Vorheriges Thema Nächstes Thema

Fehlerbehebung bei der Installation des GINA-Anmeldeagents

Während der Installation des GINA-Anmeldeagents können die folgenden Fehler auftreten. Befolgen Sie die bereitgestellten Lösungen, um diese zu beheben:

• 'Remcom.exe' wird nicht als interner oder externer Befehl, ausführbares Programm oder Batchdatei erkannt.

• Client-Software konnte nicht installiert werden

• Verbindung zum Remote-Dienst herstellen fehlgeschlagen

• Verbindung zum Computer fehlgeschlagen, ADMIN$.Zugriff verweigert

• Anmeldefehler: Der Zielkontoname ist falsch.

• Anmeldefehler: unbekannter Benutzername oder falsches Kennwort.

• Remote-Dienst konnte nicht gestartet werden. Überlappte E/A-Operation ist im Gange.

• Eine andere Version dieses Produkts ist bereits installiert.

• Eine andere Installation ist bereits im Gange.

• Verbindung zum Computer konnte nicht hergestellt werden.

• Netzwerkpfad nicht gefunden/ungültige Anmeldeinformationen.

• ADSelfServicePlusClientSoftware.msi konnte nicht kopiert werden

• Mehrere Verbindungen zu einem Server oder freigegebenen Ressource durch denselben Benutzer.

• Fehler in security-core.js. Der Benutzer sieht ein Popup mit der Skriptfehlermeldung.

• Ein leerer Bildschirm erscheint, wenn sich der Benutzer mit Windows MFA authentifizieren oder eine Self-Service-Aktion wie Passwortzurücksetzung oder Kontosperre aufheben durchführen möchte.

• Ein leerer Bildschirm erscheint während des Endpunkt-MFA-Prozesses.

• Wenn sich ein Benutzer an seinem Computer anmelden möchte, verzögert sich das Laden der GINA-Komponente.

• Warum wird dem Benutzer keine Offline-Multi-Faktor-Authentifizierung (Offline MFA) angezeigt, obwohl die Funktion konfiguriert ist und die neueste Version des GINA-Anmeldeagents auf dem Benutzerrechner installiert ist?

• Warum ist der während der Offline-MFA von Google Authenticator, Microsoft Authenticator, Zoho OneAuth TOTP oder einem benutzerdefinierten TOTP-Authenticator generierte zeitbasierte Einmalkennwort (TOTP) als ungültig markiert?

• Warum wird dem Benutzer der Zugriff auf seinen Computer oder die Durchführung von Peripherieaktionen wie UAC-Authentifizierung verweigert, wenn keine Verbindung zu ADSelfService Plus besteht?

• Warum kann der Benutzer Offline-MFA durchführen, auch nachdem er seinen Computer abgemeldet hat oder der Administrator ihn über den Offline MFA Enrollment Report abgemeldet hat?

• Warum muss der Benutzer manchmal Online-MFA durchführen, obwohl das Gerät oder der Browser als vertrauenswürdig eingestuft wurde?

• Warum wird die im ADSelfService Plus-Portal eingestellte Anzeigesprache während der Offline-MFA nicht angezeigt?

• Benutzer, die MFA für Windows-Anmeldungen versuchen, wurden in einigen Fällen trotz erfolgreichem MFA-Vorgang zurück zum Anmeldebildschirm weitergeleitet.

1. 'Remcom.exe' wird nicht als interner oder externer Befehl, ausführbares Programm oder Batchdatei erkannt.

   Dieser Fehler tritt auf, wenn die Remcom.exe-Datei, die verwendet wird, um den Anmeldeagenten auf entfernten Computern zu installieren, von der Antivirus-Software erkannt und gelöscht wurde. Um dieses Problem zu beheben:

   • Prüfen Sie, ob sich die Remcom.exe-Datei im bin-Ordner des Installationsverzeichnisses von ADSelfService Plus befindet (C:\ManageEngine\ADSelfService Plus\bin).
   • Wenn nicht, prüfen Sie, ob Ihre Antivirus-Software die Datei entfernt hat. Konfigurieren Sie die Antivirus-Software so, dass die Datei Remcom.exe als vertrauenswürdig eingestuft wird.

