statler-rgbg
Goto Top

AD User unterbindet Microsoft 365 Anmeldung

Hallo, wir haben bei drei Kunden das Problem, das sich aktuell bei je einem User Outlook nicht mehr mit Microsoft 365 verbindet - es kommt immer wieder die Kennwortabfrage. Gibt man das Passwort ein,ist das Passwortfeld sofort wieder leer - das Spiel lässt sich endlos treiben.
Zwei der Kunden hatten vor M 365 einen Exchange im Betrieb, der dritte Kunde hatte noch nie einen Exchange.
TLS 1.3 ist nicht aktiv, die Clients haben alle ein aktuelles W 10 Pro 22H2;
In der Registry unter Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity wird der ADUserName Eintrag immer auf den alias.domain.local User aus dem AD überschrieben.
Folgender Eintrag brachte kurzzeitig Besserung, meist nur für ein paar Stunden oder einen Tag:
• HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
• Neuer DWORD (32 Bit) Eintrag
• Name: EnableADAL
• Wert: 0
• HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
• Neuer DWORD (32 Bit) Eintrag
• Name: DisableADALatopWAMOverride
Wert: 1
Unter Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover ist die korrekte E-Mail Adresse eingetragen.
Office deinstallieren und installieren bringt nichts. Hier oder beim manuellen Anlegen eines neuen Outlook Profiles kann das Konto nicht mal eingerichtet werden: Es kommt die Fehlermeldung das keine gesicherte Verbindung hergestellt werden kann.
Der Microsoft Support und Recovery Assistent stürzt immer an der gleichen Stelle: Outlook Modern Authentication Analyzer wurde gestartet.
Die Testmöglichkeiten von testconnectivity.microsoft.com brachten keine Fehler.

Hat jemand eine Idee wie der Admin den local User Eintrag unterbinden kann?
Oder gibt es einen anderen Lösungsansatz?

Content-ID: 7862459339

Url: https://administrator.de/forum/ad-user-unterbindet-microsoft-365-anmeldung-7862459339.html

Ausgedruckt am: 26.12.2024 um 22:12 Uhr

Datenreise
Datenreise 15.07.2023 um 23:10:07 Uhr
Goto Top
Guten Abend,

hast Du diesen Artikel schon durchgearbeitet?

Ansonsten würde ich mal direkt bei Microsoft klingeln, denn wenn man sich schon tief in die Hölle der MS-Cloudservices begibt, kann man ja auch wenigestens vom Vorteil des "Alles-Aus-einer-Hand-Supports" profitieren, finde ich. face-wink
MirkoKR
MirkoKR 16.07.2023 um 01:48:19 Uhr
Goto Top
Hi

Das passiert oft wenn Cookie- oder Ad-Blocker aktiv sind.
Hat der Kunde irgendwas derart im Netzerk oder der MA auf dem Client aktiv?

Kann auch Teil eines Virenscanners/AV-Systems sein... dann müssten ggf. zentrale Freigaben für einzelne URLs gesetzt werden, damit der Login-Teil komplett geladen wird...

Und ja: Oft gibt es einen Bezug von "nativen" Apps zu URLs, weil diese Web-Technologien (Browser) zur Daratellung nutzen ...
statler-rgbg
statler-rgbg 16.07.2023 um 16:32:28 Uhr
Goto Top
@Datenreise:
Den Artikel habe ich nun durchgearbeitet, brachte aber keine Besserung
Anfrage bei MS ist gestellt, aber bisher auch ohne Lösung.

@mikro:
Es sind keinerlei Cookie oder AdBlocker aktiv - weder in der FW noch auf dem Endgerät.
Selbst ein komplett deaktivierter Virenscanner bringt keine Besserung.
Mr-Gustav
Mr-Gustav 17.07.2023 um 15:29:46 Uhr
Goto Top
Hast du denn kontrolliert ob es keine Leichen im DNS gibt ?
Wenn da irgendwo noch der alte Exchange drine steht dann wird das sowieso nix.
Also ggf. DNS kontrollieren und anpassen
statler-rgbg
statler-rgbg 17.07.2023 um 21:27:33 Uhr
Goto Top
Meinst du in der Domainverwaltung? Ja, das ist kontrolliert.
Welche DNS Einstellung könnte man ggf. sonst noch kontrollieren?
MirkoKR
MirkoKR 17.07.2023 aktualisiert um 21:42:48 Uhr
Goto Top
Wie achauts denn mit Javascript aus? Irgendwas im Browser eingeschränkt?

