Lmn62 Fehler Code 4c7 Teams Anmeldung scheitert

Hallo Zusammen,

ich setze bei uns gerade Tablets mit Windows 10 neu auf. Hierzu habe ich ein neues Image erstellt und soweit eingerichtet. Da wir (… so vorgegeben) Teams verwenden, habe ich die App ebenfalls installiert. Aus dem Browser heraus funktioniert Teams soweit. Allerdings macht mir die App Probleme.

Lege ich einen Lokalen Account auf den Tablets an, funktioniert Teams wie gewohnt. Allerdings melden sich unsere SuS und KuK über die Domäne an. Auf den Domänenaccounts funktioniert Teams aber nicht. Es zeigt sich der Fehler 4c7.

Ich bin aktuell so soweit, dass ich zwei Dinge im Fokus habe:

1. Teams versucht sicht über die Domäne anzumelden und scheitert. --> Hier gibt es Lösungen, die sich auf einen lokalen Windows Server beziehen und eine andere Art der Anmeldung ermöglichen … Hier kann ich also nur wenig machen ?!
2. Es wird manchmal auch erwähnt, dass Teams eine nötige Lizenz braucht um zu funktionieren.
   Bei uns läuft ein KMS Server der Office (2016er Lizenzen) und Windows mit Lizenzen versorgt. Kann es sein, dass Teams sich über den KMS versucht zu lizenzieren ?! (Das klingt mir etwas dubios, da der lokale Account ja auch ohne Lizenz funktioniert … )

Ich werde an den Stellen weiterforschen.
Hat jemand eine Idee was ich noch machen kann ?
Am liebsten wäre es mir über die Registry Teams die Anmeldung über die Domäne zu unterbinden. Hier wurde ich aber noch nicht fündig.

Viele Grüße und eine schöne Woche
Kamil

Hallo Kamil,

der Fehler scheint daher zu kommen, dass die Anmeldung per SSO mit ADFS nicht funktioniert.
Keine Ahnung, ob 6.2 diese Dienste bereitstellt.

Eine Lösung könnte sein in der Datei settings.json, unter

%AppData%\Roaming\Microsoft\Teams\settings.json

des jeweiligen Benutzers die Option „enableSso:false“ entsprechend zu ändern.

Viel Erfolg
Christian

Hallo Christian,

Habe heute den Tag über danach geschaut und bin auf dasselbe gestoßen. Habe es Probiert leider hat es nicht geklappt. Allerdings werde ich es nochmal sauber mit einem frisch installiertem Teams probieren und Neustarten. Es kann sein, dass irgendwas unsauber zurückgeblieben ist.

Ich befürchte es klappt dennoch nicht, denn der Lokale Benutzer besitzt ja die gleiche settings.conf wie der pgmadmin oder?! Und beim lokalen Benutzer geht es. D.h. ich muss doch was suchen, was lokalen und Domänen Nutzer voneinander unterscheiden.

Ich habe auch etwas über die Gruppenrichtlinien gefunden, die solch einen Schulaccount Arbeitsaccount „Login“ verhindern können. Habe heute leider nur eins testen können und das war es leider auch nicht (unter Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsrichtlinien… Konten: Microsoft Konten blockieren). Allerdings war das unter den Computerkonfigurationen und müsste sich auch auf alle Benutzer auswirken… Hier werde ich Morgen noch nach den Benuterkonfigurationen schauen.

Leider weiß ich tatsächlich nicht wie die AD in Linuxmuster eingebunden ist und was man darüber machen könnte.

Viele Grüße Kamil

Hallo Kamil,

Leider weiß ich tatsächlich nicht wie die AD in Linuxmuster eingebunden
ist und was man darüber machen könnte.

du hast doch die 6.2.
Damit hat du eine Domäne und keine ActivDirectory.
Und damit hast du das Problem, dass wenn du was an den Einstellungen von
Nutzern machen willst, die von defprof nicht kopiert werden, dann mußt
du den „Microsoft way“ gehen und das über Gruppenrichtlinien machen.
Da du keine AD hast, mußt du die Richtlinien lokal machen und dann ein
Image erstellen.

… so ist mein rudimentäres Verständnis von dem Problem …

LG

Holger

Hallo Holger,

danke für die Klarstellung. Eigentlich ist es mir auch bewusst gewesen, da wir ja nur einen Domänenbeitritt machen. Ich war nach den Fehlern irritiert warum Teams an dieser Stelle ein AD Verzeichnis suchen sollte.