2. Client-Software konnte nicht installiert werden

   Dieser Fehler tritt wegen eines Netzwerk-Timeouts bei der Installation der Client-Software auf. Stellen Sie sicher, dass die Netzwerkverbindung wiederhergestellt ist, und versuchen Sie die Installation erneut.

3. Verbindung zum Remote-Dienst herstellen fehlgeschlagen

   Dieser Fehler kann auftreten, wenn der Zielcomputer nicht kontaktiert werden konnte. Um dies zu verhindern:

   • Stellen Sie sicher, dass ein solcher Computer tatsächlich existiert. Falls ja, stellen Sie sicher, dass er mit dem Netzwerk verbunden ist.
   • Um die Konnektivität zu prüfen, führen Sie von dem Server, auf dem ADSelfService Plus installiert ist, einen Ping auf diesen Computer durch.
   • Stellen Sie sicher, dass der Dienst „Remote Registry“ auf dem Clientcomputer ausgeführt wird.

4. Verbindung zum Computer fehlgeschlagen, ADMIN$.Zugriff verweigert

   Dieser Fehler kann auftreten, wenn die Administratorfreigabe auf dem Clientcomputer nicht aktiviert ist. Um dieses Problem zu beheben:

   • Konfigurieren Sie die Domain-Einstellungen (wenn als Konsole ausgeführt) oder den Anmeldereiter (wenn als Dienst ausgeführt) mit einem anderen Benutzerkonto, das Domain-Admin-Rechte besitzt.
   • Aktivieren Sie die Administratorfreigabe:
   • Gehen Sie auf dem Clientcomputer zu Start > Ausführen und geben Sie gpedit.msc ein und drücken Sie Eingabe.
   • Erweitern Sie die Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows-Firewall.
   • Klicken Sie auf Domänenprofil und doppelklicken Sie auf Windows-Firewall: Ausnahmen für eingehende Remoteverwaltung zulassen.
   • Wählen Sie Aktiviert und klicken Sie auf OK.

5. Anmeldefehler: Der Zielkontoname ist falsch.

   Diese Fehlermeldung kann auftreten, wenn zwei Computer denselben Computernamen haben. Ein Computer befindet sich in der Child-Domain; der andere Computer befindet sich in der Parent-Domain.

6. Anmeldefehler: unbekannter Benutzername oder falsches Kennwort.

   Diese Fehlermeldung tritt auf, wenn die Administratorfreigabe auf dem Clientcomputer möglicherweise nicht aktiviert ist. Um dieses Problem zu beheben:

   • Konfigurieren Sie die Domain-Einstellungen (wenn als Konsole ausgeführt) oder den Anmeldereiter (wenn als Dienst ausgeführt) mit einem anderen Benutzerkonto, das Domain-Admin-Rechte besitzt.
   • Aktivieren Sie die Administratorfreigabe:
   • Gehen Sie auf dem Clientcomputer zu Start > Ausführen und geben Sie gpedit.msc ein und drücken Sie Eingabe.
   • Erweitern Sie die Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows-Firewall.
   • Klicken Sie auf Domänenprofil und doppelklicken Sie auf Windows-Firewall: Ausnahmen für eingehende Remoteverwaltung zulassen.
   • Wählen Sie Aktiviert und klicken Sie auf OK.

7. Remote-Dienst konnte nicht gestartet werden. Überlappte E/A-Operation ist im Gange.

   Der Remote-Dienst konnte entweder nicht gestartet werden, weil die Kopie durch Antivirus blockiert wurde, oder weil der Dienst nicht automatisch gestartet werden konnte. Um dies zu verhindern:

   • Gehen Sie auf dem Clientcomputer zur Registerkarte Dienste und prüfen Sie, ob die Dienste „Remote Registry“ und „Server“ gestartet wurden. Falls nicht, aktivieren Sie diese Dienste.

