12
Windows Login außerhalb der Domäne nur via VPN möglich
Hallo zusammen,
ich habe ein eigenartiges Problem:
Ich melde mich innerhalb der Domäne via Windows Hello an (Kamera und/oder Fingerprint), funktioniert auch einwandfrei.
Sobald ich außerhalb unterwegs bin, bspw. zu Hause, komme ich weder via Windows Hello noch mit meinem Domänenpasswort ins Windowssystem.
Die einzige Möglichkeit für mich momentan ist es, mich vor dem Login direkt via VPN anzumelden, sonst habe ich keine Chance mit meinem Rechner zu arbeiten.
Das "normale" Einloggen klappte bis vor ca. 3/4 Wochen noch reibungslos, m.M. nach unabhängig von Updates, kam es zur aktuellen Situation.
Kennt das wer oder weiß jemand, wie ich an nähere Infos komme, dies zu beseitigen?
Diesen "Fehler" habe lediglich ich, sonst keiner meiner Kollegen.
Eckdaten zu den Systemen:
Dell XPS 9370, Win 10 Pro 1903
2016er Domäne
Vielen Dank im Voraus,
LC
ich habe ein eigenartiges Problem:
Ich melde mich innerhalb der Domäne via Windows Hello an (Kamera und/oder Fingerprint), funktioniert auch einwandfrei.
Sobald ich außerhalb unterwegs bin, bspw. zu Hause, komme ich weder via Windows Hello noch mit meinem Domänenpasswort ins Windowssystem.
Die einzige Möglichkeit für mich momentan ist es, mich vor dem Login direkt via VPN anzumelden, sonst habe ich keine Chance mit meinem Rechner zu arbeiten.
Das "normale" Einloggen klappte bis vor ca. 3/4 Wochen noch reibungslos, m.M. nach unabhängig von Updates, kam es zur aktuellen Situation.
Kennt das wer oder weiß jemand, wie ich an nähere Infos komme, dies zu beseitigen?
Diesen "Fehler" habe lediglich ich, sonst keiner meiner Kollegen.
Eckdaten zu den Systemen:
Dell XPS 9370, Win 10 Pro 1903
2016er Domäne
Vielen Dank im Voraus,
LC
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 516587
Url: https://administrator.de/contentid/516587
Printed on: May 4, 2024 at 12:05 o'clock
12 Comments
Latest comment
Hi.
Man kann erzwingen, dass die Domäne zum Einloggen erreichbar sein MUSS. Schau mal, ob das bei dir warum auch immer gesetzt ist:
HKLocalMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
->ForceUnlockLogon
Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Man kann erzwingen, dass die Domäne zum Einloggen erreichbar sein MUSS. Schau mal, ob das bei dir warum auch immer gesetzt ist:
HKLocalMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
->ForceUnlockLogon
Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@LoveCorner:
Hallo.
Was meinst Du damit? Ein lokales Anmelden ohne Domäne, mit einem lokalen Konto?
Wenn das ein Arbeits-/Dienstgerät Deiner Firma ist, und zur Anmeldung außerhalb des physischen Netzwerkes im Firmengebäude VPN zum Domänenzugriff vorgesehen und erforderlich ist, dann finde ich es vollkommen logisch, daß vorher der Tunnel stehen muß. Windows Hello per Kamera od. Fingerprint ist dabei erstmal egal.
Also, was meinst Du mit "normaler" Anmeldung?
Viele Grüße
von
departure69
Hallo.
Das "normale" Einloggen klappte bis vor ca. 3/4 Wochen noch reibungslos
Was meinst Du damit? Ein lokales Anmelden ohne Domäne, mit einem lokalen Konto?
Wenn das ein Arbeits-/Dienstgerät Deiner Firma ist, und zur Anmeldung außerhalb des physischen Netzwerkes im Firmengebäude VPN zum Domänenzugriff vorgesehen und erforderlich ist, dann finde ich es vollkommen logisch, daß vorher der Tunnel stehen muß. Windows Hello per Kamera od. Fingerprint ist dabei erstmal egal.
Also, was meinst Du mit "normaler" Anmeldung?
Viele Grüße
von
departure69
Nein, logisch ist das nicht. Per default werden die Anmeldeinformationen der 10 zuletzt genutzten Domänennutzer gecacht und man kommt ohne Tunnel rein.
Mit "normal" meinte ich einfach ohne VPN.
Bei uns ist es so geregelt, dass man sich ohne VPN am Rechner anmelden kann als Domänenbenutzer.
btw. lokal ohne Domäne funktioniert tadellos.
Bei uns ist es so geregelt, dass man sich ohne VPN am Rechner anmelden kann als Domänenbenutzer.
btw. lokal ohne Domäne funktioniert tadellos.
