11
AD User unterbindet Microsoft 365 Anmeldung
Hallo, wir haben bei drei Kunden das Problem, das sich aktuell bei je einem User Outlook nicht mehr mit Microsoft 365 verbindet - es kommt immer wieder die Kennwortabfrage. Gibt man das Passwort ein,ist das Passwortfeld sofort wieder leer - das Spiel lässt sich endlos treiben.
Zwei der Kunden hatten vor M 365 einen Exchange im Betrieb, der dritte Kunde hatte noch nie einen Exchange.
TLS 1.3 ist nicht aktiv, die Clients haben alle ein aktuelles W 10 Pro 22H2;
In der Registry unter Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity wird der ADUserName Eintrag immer auf den alias.domain.local User aus dem AD überschrieben.
Folgender Eintrag brachte kurzzeitig Besserung, meist nur für ein paar Stunden oder einen Tag:
• HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
• Neuer DWORD (32 Bit) Eintrag
• Name: EnableADAL
• Wert: 0
• HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
• Neuer DWORD (32 Bit) Eintrag
• Name: DisableADALatopWAMOverride
Wert: 1
Unter Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover ist die korrekte E-Mail Adresse eingetragen.
Office deinstallieren und installieren bringt nichts. Hier oder beim manuellen Anlegen eines neuen Outlook Profiles kann das Konto nicht mal eingerichtet werden: Es kommt die Fehlermeldung das keine gesicherte Verbindung hergestellt werden kann.
Der Microsoft Support und Recovery Assistent stürzt immer an der gleichen Stelle: Outlook Modern Authentication Analyzer wurde gestartet.
Die Testmöglichkeiten von testconnectivity.microsoft.com brachten keine Fehler.
Hat jemand eine Idee wie der Admin den local User Eintrag unterbinden kann?
Oder gibt es einen anderen Lösungsansatz?
Zwei der Kunden hatten vor M 365 einen Exchange im Betrieb, der dritte Kunde hatte noch nie einen Exchange.
TLS 1.3 ist nicht aktiv, die Clients haben alle ein aktuelles W 10 Pro 22H2;
In der Registry unter Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity wird der ADUserName Eintrag immer auf den alias.domain.local User aus dem AD überschrieben.
Folgender Eintrag brachte kurzzeitig Besserung, meist nur für ein paar Stunden oder einen Tag:
• HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
• Neuer DWORD (32 Bit) Eintrag
• Name: EnableADAL
• Wert: 0
• HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
• Neuer DWORD (32 Bit) Eintrag
• Name: DisableADALatopWAMOverride
Wert: 1
Unter Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover ist die korrekte E-Mail Adresse eingetragen.
Office deinstallieren und installieren bringt nichts. Hier oder beim manuellen Anlegen eines neuen Outlook Profiles kann das Konto nicht mal eingerichtet werden: Es kommt die Fehlermeldung das keine gesicherte Verbindung hergestellt werden kann.
Der Microsoft Support und Recovery Assistent stürzt immer an der gleichen Stelle: Outlook Modern Authentication Analyzer wurde gestartet.
Die Testmöglichkeiten von testconnectivity.microsoft.com brachten keine Fehler.
Hat jemand eine Idee wie der Admin den local User Eintrag unterbinden kann?
Oder gibt es einen anderen Lösungsansatz?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7862459339
Url: https://administrator.de/contentid/7862459339
Printed on: April 28, 2024 at 16:04 o'clock
11 Comments
Latest comment
Guten Abend,
hast Du diesen Artikel schon durchgearbeitet?
Ansonsten würde ich mal direkt bei Microsoft klingeln, denn wenn man sich schon tief in die Hölle der MS-Cloudservices begibt, kann man ja auch wenigestens vom Vorteil des "Alles-Aus-einer-Hand-Supports" profitieren, finde ich.
hast Du diesen Artikel schon durchgearbeitet?
Ansonsten würde ich mal direkt bei Microsoft klingeln, denn wenn man sich schon tief in die Hölle der MS-Cloudservices begibt, kann man ja auch wenigestens vom Vorteil des "Alles-Aus-einer-Hand-Supports" profitieren, finde ich.
Hi
Das passiert oft wenn Cookie- oder Ad-Blocker aktiv sind.
Hat der Kunde irgendwas derart im Netzerk oder der MA auf dem Client aktiv?