8. Eine andere Version dieses Produkts ist bereits installiert.

   Dieser Fehler tritt auf, wenn eine andere Version dieses Anmeldeagents bereits auf dem Remote-Computer installiert ist. Um dies zu verhindern, deinstallieren Sie die vorhandene Client-Software von diesem Computer.

9. Eine andere Installation ist bereits im Gange.

   Dieser Fehler tritt auf, wenn bereits eine andere Installation im Gange ist. Um dies zu verhindern, versuchen Sie die Installation der Client-Software nach einigen Minuten erneut.

10. Verbindung zum Computer konnte nicht hergestellt werden.

    Dieser Fehler kann auftreten, wenn der Zielcomputer nicht kontaktiert werden konnte. Um dies zu verhindern:

    • Stellen Sie sicher, dass ein solcher Computer tatsächlich existiert.
    • Falls ja, stellen Sie sicher, dass er mit dem Netzwerk verbunden ist.
    • Um die Konnektivität zu prüfen, führen Sie von dem Server, auf dem ADSelfService Plus installiert ist, nur einen Ping auf diesen Computer durch.

11. Netzwerkpfad nicht gefunden/ungültige Anmeldeinformationen.

    Dieser Fehler kann auftreten, wenn der Zielcomputer nicht kontaktiert werden konnte. Um dies zu verhindern:

    • Konfigurieren Sie die Domain-Einstellungen (wenn als Konsole ausgeführt) oder den Anmeldereiter (wenn als Dienst ausgeführt) mit einem anderen Benutzerkonto, das Domain-Admin-Rechte besitzt.
    • Aktivieren Sie die Administratorfreigabe:
    • Gehen Sie auf dem Clientcomputer zu Start > Ausführen und geben Sie gpedit.msc ein und drücken Sie Eingabe.
    • Erweitern Sie die Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows-Firewall.
    • Klicken Sie auf Domänenprofil und doppelklicken Sie auf Windows-Firewall: Ausnahmen für eingehende Remoteverwaltung zulassen.
    • Wählen Sie Aktiviert und klicken Sie auf OK.

12. ADSelfServicePlusClientSoftware.msi konnte nicht kopiert werden

    Dieser Fehler tritt auf, weil der ADSelfService Plus-Server nicht über ausreichende Berechtigungen verfügt, um auf den Clientcomputer zuzugreifen. Um dies zu verhindern:

    • Konfigurieren Sie die Domain-Einstellungen (wenn als Konsole ausgeführt) oder den Anmeldereiter (wenn als Dienst ausgeführt) mit einem anderen Benutzerkonto, das Domain-Admin-Rechte besitzt.
    • Aktivieren Sie die Administratorfreigabe:
    • Gehen Sie auf dem Clientcomputer zu Start > Ausführen und geben Sie gpedit.msc ein und drücken Sie Eingabe.
    • Erweitern Sie die Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows-Firewall.
    • Klicken Sie auf Domänenprofil und doppelklicken Sie auf Windows-Firewall: Ausnahmen für eingehende Remoteverwaltung zulassen.
    • Wählen Sie Aktiviert und klicken Sie auf OK.

13. Mehrere Verbindungen zu einem Server oder freigegebenen Ressource durch denselben Benutzer.

    Dieser Fehler tritt auf, wenn andere Anwendungen oder Prozesse dasselbe Benutzerkonto verwenden, das auch ADSelfService Plus verwendet, um zu versuchen, eine Verbindung zum Remote-Computer herzustellen, auf dem der Anmeldeagent installiert werden soll. Um dieses Problem zu lösen:

    • Trennen Sie alle vorherigen Verbindungen zum Server oder freigegebenen Ressourcen und versuchen Sie es erneut.
    • Konfigurieren Sie die Domain-Einstellungen (wenn als Konsole ausgeführt) oder den Anmeldereiter (wenn als Dienst ausgeführt) mit einem anderen Benutzerkonto, das Domain-Admin-Rechte besitzt.