Der Regkey ist genullt
Der Regkey ist genullt
Das ist der Default, also müsstest Du ohne eine Domänenverbindung zu haben reinkommen.Welche Meldung kommt denn beim Versuch?
Ach, noch was, überprüfe mal den Wert von cachedlogonscount unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - steht der auf 0 oder 1?
Zitat von @DerWoWusste:
Nein, logisch ist das nicht. Per default werden die Anmeldeinformationen der 10 zuletzt genutzten Domänennutzer gecacht und man kommt ohne Tunnel rein.
Nein, logisch ist das nicht. Per default werden die Anmeldeinformationen der 10 zuletzt genutzten Domänennutzer gecacht und man kommt ohne Tunnel rein.
Zwischengespeicherte Anmeldeinformationen, verstehe. Das geht durchaus, stimmt. 180 Tage lang seit letztem Domänenkontakt, soweit ich weiß.
Aber ohne aktiven Tunnel besteht doch trotzdem keinerlei "echter" Live-Zugriff auf die Domäne bzw. Domänenressourcen, wozu soll die Anmeldung dann gut sein? Lokales Arbeiten nur auf LW C:\ ?
Viele Grüße
von
departure69
Zitat von @DerWoWusste:
Ach, noch was, überprüfe mal den Wert von cachedlogonscount unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - steht der auf 0 oder 1?
Ach, noch was, überprüfe mal den Wert von cachedlogonscount unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - steht der auf 0 oder 1?
Dieser steht auf 0
Zitat von @DerWoWusste:
Das ist der Default, also müsstest Du ohne eine Domänenverbindung zu haben reinkommen.
Das ist der Default, also müsstest Du ohne eine Domänenverbindung zu haben reinkommen.
Welche Meldung kommt denn beim Versuch?
PIN nicht verfügbar und bei AD-Kennworteingabe eine Meldung alá "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“, ein erneuter Domänenjoin ändert daran aber nichts..
Zitat von @departure69:
Zwischengespeicherte Anmeldeinformationen, verstehe. Das geht durchaus, stimmt. 180 Tage lang seit letztem Domänenkontakt, soweit ich weiß.
Aber ohne aktiven Tunnel besteht doch trotzdem keinerlei "echter" Live-Zugriff auf die Domäne bzw. Domänenressourcen, wozu soll die Anmeldung dann gut sein? Lokales Arbeiten nur auf LW C:\ ?
Viele Grüße
von
departure69
Zitat von @DerWoWusste:
Nein, logisch ist das nicht. Per default werden die Anmeldeinformationen der 10 zuletzt genutzten Domänennutzer gecacht und man kommt ohne Tunnel rein.
Nein, logisch ist das nicht. Per default werden die Anmeldeinformationen der 10 zuletzt genutzten Domänennutzer gecacht und man kommt ohne Tunnel rein.
Zwischengespeicherte Anmeldeinformationen, verstehe. Das geht durchaus, stimmt. 180 Tage lang seit letztem Domänenkontakt, soweit ich weiß.
Aber ohne aktiven Tunnel besteht doch trotzdem keinerlei "echter" Live-Zugriff auf die Domäne bzw. Domänenressourcen, wozu soll die Anmeldung dann gut sein? Lokales Arbeiten nur auf LW C:\ ?
Viele Grüße
von
departure69
Bspw. nutze ich den Laptop auch mal, um Mails zu beantworten oder per Teamviewer einem Kollegen zu helfen, wofür ich definitiv keinen Zugriff aufs Firmennetzwerk benötige ;)
Ich bin 5 Tage die Woche im Büro, also sollte es auch keine Probleme mit Ablauf etc. geben ;)
1Ach, noch was, überprüfe mal den Wert von cachedlogonscount unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - steht der auf 0 oder 1?
Dieser steht auf 0@departure69
Zwischengespeicherte Anmeldeinformationen, verstehe. Das geht durchaus, stimmt. 180 Tage lang seit letztem Domänenkontakt, soweit ich weiß.
Nein, nicht 180 Tage, sondern sogar unbegrenzt.Aber ohne aktiven Tunnel besteht doch trotzdem keinerlei "echter" Live-Zugriff auf die Domäne bzw. Domänenressourcen, wozu soll die Anmeldung dann gut sein? Lokales Arbeiten nur auf LW C:\ ?
Richtig, nur lokal.Zitat von @DerWoWusste:
Na bitte, da hast Du den Grund. Das wird umgestellt worden sein. Null bedeutet "kein Caching von Passwordhashes". somit kommst Du nur mit Domänenverbindung rein. Ändere das einfach ab auf den Default von 10, bzw. mindestens auf 1. Hinterfrage, warum das so it.
Ach, noch was, überprüfe mal den Wert von cachedlogonscount unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - steht der auf 0 oder 1?
Dieser steht auf 0Alles klar, scheint geholfen zu haben!
Vielen Dank dafür!!!!
1