Nachtrag: Ich würde, sofern möglich, den Rechner testweise direkt an den Internet-Router hängen - ggf. mit lokalem temprären User, der sich dann am MS365 mit AD-Daten anmeldet - um auszuschließen, das doch irgendwas im Netz oder der AD blockiert ...

... ggf. kannst du das auch in einem privaten Tab ausprobieren 🤔
statler-rgbg
statler-rgbg 17.07.2023 um 21:46:27 Uhr
Goto Top
Nein, nix.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover - ExcludeExplicitO365Endpoint ist nicht vorhanden, aber da Outlook sich ja immer zu der .local Adresse verbinden will: Kann es eine GPO geben, die das durchsetzt?
Bei zwei der Kunden ist noch die alte Exchange-Server Virtualisierung am laufen, da sich auf der auch der Mailstore Server befindet und Hornet-Security jetzt schon an die zwei Monate braucht um das alte Archiv zu importieren. Aber der dritte Kunde hatte eh noch nie einen Exchange aktiv und da tritt das Problem auch auf.
Eine Gemeinsamkeit von allen drei wäre die Zyxel Firewall, aber der Admin sagt die ist ok.
statler-rgbg
statler-rgbg 17.07.2023 um 21:48:56 Uhr
Goto Top
Nachtrag: Ich würde, sofern möglich, den Rechner testweise direkt an den Internet-Router hängen - ggf. mit lokalem temprären User, der sich dann am MS365 mit AD-Daten anmeldet - um auszuschließen, das doch irgendwas im Netz oder der AD blockiert ...

... ggf. kannst du das auch in einem privaten Tab ausprobieren 🤔

Vielleicht kann ich das in einem Fall ausprobieren ...
statler-rgbg
statler-rgbg 25.07.2023 um 09:46:11 Uhr
Goto Top
Direkt am Router das gleiche Problem. Es half nur, das lokale User Profil zu löschen. Aber nach ein, zwei, drei Tagen, wieder das gleiche Problem.
Der Microsoft Support ist leider keine Hilfe, da unsere Kunden HornetSecurity nutzen und MS sich weigert Support zu geben, so lange die HornetSecurity MX Einträge aktiv sind. Ich kann aber nicht für wie lange auch immer HornetSecurity deaktivieren.
Wie handhabt ihr den Einsatz von Microsoft 365 (entweder nur für die Office Apps Lizensierung oder Apps und Exchange Online) in Firmen mit lokalem MS Server?
Mr-Gustav
Mr-Gustav 27.07.2023 um 08:49:34 Uhr
Goto Top
was machen die HornetSecurity MX Einträge ? Verbiegen die dir das DNS ?
statler-rgbg
statler-rgbg 27.07.2023 um 09:11:57 Uhr
Goto Top
Die HornetSecurity Einträge ersetzen die Microsoft MX Einträge, damit die Mails über HornetSecurity laufen um gescannt zu werden. Also verbiegen sie theoretisch schon das DNS.
Aber: Die Funktionalität steht - man kann sich IMMER im Microsoft OWA anmelden und auch der Mailverkehr ist nicht beeinträchtigt - nur der Outlook Client macht Probleme.
Gestern Abend hatte hatte ich das erste Mal (bei einer Migration von IMAP Postfächern zu M365) das gleiche Problem bei einem Kunden der noch kein HornetSecurity und keinen Server hat. Und das erste Mal konnte ich das Postfach auch bei mir in einer unabhängigen Umgebung nicht einrichten. Da wollte MS wohl über InTune aus dem Premium Paket immer eine 2FA erzwingen, obwohl diese deaktiviert war - bei einer einzigen E-Mail Adresse (info Alias) - der Administrator Alias liess sich dagegen beim Kunden Rechner wie auch bei mir in der unabhängigen Umgebung problemlos einrichten. Vielleicht war das aber auch ein zufälliges anderes, einmaliges Problem. Ich konnte aber nicht dem Kunden seinen E-Mail Verkehr komplett lahmlegen und hab dann wieder alles rückgängig (auf IMAP und Mittwald-Postfach) gemacht, so das ich nun auch nicht den MS Support einschalten kann.