Kann auch Teil eines Virenscanners/AV-Systems sein... dann müssten ggf. zentrale Freigaben für einzelne URLs gesetzt werden, damit der Login-Teil komplett geladen wird...
Und ja: Oft gibt es einen Bezug von "nativen" Apps zu URLs, weil diese Web-Technologien (Browser) zur Daratellung nutzen ...
Das passiert oft wenn Cookie- oder Ad-Blocker aktiv sind.
Hat der Kunde irgendwas derart im Netzerk oder der MA auf dem Client aktiv?
Kann auch Teil eines Virenscanners/AV-Systems sein... dann müssten ggf. zentrale Freigaben für einzelne URLs gesetzt werden, damit der Login-Teil komplett geladen wird...
Und ja: Oft gibt es einen Bezug von "nativen" Apps zu URLs, weil diese Web-Technologien (Browser) zur Daratellung nutzen ...
@Datenreise:
Den Artikel habe ich nun durchgearbeitet, brachte aber keine Besserung
Anfrage bei MS ist gestellt, aber bisher auch ohne Lösung.
@mikro:
Es sind keinerlei Cookie oder AdBlocker aktiv - weder in der FW noch auf dem Endgerät.
Selbst ein komplett deaktivierter Virenscanner bringt keine Besserung.
Den Artikel habe ich nun durchgearbeitet, brachte aber keine Besserung
Anfrage bei MS ist gestellt, aber bisher auch ohne Lösung.
@mikro:
Es sind keinerlei Cookie oder AdBlocker aktiv - weder in der FW noch auf dem Endgerät.
Selbst ein komplett deaktivierter Virenscanner bringt keine Besserung.
Hast du denn kontrolliert ob es keine Leichen im DNS gibt ?
Wenn da irgendwo noch der alte Exchange drine steht dann wird das sowieso nix.
Also ggf. DNS kontrollieren und anpassen
Wenn da irgendwo noch der alte Exchange drine steht dann wird das sowieso nix.
Also ggf. DNS kontrollieren und anpassen
Meinst du in der Domainverwaltung? Ja, das ist kontrolliert.
Welche DNS Einstellung könnte man ggf. sonst noch kontrollieren?
Welche DNS Einstellung könnte man ggf. sonst noch kontrollieren?
Wie achauts denn mit Javascript aus? Irgendwas im Browser eingeschränkt?
Nachtrag: Ich würde, sofern möglich, den Rechner testweise direkt an den Internet-Router hängen - ggf. mit lokalem temprären User, der sich dann am MS365 mit AD-Daten anmeldet - um auszuschließen, das doch irgendwas im Netz oder der AD blockiert ...
... ggf. kannst du das auch in einem privaten Tab ausprobieren 🤔
Nachtrag: Ich würde, sofern möglich, den Rechner testweise direkt an den Internet-Router hängen - ggf. mit lokalem temprären User, der sich dann am MS365 mit AD-Daten anmeldet - um auszuschließen, das doch irgendwas im Netz oder der AD blockiert ...
... ggf. kannst du das auch in einem privaten Tab ausprobieren 🤔
Nein, nix.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover - ExcludeExplicitO365Endpoint ist nicht vorhanden, aber da Outlook sich ja immer zu der .local Adresse verbinden will: Kann es eine GPO geben, die das durchsetzt?
Bei zwei der Kunden ist noch die alte Exchange-Server Virtualisierung am laufen, da sich auf der auch der Mailstore Server befindet und Hornet-Security jetzt schon an die zwei Monate braucht um das alte Archiv zu importieren. Aber der dritte Kunde hatte eh noch nie einen Exchange aktiv und da tritt das Problem auch auf.
Eine Gemeinsamkeit von allen drei wäre die Zyxel Firewall, aber der Admin sagt die ist ok.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover - ExcludeExplicitO365Endpoint ist nicht vorhanden, aber da Outlook sich ja immer zu der .local Adresse verbinden will: Kann es eine GPO geben, die das durchsetzt?
Bei zwei der Kunden ist noch die alte Exchange-Server Virtualisierung am laufen, da sich auf der auch der Mailstore Server befindet und Hornet-Security jetzt schon an die zwei Monate braucht um das alte Archiv zu importieren. Aber der dritte Kunde hatte eh noch nie einen Exchange aktiv und da tritt das Problem auch auf.
