1
Windows 11 - TPM - Hello
Morgen zusammen!
Ich bin hier auf etwas gestoßen, bei dem ich nicht weiterkomme. Das wird leider eine etwas längere Geschichte.
Angefangen hat es mit einem neuen Windows 11 Client. Bei dem wollte ich die Anmeldung per PIN einrichten, wie ich es auch schon auf dem Vorgänger (Win11 Client) hatte.
Das klappte nicht, es kam immer zum Fehler 80090016, Probleme mit dem TPM. Ich hab dann im BIOS TPM rücksetzen lassen und es nochmal probiert. Keine Veränderung. Immer noch 80090016. Und es kam dann auch immer wieder, wenn ich mich mal für Teams und Office authentifizieren sollte. Da kam nach Eingabe des Passworts eben immer der 80090016, aber die Authentifizierung klappte offensichtlich.
Dann bin ich nochmal die entsprechende GPO durchgegangen und hab bemerkt, dass die keine Einstellungen mehr hatte. Es wurde auch der DC auf einen neuen Server geschubst. Vielleicht hats da was mit der GPO gemacht. Keine Ahnung.
Auf jeden Fall hab ich die GPO neu gebastelt und der 80090016 ist Geschichte, ich kann die Anmeldung per Pin konfigurieren und alles ist knorke.
Jetzt habe ich aber einen Gedankengang von früher weiterverfolgt. Was, wenn der TPM auf dem Board tatsächlich eine Macke hat? Denn einmal kam der 80090016 noch.
Zum Glück hatte ich einen baugleichen Win11 Client dastehen. Also kurzerhand die M.2 ausgetauscht und den anderen Client getestet. Anmeldung per Pin war dann erstmal nicht verfügbar. Damit hatte ich gerechnet, wegen neuem TPM, da neues Board. Also Anmeldung per Pin wieder eingestellt, was auch einwandfrei klappte. Neustart und ich erhielt die Meldung bei der Pineingabe für den Login:
Okay, nochmal in die Anmeldeoptionen. PIN kann ich neu vergeben, bringt aber wieder die Meldung beim Login.
Dann lösch ich halt die Pin komplett und erstell sie neu. Denkste. Das Entfernen der Pin ist ausgegraut.
Im Netz gesucht, was das ist und hab einen Verweis auf einen Registry-Eintrag gefunden, den man von 2 auf 0 stellen soll.
Gemacht, keine Änderung. Dabei auch auf dem Board TPM resettet. Zur Sicherheit.
Weitergesucht. Und da bin ich auf die Sicherheitseinstellungen zum Sicherheitschip gestoßen.
Keine Ahnung, wie man da über die UI der Systemeinstellung hinkommt. Sucht man nach Sicherheitschip kommt man zur passenden Systemeinstellung.
Da kann man dann auch softwareseitig den TPM resetten. Und man hat mehrere Gründe zur Auswahl. Evtl. löschen die dann gezielt Sachen aus dem TPM. Z.B.
leider zeigt die UI da nicht den ganzen Satz an.
Aber es gibt da auch
Ich habe ersteres probiert und es kommt zum Neustart.
Leider blieben die Probleme mit dem Pin immer noch. Anmeldung per Pin immer noch nicht möglich, Pin kann gar nicht entfernt werden.
Da hab ich aufgegeben und die M.2 wieder in den vorherigen Client gepackt.
Die Frage ist jetzt: wie würde ich auf dem problembehafteten Client diese TPM-Geschichte wegbekommen? Es muss ja eine Möglichkeit geben, dass man sich da auch per Pin anmelden kann. Irgendwo muss da wohl noch was abgespeichert sein. Nur ich weiß nicht wo?
Jemand eine Ahnung?
k.
Ich bin hier auf etwas gestoßen, bei dem ich nicht weiterkomme. Das wird leider eine etwas längere Geschichte.
Angefangen hat es mit einem neuen Windows 11 Client. Bei dem wollte ich die Anmeldung per PIN einrichten, wie ich es auch schon auf dem Vorgänger (Win11 Client) hatte.
Das klappte nicht, es kam immer zum Fehler 80090016, Probleme mit dem TPM. Ich hab dann im BIOS TPM rücksetzen lassen und es nochmal probiert. Keine Veränderung. Immer noch 80090016. Und es kam dann auch immer wieder, wenn ich mich mal für Teams und Office authentifizieren sollte. Da kam nach Eingabe des Passworts eben immer der 80090016, aber die Authentifizierung klappte offensichtlich.
Dann bin ich nochmal die entsprechende GPO durchgegangen und hab bemerkt, dass die keine Einstellungen mehr hatte. Es wurde auch der DC auf einen neuen Server geschubst. Vielleicht hats da was mit der GPO gemacht. Keine Ahnung.
Auf jeden Fall hab ich die GPO neu gebastelt und der 80090016 ist Geschichte, ich kann die Anmeldung per Pin konfigurieren und alles ist knorke.