14. Fehler in security-core.js. Der Benutzer sieht ein Popup mit der Skriptfehlermeldung.

    Wahrscheinliche Ursachen:

    • Cookies sind im Internet Explorer für das Systemkonto nicht aktiviert.
    • Die Produkt-URL von ADSelfService Plus ist in Internet Explorer nicht als vertrauenswürdige Seite hinzugefügt.

    Lösung:

    • Folgen Sie den Schritten hier zur Aktivierung von Cookies.
    • Folgen Sie den Schritten hier Zum Hinzufügen der Produkt-URL von ADSelfService Plus zur Liste der vertrauenswürdigen Seiten im Internet Explorer.

15. Ein leerer Bildschirm erscheint, wenn sich der Benutzer mit Windows MFA authentifizieren oder eine Self-Service-Aktion wie Passwortzurücksetzung oder Kontosperre aufheben durchführen möchte.

    Wahrscheinliche Ursache: Cookies sind im Internet Explorer auf dem System des Benutzers nicht aktiviert.

    Lösung: Folgen Sie den Schritten hier zur Aktivierung von Cookies im Internet Explorer.

16. Ein leerer Bildschirm erscheint während des Endpunkt-MFA-Prozesses.

    Wahrscheinliche Ursache: Die Produkt-URL von ADSelfService Plus ist im Internet Explorer nicht als vertrauenswürdige Seite eingetragen.

    Lösung: Folgen Sie den Schritten hier Zum Hinzufügen der ADSelfService Plus-URL zur Liste der vertrauenswürdigen Seiten im Internet Explorer.

17. Wenn sich ein Benutzer an seinem Computer anmelden möchte, verzögert sich das Laden der GINA-Komponente.

    Wahrscheinliche Ursache: Der Benutzer verwendet ein selbstsigniertes Zertifikat.

    Lösung: Deaktivieren Sie die Zertifikatswiderrufsprüfung, also die Vorzeitige Ungültigmachung eines TLS/SSL-Zertifikats vor Ablaufdatum. Dies kann auf zwei Arten erfolgen.

    Methode 1: Hinzufügen von Registrierungswerten

    • Öffnen Sie den Ausführen Dialog, indem Sie Windows + R auf dem Computer drücken, auf dem das GINA-Ladeproblem auftritt.
    • Geben Sie regedit in das Ausführen Dialogfeld ein und öffnen Sie den Registrierungseditor.
    • Navigieren Sie zu Computer\HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
    • Klicken Sie mit der rechten Maustaste auf Internet Settings und wählen Sie Neu → DWORD.
    • Geben Sie den Registrierungswertnamen als CertificateRevocationein. Klicken Sie mit der rechten Maustaste auf diesen neuen Registrierungswert und wählen Sie Ändern. Im Dword-Wert bearbeiten Dialogfeld tragen Sie den Wert ein als 0.

    

    Methode 2: Ändern der Einstellungen im Internet Explorer

    • Laden Sie PsTools auf dem betroffenen Computer herunter.
    • Drücken Sie Windows + R um das Ausführen Dialogfeld zu öffnen, und geben Sie cmd ein, um die Eingabeaufforderung zu öffnen.
    • Geben Sie den Befehl ein psexec.exe -s -i "C:\Program Files (x86)\Internet Explorer\iexplore.exe".
    • Der Browser wird geöffnet. Navigieren Sie nun zu Einstellungen und wählen Sie Internetoptionen.

    

    • Im Fenster „Internetoptionen“, wechseln Sie zum Tab „Erweitert“ und scrollen Sie nach unten zu den Sicherheit Gruppe in der Liste von Einstellungen.
    • Deaktivieren Sie die Kontrollkästchen neben Überprüfen Sie die Sperrung des Herausgeberzertifikats und Überprüfen Sie die Sperrung des Serverzertifikats.

    

    • Klicken Sie auf OK um das Fenster zu schließen.

