/u/37235/crop5ec7af9e412c5_cropped.png?f=community)
Hoi!
Ik ben bezig met het koppelen van een OnPrem RDS Gateway met Azure MFA. Ik heb alle onderdelen geconfigureerd en de flow gaat ook bijna goed, echter loop ik bij de NPS relay (de Azure NPS extension) tegen een rechtenprobleem aan: de eventviewer geeft:
NPS Extension for Azure MFA: CID: xxx :Exception in Authentication Ext for User DOMAIN\mfatest1 :: ErrorCode:: HTTPS_SESSION_OPEN_ERROR Msg:: e|popConn|#open(): Failed to create a new session -- Enter ERROR_CODE @ https://go.microsoft.com/fwlink/?linkid=846827 for detailed troubleshooting steps.
Gek genoeg lijkt de foutcode nergens voor te komen, maar wel een verwijzing naar een NPS extension health script. Ik zie daaruit komen:
Checking accessiblity to https://login.MicrosoftOnline.Com >> Test Failed >> Follow MS article for remediation: https://docs.microsoft.co...sion#network-requirements >> This will cause MFA Methods to fail
Checking accessiblity to adnotifications.windowsazure.com accessibility >> Test Failed >> Follow MS article for remediation:https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension#network-requirements
De server heeft gewoon vrije internettoegang, echter draait de NPS server onder het LocalSystem account (de default). Ik dacht een simpele oplossing: assign een ander account voor deze service, maar dan krijg ik bij het instellen al gelijk de melding dat dát niet een goed idee is, en inderdaad, met een ander account (NetworkService, en zelfs met een domain admin getest) wil NPS niet starten. Ik zit dus aan LocalSystem vast.
Ik vermoed dat daar ook de beperking zit, want als ik ben ingelogd kan ik prima de genoemde pagina's bereiken. We hebben geen proxyserver oid dus dat is het niet.
Nu heb ik mij suf gezocht hoe je LocalSystem (wat dan vertaalt het in het computer-object in de AD) internettoegang kan geven, maar ik kom er niet uit.
Iemand een idee? Of wellicht een andere suggestie hoe de NPS extensie (https://www.microsoft.com...oad/details.aspx?id=54688) internettoegang kan krijgen?
groet, Mark
Ik ben bezig met het koppelen van een OnPrem RDS Gateway met Azure MFA. Ik heb alle onderdelen geconfigureerd en de flow gaat ook bijna goed, echter loop ik bij de NPS relay (de Azure NPS extension) tegen een rechtenprobleem aan: de eventviewer geeft:
NPS Extension for Azure MFA: CID: xxx :Exception in Authentication Ext for User DOMAIN\mfatest1 :: ErrorCode:: HTTPS_SESSION_OPEN_ERROR Msg:: e|popConn|#open(): Failed to create a new session -- Enter ERROR_CODE @ https://go.microsoft.com/fwlink/?linkid=846827 for detailed troubleshooting steps.
Gek genoeg lijkt de foutcode nergens voor te komen, maar wel een verwijzing naar een NPS extension health script. Ik zie daaruit komen:
Checking accessiblity to https://login.MicrosoftOnline.Com >> Test Failed >> Follow MS article for remediation: https://docs.microsoft.co...sion#network-requirements >> This will cause MFA Methods to fail
Checking accessiblity to adnotifications.windowsazure.com accessibility >> Test Failed >> Follow MS article for remediation:https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension#network-requirements
De server heeft gewoon vrije internettoegang, echter draait de NPS server onder het LocalSystem account (de default). Ik dacht een simpele oplossing: assign een ander account voor deze service, maar dan krijg ik bij het instellen al gelijk de melding dat dát niet een goed idee is, en inderdaad, met een ander account (NetworkService, en zelfs met een domain admin getest) wil NPS niet starten. Ik zit dus aan LocalSystem vast.
Ik vermoed dat daar ook de beperking zit, want als ik ben ingelogd kan ik prima de genoemde pagina's bereiken. We hebben geen proxyserver oid dus dat is het niet.
Nu heb ik mij suf gezocht hoe je LocalSystem (wat dan vertaalt het in het computer-object in de AD) internettoegang kan geven, maar ik kom er niet uit.
Iemand een idee? Of wellicht een andere suggestie hoe de NPS extensie (https://www.microsoft.com...oad/details.aspx?id=54688) internettoegang kan krijgen?
groet, Mark
:strip_icc():strip_exif()/u/84973/images.jpg?f=community)
Ander issue, maar ik ben nog net zo ver: het geheel werkt niet 