Windows Login außerhalb der Domäne nur via VPN möglich
Hallo zusammen,
ich habe ein eigenartiges Problem:
Ich melde mich innerhalb der Domäne via Windows Hello an (Kamera und/oder Fingerprint), funktioniert auch einwandfrei.
Sobald ich außerhalb unterwegs bin, bspw. zu Hause, komme ich weder via Windows Hello noch mit meinem Domänenpasswort ins Windowssystem.
Die einzige Möglichkeit für mich momentan ist es, mich vor dem Login direkt via VPN anzumelden, sonst habe ich keine Chance mit meinem Rechner zu arbeiten.
Das "normale" Einloggen klappte bis vor ca. 3/4 Wochen noch reibungslos, m.M. nach unabhängig von Updates, kam es zur aktuellen Situation.
Kennt das wer oder weiß jemand, wie ich an nähere Infos komme, dies zu beseitigen?
Diesen "Fehler" habe lediglich ich, sonst keiner meiner Kollegen.
Eckdaten zu den Systemen:
Dell XPS 9370, Win 10 Pro 1903
2016er Domäne
Vielen Dank im Voraus,
LC
ich habe ein eigenartiges Problem:
Ich melde mich innerhalb der Domäne via Windows Hello an (Kamera und/oder Fingerprint), funktioniert auch einwandfrei.
Sobald ich außerhalb unterwegs bin, bspw. zu Hause, komme ich weder via Windows Hello noch mit meinem Domänenpasswort ins Windowssystem.
Die einzige Möglichkeit für mich momentan ist es, mich vor dem Login direkt via VPN anzumelden, sonst habe ich keine Chance mit meinem Rechner zu arbeiten.
Das "normale" Einloggen klappte bis vor ca. 3/4 Wochen noch reibungslos, m.M. nach unabhängig von Updates, kam es zur aktuellen Situation.
Kennt das wer oder weiß jemand, wie ich an nähere Infos komme, dies zu beseitigen?
Diesen "Fehler" habe lediglich ich, sonst keiner meiner Kollegen.
Eckdaten zu den Systemen:
Dell XPS 9370, Win 10 Pro 1903
2016er Domäne
Vielen Dank im Voraus,
LC
Please also mark the comments that contributed to the solution of the article
Content-Key: 516587
Url: https://administrator.de/contentid/516587
Printed on: May 4, 2024 at 12:05 o'clock
12 Comments
Latest comment
Hi.
Man kann erzwingen, dass die Domäne zum Einloggen erreichbar sein MUSS. Schau mal, ob das bei dir warum auch immer gesetzt ist:
HKLocalMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
->ForceUnlockLogon
Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Man kann erzwingen, dass die Domäne zum Einloggen erreichbar sein MUSS. Schau mal, ob das bei dir warum auch immer gesetzt ist:
HKLocalMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
->ForceUnlockLogon
Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@LoveCorner:
Hallo.
Was meinst Du damit? Ein lokales Anmelden ohne Domäne, mit einem lokalen Konto?
Wenn das ein Arbeits-/Dienstgerät Deiner Firma ist, und zur Anmeldung außerhalb des physischen Netzwerkes im Firmengebäude VPN zum Domänenzugriff vorgesehen und erforderlich ist, dann finde ich es vollkommen logisch, daß vorher der Tunnel stehen muß. Windows Hello per Kamera od. Fingerprint ist dabei erstmal egal.
Also, was meinst Du mit "normaler" Anmeldung?
Viele Grüße
von
departure69
Hallo.
Das "normale" Einloggen klappte bis vor ca. 3/4 Wochen noch reibungslos
Was meinst Du damit? Ein lokales Anmelden ohne Domäne, mit einem lokalen Konto?
Wenn das ein Arbeits-/Dienstgerät Deiner Firma ist, und zur Anmeldung außerhalb des physischen Netzwerkes im Firmengebäude VPN zum Domänenzugriff vorgesehen und erforderlich ist, dann finde ich es vollkommen logisch, daß vorher der Tunnel stehen muß. Windows Hello per Kamera od. Fingerprint ist dabei erstmal egal.
Also, was meinst Du mit "normaler" Anmeldung?
Viele Grüße
von
departure69
Zitat von @DerWoWusste:
Nein, logisch ist das nicht. Per default werden die Anmeldeinformationen der 10 zuletzt genutzten Domänennutzer gecacht und man kommt ohne Tunnel rein.
Nein, logisch ist das nicht. Per default werden die Anmeldeinformationen der 10 zuletzt genutzten Domänennutzer gecacht und man kommt ohne Tunnel rein.
Zwischengespeicherte Anmeldeinformationen, verstehe. Das geht durchaus, stimmt. 180 Tage lang seit letztem Domänenkontakt, soweit ich weiß.
Aber ohne aktiven Tunnel besteht doch trotzdem keinerlei "echter" Live-Zugriff auf die Domäne bzw. Domänenressourcen, wozu soll die Anmeldung dann gut sein? Lokales Arbeiten nur auf LW C:\ ?
Viele Grüße
von
departure69
Ach, noch was, überprüfe mal den Wert von cachedlogonscount unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - steht der auf 0 oder 1?
Dieser steht auf 0@departure69
Zwischengespeicherte Anmeldeinformationen, verstehe. Das geht durchaus, stimmt. 180 Tage lang seit letztem Domänenkontakt, soweit ich weiß.
Nein, nicht 180 Tage, sondern sogar unbegrenzt.Aber ohne aktiven Tunnel besteht doch trotzdem keinerlei "echter" Live-Zugriff auf die Domäne bzw. Domänenressourcen, wozu soll die Anmeldung dann gut sein? Lokales Arbeiten nur auf LW C:\ ?
Richtig, nur lokal.