Lösung: Aktivieren von Cookies im Internet Explorer auf dem System des Benutzers

Überprüfen Sie, ob Cookies im Internet Explorer auf dem System des Benutzers aktiviert sind. Wenn nicht, aktivieren Sie Cookies, indem Sie die folgenden Schritte ausführen:

1. Laden Sie PsTools auf dem betroffenen Computer herunter.
2. Öffnen Sie den Eingabeaufforderung und führen Sie den Befehl aus psexec.exe -s -i "C:\Program Files (x86)\Internet Explorer\iexplore.exe".
3. Internet Explorer wird geöffnet. (Hinweis: Internet Explorer ist der einzige Browser, der bei GINA-bezogenen Fehlern in Windows geöffnet wird, unabhängig von anderen auf dem System des Benutzers installierten Browsern.)
4. Gehen Sie zu Einstellungen und wählen Sie Internetoptionen.



5. Im Fenster „Internetoptionen“, wechseln Sie zum Datenschutz-Tab. Unter Einstellungen, wählen Sie die Tab „Erweitert“ Schaltfläche.
6. Im Erweiterte Datenschutzeinstellungen Fenster, wählen Sie die Akzeptieren Optionsschaltfläche unter beiden First-party Cookies und Third-party Cookies.



7. Wählen Sie OK und schließen Sie das Erweiterte Datenschutzeinstellungen Fenster.
8. Klicken Sie auf Websites unter Einstellungen im Fenster Internetoptionen.
9. Im Per Site Privacy Actions Fenster, das sich öffnet, geben Sie die ADSelfService Plus Produkt-URL in das Adresse der Website Feld ein und klicken Sie auf Erlauben.



10. Drücken Sie OK um das Per Site Privacy Actions und Fenster „Internetoptionen“, Fenster zu schließen.

Lösung: Hinzufügen der ADSelfService Plus URL zu Intranet-/vertrauenswürdigen Sites

1. Laden Sie PsTools auf dem betroffenen Computer herunter.
2. Öffnen Sie den Eingabeaufforderung und führen Sie den Befehl aus psexec.exe -s -i "C:\Program Files (x86)\Internet Explorer\iexplore.exe".
3. Der Browser wird geöffnet. Navigieren Sie nun zu Einstellungen und wählen Sie Internetoptionen.



4. Im Fenster „Internetoptionen“, wechseln Sie zum Sicherheit Tab und wählen Sie Vertrauenswürdige Sites in das Wählen Sie eine Zone aus, um Sicherheitsoptionen anzuzeigen oder zu ändern Feld.



5. Klicken Sie auf Websites unter dem Wählen Sie eine Zone aus, um Sicherheitsoptionen anzuzeigen oder zu ändern Feld, um das Vertrauenswürdige Sites Fenster.



6. Im Vertrauenswürdige Sites Fenster zu öffnen, geben Sie die URL der ADSelfService Plus-Anwendung in das Diese Website der Zone hinzufügen Feld ein, und klicken Sie dann auf Hinzufügen.

Diese Schritte sollten sicherstellen, dass keine weiteren Probleme beim Laden von GINA auftreten.

18. Warum wird dem Benutzer keine Offline-Multi-Faktor-Authentifizierung (Offline MFA) angezeigt, obwohl die Funktion konfiguriert ist und die neueste Version des GINA-Anmeldeagents auf dem Benutzerrechner installiert ist?

    Die möglichen Gründe für dieses Problem sind unten zusammen mit der Lösung aufgeführt:

    • Wahrscheinliche Ursache 1: Der Benutzer gehört nicht zur Self-Service-Richtlinie mit aktiviertem Offline-MFA.

      Lösung: Stellen Sie sicher, dass Offline-MFA für die Self-Service-Richtlinie aktiviert ist, der der Benutzer angehört. Wenn der Benutzer mehreren Self-Service-Richtlinien angehört, stellen Sie sicher, dass die Self-Service-Richtlinie mit aktiviertem Offline-MFA die höchste Priorität hat.

    • Wahrscheinliche Ursache 2: Der Benutzer hat seinen Computer nicht für Offline-MFA registriert.

