RDS + MS 365: ständige Authentifizierungsaufforderungen

[qiller]

Hu zusammen,

hab hier einen RDS, wo MS 365 installiert ist. Benutzerprofile inkl. %localappdata% (Speicherort diverser Lizenz-/Auth-Infos und Token für MS365) werden in UPDs abgelegt. Die Domäne ist nicht irgendwie mit der Entra ID Cloud verbandelt (z.B. per Hybrid Join). Jeder RDS-Nutzer bekommt beim ersten Öffnen von MS Office Produkten brav das Anmeldefenster, loggt sich mit seinen MS365 Zugangsdaten ein (die anschließende Aufforderung zum WorkplaceJoin hab ich schon per Reg-Eintrag deaktiviert) und alles scheint erstmal gut zu sein.

Nach ein paar mal Ab- und wieder Anmelden des benutzers vom RDS passiert es aber, dass in den MS Office Anwendungen rechts oben bei der Nutzeranmeldung für MS365 ein gelbes Ausrufezeichen kommt und irgendwas von "Kontofehler" faselt und man solle die "Anmeldung reparieren". Die Anwendungen funktionieren dann trotzdem noch eine Weile, aber irgendwann kommt dann wieder die Aufforderung zur MS365-Authentifizierung. Lokal auf den Geräten passiert das übrigens nicht, nur in den Sitzungen auf dem RDS.

Hat jemand eine Idee, wie man das behebt, ohne die Domäne mit Entra ID zu verheiraten (das ist der vielversprechenste, von mir bisher gefundene Hinweis, der wohl zusammen mit Single Sign On das Problem garantiert behebt)?

danke schonmal für den Input.

 

[BFF]

Das liest sich grausam nach:
https://www.computerbase.de/news/be...-fehler-bei-teams-und-onedrive-fuehren.96624/

 

[qiller]

Teams/Onedrive ist auf dem RDS nicht installiert und das Problem ist auch schon länger so.

 

[derlorenz]

Gibt es denn Fehler im eventlog bei der Abmeldung? Ggf mal über Fslogix nachdenken.

 

[qiller]

Gibt es denn Fehler im eventlog

Event Id 1098 taucht unter "Anwendungs- und Dienstprotokolle->Microsoft->Windows->AAD->Operational" sehr häufig auf.

Spoiler

Error: 0xCAA100D8 A login hint was sent that doesn't match any WebAccount in the system.
Exception of type 'class Exception' at GetTokenSilentlyBrokerOperation.cpp, line: 214, method: GetTokenSilentlyBrokerOperation::UpdateAcquireTokenFlags.

Log: 0xcaa5011e A token task failed with an exception.
Logged at GetTokenBrokerOperationBase.cpp, line: 431, method: GetTokenBrokerOperationBase::ExecuteImpl::<lambda_c31474b14359272d976d8c8f11c58019>::operator ().

Es gibt da auch nur Fehlermeldungen mit Benutzern, die auf jeden Fall sich mit ihrem MS365 Account authentifiziert haben. Mein Admin-Account (der keine MS 365 Apps for Business Premium Lizenz hat) produziert z.B. keine Event ID 1098 Fehlermeldungen. Also müssen diese irgendwie damit zusammenhängen.

Ergänzung (Vor 6 Minuten)

Ggf mal über Fslogix nachdenken

Die UPDs sind nicht das Problem (das dachte ich auch erst). Die wichtigen Ordner unter %localappdata% werden alle korrekt in die UPD übertragen, sonst hätte ich ja wirklich bei JEDEM Ab- und Anmelden das Problem (dazu gibts auch diverse Tips bzgl. FSLogix, wo das nämlich dann wirklich bei jedem Ab- und wieder Anmelden auftreten kann).

So sieht das übrigens aus, wenn ich jetzt Word mit meinem Testbenutzer auf dem RDS starte:

MS365 hatte ich bei diesem Testnutzer gestern erst authentifiziert.