das Sie
zur Authentifizierung verwenden möchten. Wenn Sie den Vorgang abbrechen, schließen Sie Ihren Browser, und versuchen Sie es erneut." Es erscheint dabei aber kein Zertifikatsdialog. Vgl. wie ebenso auch hier beschrieben: http://social.msdn.microsoft.com/Forums/vstudio/en-US/537dab86-4960-4da3-a104-d475590f7ce9/adfs-proxy-with-client-certificate-authentication?forum=Geneva,
nur bei uns sind alle Server Domainmitglied in der Testdomain. Wenn ich alle internen Servername in den die Vertrauenswürdige oder Intranet Zone des Win 8.1 Clients aufnehme ändert dies überhaupt nichts an dem Verhalten mit dem Zertifikatsdialog.
Der Workplace Join des externen Win 8.1 Clients funktioniert korrekt und man kann sich von dem PC dann per SSO an dem Webdienst anmelden. Somit klappt eigentlich schon mal der Zugriff auf den Zertifikatsspeicher korrekt. Nur wenn man bei MFA selbst ausgestellte
X.509 Zertifikate verwenden möchte klappt dies nicht, da man das zu verwendende Zertifikat nicht auswählen kann. Diese Verhalten ist auch unabhängig vom verwendeten Browser (IE, Firefox, Chrome getestet) und passiert ebenso bei dem Domaininternen Window 8.1
Client.
Hat jemand noch eine Idee oder Lösung dafür wie wir den Zertifikatsdialog aktivieren können?