Jetzt habe ich aber einen Gedankengang von früher weiterverfolgt. Was, wenn der TPM auf dem Board tatsächlich eine Macke hat? Denn einmal kam der 80090016 noch.
Zum Glück hatte ich einen baugleichen Win11 Client dastehen. Also kurzerhand die M.2 ausgetauscht und den anderen Client getestet. Anmeldung per Pin war dann erstmal nicht verfügbar. Damit hatte ich gerechnet, wegen neuem TPM, da neues Board. Also Anmeldung per Pin wieder eingestellt, was auch einwandfrei klappte. Neustart und ich erhielt die Meldung bei der Pineingabe für den Login:
Ihre PIN ist aufgrund einer Änderung an den Sicherheitseinstellungen dieses Geräts nicht mehr verfügbar. Unter "Einstellungen > Konten > anmeldeoptionen" können Sie Ihre PIN erneut einrichten. Dann lösch ich halt die Pin komplett und erstell sie neu. Denkste. Das Entfernen der Pin ist ausgegraut.
Im Netz gesucht, was das ist und hab einen Verweis auf einen Registry-Eintrag gefunden, den man von 2 auf 0 stellen soll.
HKLM\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device\DevicePasswordLessBuildVersionWeitergesucht. Und da bin ich auf die Sicherheitseinstellungen zum Sicherheitschip gestoßen.
Keine Ahnung, wie man da über die UI der Systemeinstellung hinkommt. Sucht man nach Sicherheitschip kommt man zur passenden Systemeinstellung.
Da kann man dann auch softwareseitig den TPM resetten. Und man hat mehrere Gründe zur Auswahl. Evtl. löschen die dann gezielt Sachen aus dem TPM. Z.B.
Windows Hello hat mir einen Fehler im Zusammenhang mit TPMAber es gibt da auch
Ich reagiere auf diesen Fehler: 80090016Leider blieben die Probleme mit dem Pin immer noch. Anmeldung per Pin immer noch nicht möglich, Pin kann gar nicht entfernt werden.
Da hab ich aufgegeben und die M.2 wieder in den vorherigen Client gepackt.
Die Frage ist jetzt: wie würde ich auf dem problembehafteten Client diese TPM-Geschichte wegbekommen? Es muss ja eine Möglichkeit geben, dass man sich da auch per Pin anmelden kann. Irgendwo muss da wohl noch was abgespeichert sein. Nur ich weiß nicht wo?
Jemand eine Ahnung?
k.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667697
Url: https://administrator.de/contentid/667697
Ausgedruckt am: 26.09.2024 um 23:09 Uhr
1 Kommentar
Na sagt doch einfach, dass ihr alle auch kene Ahnung habt :D
Vielleicht interessehalber, sollte mal jemand danach suchen...
Ich hatte jetzt auch ein Problem mit dem User, der ursprünglich den getauschten Client nutzte. War ein neuer User.
Als ich die M.2 zurück getauscht hatte, konnte sich der neue User gar nicht mehr am M365-Konto anmelden. Also, zumindest sah es so aus.
Word und Excel meldeten dass es ein Problem mit dem Konto gäbe und man sich neu anmelden soll. Das erbrachte nach der Authentifizierung den bekannten 80090016, lies es dann aber so aussehen, als wäre der User bei M365 angemeldet.
Anders hingegen Outlook. Da kam nach dem 80090016 erneut die Aufforderung zur Authentifizierung. Dauerschleife.
Ich hab so einiges getestet (TPM gelöscht und so weiter), aber nix hat geholfen.
Abschließend hatte ich den User dann aus dem AD gelöscht, gewartet, bis Entra synchronisiert war und hab dann den User im AD neu angelegt.
Danach gabs keine Probleme mehr.
Es spielt beim 80090016 also auch das Userprofil mit rein.
Vielleicht interessehalber, sollte mal jemand danach suchen...
Ich hatte jetzt auch ein Problem mit dem User, der ursprünglich den getauschten Client nutzte. War ein neuer User.
Als ich die M.2 zurück getauscht hatte, konnte sich der neue User gar nicht mehr am M365-Konto anmelden. Also, zumindest sah es so aus.
Word und Excel meldeten dass es ein Problem mit dem Konto gäbe und man sich neu anmelden soll. Das erbrachte nach der Authentifizierung den bekannten 80090016, lies es dann aber so aussehen, als wäre der User bei M365 angemeldet.
Anders hingegen Outlook. Da kam nach dem 80090016 erneut die Aufforderung zur Authentifizierung. Dauerschleife.
Ich hab so einiges getestet (TPM gelöscht und so weiter), aber nix hat geholfen.
Abschließend hatte ich den User dann aus dem AD gelöscht, gewartet, bis Entra synchronisiert war und hab dann den User im AD neu angelegt.
Danach gabs keine Probleme mehr.
Es spielt beim 80090016 also auch das Userprofil mit rein.