Eine Gemeinsamkeit von allen drei wäre die Zyxel Firewall, aber der Admin sagt die ist ok.
Nachtrag: Ich würde, sofern möglich, den Rechner testweise direkt an den Internet-Router hängen - ggf. mit lokalem temprären User, der sich dann am MS365 mit AD-Daten anmeldet - um auszuschließen, das doch irgendwas im Netz oder der AD blockiert ...
... ggf. kannst du das auch in einem privaten Tab ausprobieren 🤔Vielleicht kann ich das in einem Fall ausprobieren ...
Direkt am Router das gleiche Problem. Es half nur, das lokale User Profil zu löschen. Aber nach ein, zwei, drei Tagen, wieder das gleiche Problem.
Der Microsoft Support ist leider keine Hilfe, da unsere Kunden HornetSecurity nutzen und MS sich weigert Support zu geben, so lange die HornetSecurity MX Einträge aktiv sind. Ich kann aber nicht für wie lange auch immer HornetSecurity deaktivieren.
Wie handhabt ihr den Einsatz von Microsoft 365 (entweder nur für die Office Apps Lizensierung oder Apps und Exchange Online) in Firmen mit lokalem MS Server?
Der Microsoft Support ist leider keine Hilfe, da unsere Kunden HornetSecurity nutzen und MS sich weigert Support zu geben, so lange die HornetSecurity MX Einträge aktiv sind. Ich kann aber nicht für wie lange auch immer HornetSecurity deaktivieren.
Wie handhabt ihr den Einsatz von Microsoft 365 (entweder nur für die Office Apps Lizensierung oder Apps und Exchange Online) in Firmen mit lokalem MS Server?
was machen die HornetSecurity MX Einträge ? Verbiegen die dir das DNS ?
Die HornetSecurity Einträge ersetzen die Microsoft MX Einträge, damit die Mails über HornetSecurity laufen um gescannt zu werden. Also verbiegen sie theoretisch schon das DNS.
Aber: Die Funktionalität steht - man kann sich IMMER im Microsoft OWA anmelden und auch der Mailverkehr ist nicht beeinträchtigt - nur der Outlook Client macht Probleme.
Gestern Abend hatte hatte ich das erste Mal (bei einer Migration von IMAP Postfächern zu M365) das gleiche Problem bei einem Kunden der noch kein HornetSecurity und keinen Server hat. Und das erste Mal konnte ich das Postfach auch bei mir in einer unabhängigen Umgebung nicht einrichten. Da wollte MS wohl über InTune aus dem Premium Paket immer eine 2FA erzwingen, obwohl diese deaktiviert war - bei einer einzigen E-Mail Adresse (info Alias) - der Administrator Alias liess sich dagegen beim Kunden Rechner wie auch bei mir in der unabhängigen Umgebung problemlos einrichten. Vielleicht war das aber auch ein zufälliges anderes, einmaliges Problem. Ich konnte aber nicht dem Kunden seinen E-Mail Verkehr komplett lahmlegen und hab dann wieder alles rückgängig (auf IMAP und Mittwald-Postfach) gemacht, so das ich nun auch nicht den MS Support einschalten kann.
Aber: Die Funktionalität steht - man kann sich IMMER im Microsoft OWA anmelden und auch der Mailverkehr ist nicht beeinträchtigt - nur der Outlook Client macht Probleme.
Gestern Abend hatte hatte ich das erste Mal (bei einer Migration von IMAP Postfächern zu M365) das gleiche Problem bei einem Kunden der noch kein HornetSecurity und keinen Server hat. Und das erste Mal konnte ich das Postfach auch bei mir in einer unabhängigen Umgebung nicht einrichten. Da wollte MS wohl über InTune aus dem Premium Paket immer eine 2FA erzwingen, obwohl diese deaktiviert war - bei einer einzigen E-Mail Adresse (info Alias) - der Administrator Alias liess sich dagegen beim Kunden Rechner wie auch bei mir in der unabhängigen Umgebung problemlos einrichten. Vielleicht war das aber auch ein zufälliges anderes, einmaliges Problem. Ich konnte aber nicht dem Kunden seinen E-Mail Verkehr komplett lahmlegen und hab dann wieder alles rückgängig (auf IMAP und Mittwald-Postfach) gemacht, so das ich nun auch nicht den MS Support einschalten kann.