Ich habe auch herausgefunden, dass es daran nicht lag und mir ist es scheinbar gelungen, das Problem zu lösen.
Durch den Domänenbeitritt taucht manchmal der Fehler auf, dass die Anmeldeinformationsverwaltung nicht richtig funktioniert.
„Viele Benutzer haben Probleme auf Arbeitsstationen gemeldet, die zuvor mit einer Domäne verbunden waren und keine Outlook-Anmeldeinformationen enthielten. Der Anmeldeinformations-Manager wurde nicht gestartet und zeigte einen Fehler 0x80090345.“ siehe hier
Ich wurde auf diesen Fehler nach einem OnlineVideo aufmerksam. Dort wurden die Credentials von Teams gelöscht um eine neu Anmeldung zu zulassen. Das hat bei mir nicht geklappt.

Es hat geholfen ein DWord 32bit " ProtectionPolicy" unter HKEY_LOCAL_MACHINE/Software/microsoft/cryptography/providers/df9d8cd0-1501-11d1-8c7a-00c04fc297eb zu erstellen und diesen auf 1 zu setzen.

Wenn ich es richtig verstehe versuchte der Dienst, wenn er denn lief, die Credentials in der Domäne zu hinterlegen. Mit dieser Einstellung werden sie lokal gesichert. (Was zwar auch nicht toll ist, aber es funktioniert)

Ich hoffe das bleibt so. Vielen Dank an die Ideen.
Viele Grüße Kamil

Hallo Kamil,

ich habe gerade am Support-Telefon genau den Fall. Leider hat die Lösung da nichts gebracht. Muss man vielleicht noch etwas anderes an dem Rechner ändern?

Gruß

Alois

Hallo Alois,

ich habe tatsächlich mehrere Dinge ausprobiert, allerdings zuerst auf einem Testtablet.
Z.b.

• Windows Machine Wide Installer für Teams statt den „normeln“ Installer. hier ein Link
• Windowsreparatur mit sfc /scannow ; dism /Online /Cleanup-Image /ScanHealth ; Dism /Online /Cleanup-Image /CheckHealth ; dism /Online /Cleanup-Image /RestoreHealth hatte ich aus anderem Grund auch mal ausgeführt. (Schadet ja nicht ) Link
• settings.json anpassen ; Anschließend mit defprof pgmadmin das Default Profil aktualisiert.
• Löschen der Chache Dateien im Microsoft/Teams Ordner
  %AppData%\Roaming\Microsoft\Teams\Cache --> hierdurch wird teilweise die App zurückgesetzt.
• gpedit.msc --> Es gibt eine Richtlinie die Konten blocken kann.
  Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsrichtlinien… Konten: Microsoft Konten blockieren
• Die Anmeldeinformationsverwaltung ließ es nicht zu, dass ich irgendwelche Benutzerkonten abrufen konnte. --> Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung oder Windowstaste drücken und im Suchfenster Anmeldeinformationensverwaltung eintippen.

Nachdem ich den letzten Punkt herausgefunden habe. Bin ich auf ein Tablet mit sauberem Image gegangen und habe eigentlich nur diese Änderung eingefügt. Ich habe im Nachgang defprof pgmadmin laufen lassen, da ich noch Probleme mit den Dateizugehörigkeiten hatte. Ich erinnere mich aber, dass es schon mit dem Registryeintrag geklappt hat. Vlt. wirklich der MachineWideInstaller ?! Oder die Windowsreperatur hatte im Voraus schon etwas richtig gesetzt. (Diese wurde aber aus einem anderen Grund durchgeführt).

Leider ist 4c7 als „allgemeiner“ Login Fehler bekannt. Es gibt manchmal darunter einen zweiten Code. Diesen kenne ich leider nicht mehr auswendig .
Hier können also auch andere Sachen zum Problem führen. Ich hoffe damit irgendwie weiter zu helfen.

Viele Grüße
Kamil

Hallo,

… manchmal bin ich schon neidisch, dass ich nicht so viel von dem
profi Zeug von Microsoft habe: die Total Cost of Ownership (wer erinnert
das noch?) ist halt echt super, wenn man nicht so ein Frickelzeug hat,
sondern professionelles Zeug das „einfach läuft“.

Mensch … und ich muss bei BBB andauernd rumfrickeln (…nicht)

… ich liebe Sarkasmus.

LG

Holger

Hallo Kollege vom Bodensee,

Die Ausführungenvon Kamil zeigen mir dass das eine Aufgabe des Dienstleisters vor Ort ist. Bitte gebt dem Dienstleister einen Auftrag die von Kamil beschriebenen Arbeiten durchzuführen.

