Für viele Kunden habe ich schon Microsoft MFA über Citrix Netscaler verfügbar gemacht und hatte dabei bereits diverse Probleme. Hier zusammengefasst, die Stolpersteine bei dem Setup der NPS-Extension für Azure AD Multi-Faktor-Authentifizierung (MFA). Ich hatte bei einem Kunden schon alle Probleme auf einmal.
Microsoft Azure AD Multi-Faktor-Authentifizierung (MFA) ist eine sehr populäre Option für Kunden eine flexible Zwei-Faktor-Authentifizierung einzusetzen, die dabei sehr benutzerfreundlich ist. Das Setup der NPS-Extension für MFA ist eigentlich problemlos, eigentlich! Hier eine Zusammenfassung der Probleme, die bisher aufgetreten sind.
- Für die Kommunikation muss TLS1.2 für Powershell aktiviert sein. Hierzu folgenden Befehl im Powershell als Administrator ausführen:
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 - Das Powershell-Skript AzureMfaNpsExtnConfigSetup.ps1 hat hartkodiert $user='NETWORK SERVICE'. Hiermit wird die Berechtigung auf den privaten Schlüssel des Zertifikats zur Kommunikation gesetzt.
Sind die Systeme aber z.B. in deutscher Sprache, dann sollte es Netzwerkdienst heißen und muss daher im Skript anpasst werden! - Selbst bei der Nutzung von Azure AD Free, muss beim Setup min. Azure AD Premium Trial aktiviert sein.
Hierzu einfach im Azure AD auf Lizenzen gehen und dann die Trial aktivieren, was nur wenige Sekunden dauert. - Wer die NPS Rolle auf einem Server 2019 aktiviert, hat fehlerhafte lokale Firewall Regeln.
Diese müssen gelöscht und wieder neu angelegt werden für UDP 1812/1813
Sie kennen noch weitere Probleme bei der NPS-Extension Installation, dann lasst Sie es mich wissen.
