Betroffene Systeme

  • Windows 8
  • Windows 8.1

 

Der Fehler tritt auf, wenn eine der folgenden Maßnahmen durchgeführt wird…

  • Der Benutzer ändert das Passwort an seinem Computer
  • Der Benutzer ändert das Passwort, weil er aufgrund des Wechsel-Intervalls gezwungen wird
  • Der Admin setzt das Passwort zurück

 

Nach dem durchführen einer der oben genannten Maßnahmen zeigt sich folgendes Fehlerbild …

clip_image001
Die Anmeldung hängt bei „Willkommen“ (Engl.: „Welcome“) und das Rädchen dreht sich…

  • Ändert der Benutzer das Passwort selbstständig, kann er sich nur noch an jenem Rechner erfolgreich anmelden, an dem er das Kennwort geändert hat. Versucht er sich an einem anderen Rechner anzumelden, an dem er vor der Passwort-Änderung bereits einmal angemeldet war und somit dort ein lokales Profil besitzt, ist keine Anmeldung möglich. Meldet sich der Benutzer an einem Rechner an, an dem er bisher noch nicht angemeldet war, ist die Anmeldung problemlos möglich.
  • Setzt der Administrator das Passwort des Benutzers zentral zurück, kann sich der Benutzer nach dem Passwort-Reset an keinem System anmelden, an dem er bereits angemeldet war und ein lokales Profil besitzt.

 

Schneller „Workaround“
Das Problem kann durch das Löschen des lokalen Benutzerprofils behoben werden. Sobald das Profil gelöscht wurde kann sich der Benutzer wieder erfolgreich anmelden.

clip_image002

 

Ursache
Die Ursache dieses Problems verbirgt sich an einer Stelle, an die man erstmal nicht wirklich denkt. Trommelwirbel …
Die Proxy-Einstellungen sind falsch konfiguriert! Smiley

Aufgrund fehlender Proxy-Ausschlüsse (Bypass List, Proxy Exclusions) kann der Client den Domain Controller anscheint nicht erreichen und kann somit in diesem besonderen Fall keine aktuellen Passwort-Informationen abrufen.
(Was genau im Hintergrund passiert und wieso über http oder HTTPS angefragt wird kann ich nicht genau sagen. Ich vermute, dass bestimmte Active Diretory Web-Services – Anfragen ins Leere laufen.)

 

Lösung
Zur Lösung des Problems ist es erforderlich die Proxy-Einstellungen zu überarbeiten.
Alle internen Domänen, in welchen sich Domain Controller und Clients befinden müssen unbedingt in den Proxy Ausschlüssen aufgeführt werden, damit die Anfragen nicht über den Proxy-Server ins Internet umgeleitet werden!

Wird eine PAC- oder WPAD- Konfigurationsdatei verwendet, empfehle ich unbedingt folgende Inhalte am Anfang der Datei zu setzen.

clip_image003

url=url.toLowerCase();
host=host.toLowerCase();

if (dnsDomainIs(host, „de.domain.loc“) ||
dnsDomainIs(host, „ch.domain.loc“) ||
dnsDomainIs(host, „be.domain.loc“) ||
dnsDomainIs(host, „domain.loc“))
return „DIRECT“;

 

  • Die zwei Zeilen im ersten Block sorgen dafür, dass alle zu prüfenden URLs und HOSTs in Kleinbuchstaben gewandelt werden.
  • Der Zweite Block gibt an welche Domänen „Interne Domänen“ sind.
    (In diesem Fall gibt es insgesamt vier interne Domänen)