Viele Grüße Alois

Hallo zusammen,
vielen Dank für Eure Tipps! Wir werden das testen und hoffen darauf, dass es funktioniert.
Beste Grüße
Thomas

Hallo Thomas,

Ich würde zuerst das Profil von pgmadmin kopieren, ein Image erstellen und dann noch mal mit einem Schüleraccount testen. Vielleicht war es das schon. Den Schritt haben wir ausgelassen, da ich der Meinung war dass sich eine Registryänderung direkt auf alle User auswirken würde.

Viele Grüße Alois

Hallo,

Ich würde zuerst das Profil von pgmadmin kopieren, ein Image erstellen
und dann noch mal mit einem Schüleraccount testen.

Vorsicht: so einfach ist es nicht: die Rechte müssen passen.
Vor allem muss das Kopieren so laufen:

1. pgmadmin Profil mittels STRG+c in die Zwischenablage und dann mittels
   STRG+v wieder einfügen: dann hat man ein pgmadmin (Kopie) Verzeichnis.
2. Das Default Verzeichnis umbenenenn oder löschen
3. die Kopie aus Schritt 1 umbenennen in „Default User“

Selbst das muß nicht reichen: gegebenenfalls muss man noch die Rechte
des gesammten Verzeichnisses anpassen (jeder darf alles).

Vielleicht war es das
schon. Den Schritt haben wir ausgelassen, da ich der Meinung war dass
sich eine Registryänderung direkt auf alle User auswirken würde.

das kann so sein, muß aber nicht: es kommt darauf an, in welchem Bereich
der Registry die Änderungen waren. Es gibt auch Userzweige: die wirken
sich nur auf den User aus. Sie stehen in der (user?).dat Datei im
Homeverzeichnis des users.
Obiges kopieren bewegt diesen Userzweig dann auch in das Default Profil.
Aber: das ist das Vorgehen, wie es mal vor langer Zeit in Win7
funktioniert hat: ich rate davon dringend ab, das in Win10 noch so zu
machen.
Dafür habe ich zwei Gründe:

1. in der user.dat steht der Profilname gegebenenfals bei etlichen
   Einstellungen dabei: das paßt nicht auf den user, der sich anmeldet: man
   müßte das Generealisieren (wie, weiß ich nicht, ob das überhaupt geht,
   weiß ich auch nicht).
   Wir hatten früher im netlogon script Mechanismen, die pgmadmin gegen den
   aktuellen Nutzernamen austauschten
2. Windows 10 sieht das so schlicht nicht mehr vor. Das liegt an der
   Individualität der Apps: jeder hat seine eigenen Apps, und die werden
   beim ersten Login (bei uns immer) installiert. Man kann sie nicht so
   einfach „mitnehmen“ aus dem Default Profil.

Ich sage: wer mag kann testen, ob das so noch geht: aber er mache sich
auf ein langes Gewurschtel mit eher unbefriedigendem Ausgang gefaßt.

VIele Grüße

Holger

Hallo Holger,

was ist mit dem Kopieren mittels defprof?

Gruß

Alois

Hallo Alois,

was ist mit dem Kopieren mittels defprof?

das kopiert ja eben nicht einfach: es stellt das Default User Profil
bereitund macht genau dieses generalisieren.
Das merkst du auch deutlich an zwei Stellen:

1. das Default User Profil ist nach dem pefprof „kopieren“ viel kleiner
   als das Vorlageprofil
2. es werden nciht alle einstellungen übernommen.

LG

Holger

Hallo Holger,

Das Kopieren mittels defprof haben wir in der Anleitung. Zumindest in der für die 6.2. Da sollte darauf hingewiesen werden dass damit nicht alles kopiert wird und die erste Methode copy und paste sein sollte.

Wobei ich mich immer über die geschrumpften Profile gefreut habe.

Gruß Alois

Hallo Alois,

Das Kopieren mittels defprof haben wir in der Anleitung. Zumindest in
der für die 6.2. Da sollte darauf hingewiesen werden dass damit nicht
alles kopiert wird und die erste Methode copy und paste sein sollte.

das hast du falsch verstanden: ich rate ab davon das noch immer per copy
n paste zu machen: man sollte defprof nehmen.

lG

Holger

Kurzer Nachtrag: Ich glaube im oberen Teil war etwas falsch:

Es müsste korrekterweise folgendermaßen heißen:

Es hat geholfen ein DWord 32bit " ProtectionPolicy" unter HKEY_LOCAL_MACHINE/Software/microsoft/cryptography/Protect/providers/df9d8cd0-1501-11d1-8c7a-00c04fc297eb zu erstellen und diesen auf 1 zu setzen.

(Mir ist glaube ich das „Protect“ zwischen cryptography und providers verschollen - nur zur Korrektur)

Viele Grüße
Kamil