      Lösung: Stellen Sie sicher, dass der Benutzer seinen Computer für Offline-MFA registriert hat. Die Registrierung kann auch erzwungen werden, indem die Erzwingen, dass der Benutzer sein Gerät nach erfolgreicher Online-Authentifizierung für Offline-MFA registriert Einstellung für die Self-Service-Richtlinie aktiviert wird, der der Benutzer angehört. Der Benutzer und sein registrierter Computer werden im Offline-MFA-Registrierungsbericht aufgeführt, wenn die Registrierung erfolgreich war.

    • Wahrscheinliche Ursache 3: MFA ist für die Szenarien, die durch Offline-MFA gesichert werden müssen, nicht aktiviert.

      Lösung: Folgen Sie diesen Schritten um maschinenbasierte MFA für Anmeldungen und Nebentätigkeiten wie Aufforderungen der Benutzerkontensteuerung (UAC), Systementsperrungen und RDP-Server-Seiten-Authentifizierung zu aktivieren. Nach der Aktivierung von MFA, führen Sie den Anpassungsplaner aus um diese Änderungen auf allen Benutzergeräten zu aktualisieren.

    Wenden Sie sich an unser Support-Team wenn dieses Problem nach Umsetzung dieser Lösung weiterhin besteht.

19. Warum ist der während der Offline-MFA von Google Authenticator, Microsoft Authenticator, Zoho OneAuth TOTP oder einem benutzerdefinierten TOTP-Authenticator generierte zeitbasierte Einmalkennwort (TOTP) als ungültig markiert?

    Wahrscheinliche Ursache: Das während des Offline-MFA-Prozesses vom Software- oder Hardware-TOTP-Authentifikator generierte OTP wird ungültig, wenn die Zeiten von Benutzergerät und mobilem Gerät, das das OTP erzeugt, nicht synchron sind.

    Lösung: Stellen Sie sicher, dass das mobile Gerät und der Computer die richtige Zeit verwenden.

20. Warum wird dem Benutzer die Anmeldung an seinem Computer oder die Durchführung von Nebentätigkeiten wie UAC-Authentifizierung verweigert, wenn keine Verbindung zu ADSelfService Plus besteht?

    • Wahrscheinliche Ursache 1: MFA ist für den spezifischen Computer erzwungen, der Benutzer ist jedoch weder mit ADSelfService Plus verbunden noch ist sein Computer für Offline-MFA registriert, daher wird ihm der Zugriff verweigert, da er MFA nicht durchführen kann.

      Lösung: Überprüfen Sie die Werte der Manage MFA Dropdown-Liste (Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Installation > Installed Machines). Wenn diese Einstellung auf Erzwingengesetzt ist, wird der Zugriff unabhängig von anderen Einstellungen verweigert.

      Die Einstellungen können so konfiguriert werden, dass der Benutzer verpflichtet ist, Online-MFA durchzuführen, und außerdem die Registrierung seines Computers für Offline-MFA gefördert oder erzwingt wird.

    • Wahrscheinliche Ursache 2: MFA ist nicht so konfiguriert, dass sie umgangen wird, wenn der ADSelfService Plus Server nicht erreichbar ist, und der Benutzer ist nicht für Offline-MFA registriert, daher wird ihm der Zugriff verweigert, weil MFA nicht abgeschlossen werden kann.

      Lösung: Überprüfen Sie den Wert der MFA überspringen, wenn der ADSelfService Plus Server ausgefallen oder nicht erreichbar ist Einstellung (Configuration > Self-Service > Multi-Factor Authentication > Advanced Settings > Endpoint MFA > Machines Login MFA() Wenn diese Einstellung nicht aktiviert ist, wird der Zugriff verweigert. Die Einstellungen können so konfiguriert werden, dass der Benutzer verpflichtet ist, Online-MFA durchzuführen, und außerdem die Registrierung seines Computers für Offline-MFA gefördert oder erzwungen wird.

    Um das Ergebnis gemäß Ihren Anforderungen zu ändern, setzen Sie die Werte dieser Einstellungen entsprechend und führen Sie den Anpassungsplaner aus aktualisieren Sie die Änderungen auf allen Benutzergeräten. Der Zeitplaner spiegelt Änderungen nur auf Login-Agenten wider, die über das Admin-Portal installiert wurden, oder aktiviert den Fernregistrierungsdienst.

    Wenden Sie sich an unser Support-Team wenn dieses Problem auch nach Umsetzung dieser Lösung weiterhin besteht.

21. Warum kann der Benutzer Offline-MFA durchführen, auch nachdem er seinen Computer abgemeldet hat oder der Administrator ihn über den Offline MFA Enrollment Report abgemeldet hat?

    Wahrscheinliche Ursache: Der Benutzer kann Offline-MFA durchführen, bis die Abmeldedaten auf dem jeweiligen Computer aktualisiert sind.

    Lösung: Die Abmeldedaten werden während der nächsten erfolgreichen Online-MFA durch einen beliebigen Benutzer auf dem jeweiligen Computer aktualisiert.

22. Warum muss der Benutzer manchmal Online-MFA durchführen, obwohl das Gerät oder der Browser als vertrauenswürdig eingestuft wurde?

    Wahrscheinliche Ursachen:

    • Die Einstellung Benutzer daran hindern, Offline-MFA nach _ Tagen durchzuführen ist aktiviert und der Benutzer hat das Limit erreicht. Um sicherzustellen, dass das Limit zurückgesetzt wird und der Benutzer wieder Offline-MFA durchführen kann, wird Online-MFA initiiert.
    • Die Erzwingen, dass der Benutzer sein Gerät nach erfolgreicher Online-Authentifizierung für Offline-MFA registriert Einstellung ist aktiviert. Um sicherzustellen, dass Benutzer die Authentifizierung abschließen und für Offline-MFA registriert werden, wird einmalig nach Aktivierung der Offline-MFA der Online-MFA-Prozess gestartet und die Registrierung erzwungen.

23. Warum wird die im ADSelfService Plus-Portal eingestellte Anzeigesprache während der Offline-MFA nicht angezeigt?

    Wahrscheinliche Ursache: Die über das ADSelfService Plus-Portal festgelegte Anzeigesprache gilt nur für UI-Elemente, die vom Server ausgeführt werden, und daher sind nur Teile des Login-Agenten von dieser Einstellung abhängig. Andere Teile, einschließlich Funktionen wie Offline-MFA und Password Policy Enforcer, sind von den Anzeigespracheinstellungen des Willkommensbildschirms abhängig (Start > Einstellungen > Zeit & Sprache > Verwaltungsspracheneinstellungen > Willkommensbildschirm und neue Benutzerkonten > Einstellungen kopieren > Anzeigesprache des Willkommensbildschirms).

    Lösung: Erfahren Sie, wie Sie die Anzeigesprache für die Offline-MFA-Funktion anpassen können hier.

24. Benutzer, die MFA für Windows-Anmeldungen versuchen, wurden in einigen Fällen trotz erfolgreichem MFA-Vorgang zurück zum Anmeldebildschirm weitergeleitet.

    Ursache: Die integrierte Timeout-Dauer des Windows-Anmeldebildschirms für die Authentifizierung ist kürzer als die Zeit, die zur Durchführung der MFA erforderlich ist.

    Lösung: Die Timeout-Dauer des Windows-Anmeldebildschirms kann in den Registrierungseinstellungen geändert werden. Die Standarddauer bei Installation der Login-Agent Version 6.7 und höher beträgt 300.000 ms (5 Minuten). Wenn die Timeout-Dauer bereits in der Registrierung gesetzt ist, ändert die Installation des Login-Agents den bestehenden Wert nicht. Der Administrator kann den Wert manuell mithilfe dieser Schritte ändern:

    1. Gehen Sie zum Registrierungspfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
    2. Rechtsklick LogonUI und wählen Sie DWORD.
    3. Benennen Sie es IdleTimeOut. Doppelklicken Sie darauf und ändern Sie den Wertdatensatz auf Dezimal und geben Sie die Zeit in Millisekunden an. IdleTimeOut in Millisekunden.
    4. Klicken Sie auf OK.

Vorheriges ThemaNächstes Thema