Anmeldung an PCs mit W1124H2 schlägt fehl

[MIBA]

Hallo Liebe Vobs-Community.
Ich habe eine Frage ob andere von euch auch dieses Problem haben und falls ja ob es dafür eine Lösung gibt. Nach der Installation von W11 24H2 auf unseren PCs haben Benutzer immer wieder Probleme sich mit ihren Usernamen und Passwort am PC der sich in der Domäne befindet anzumelden. Sie bekommen den Hinweis das der Benutzernamen oder das Passwort nicht stimmen. Wenn man den PC Neustartet funktioniert die Anmeldung dann meistens. Bei einzelnen Rechner aber nützen auch mehrmalige Neustarts nichts. Das Problem existiert bei uns seit ca. Anfang Oktober.
Im Netz habe ich zwar gefunden dass dieses Problem seit März bekannt ist, aber leider keine Lösung die es behoben hätte.
Hat jemand von euch auch diese Probleme?
Als Zusatz vielleicht noch. Wir an der HAK Lustenau haben nicht die Regionalbetreuer Installationsvariante.

Danke im Voraus für eure Hilfe, schöne Grüße
Michael

[Stephan Reiter]

Hallo Michael,

Nein das Problem kenne ich so nicht ...

Ein paar mehr Infos wären wünschenswert: Verwendet ihr roaming Profiles? Passiert das auch bei neu angelegten Usern? Was passiert, wenn das Profil gelöscht wird, sowohl am Server als auch am Client?
Der DC ist von allen Clients zu erreichen? Grundsätzliche Netzwerkprobleme? DNS funktioniert sauber?

LG
Stephan

[Hubert Ilg]

Hallo Michael,

Könnte das helfen?
GPO - Computerkonfiguration/Administrative Vorlagen/System/Anmeldung/Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten

dann ein gpupdate/force machen

lg
Hubert

[Lukas Franz]

Hallo Michael,

auch ich kenne dieses Problem nicht, habe auch keine Idee dazu. Und du hast das Netz sicher schon durchforstet...

Ich habe jetzt mal Perplexity befragt – siehe unten. Vielleicht hilft das weiter.
Ganz kurze Zusammenfassung: Problem ist bekannt – möglicherweise bringen die Novemberupdates Besserung.

Schöne Grüße
Lukas


Hier die Antwort von Perplexity:

Ja — das ist ein bekanntes Anmeldeproblem unter Windows 11 24H2, das seit Herbst verstärkt auftritt, und es gibt klare Ursachen sowie Abhilfen und Fixes. Häufig sind verschärfte Authentifizierungsprüfungen (Kerberos/NTLM) in neueren Updates sowie in manchen Umgebungen doppelte Maschinen-SIDs nach Klonen die Auslöser; Microsoft hat das Thema dokumentiert und mit neueren 24H2-Updates adressiert.[1][2][3]

### Was genau passiert
- Nach Updates für Windows 11 24H2 sehen Nutzer ,,Benutzername oder Passwort falsch", obwohl die Anmeldedaten stimmen; ein Neustart hilft teils, teils gar nicht.[4][2]
- Ursache sind gehärtete Checks in Kerberos/NTLM und SID‑Eindeutigkeitsprüfungen; Geräte mit doppelten SIDs (z. B. unge syspreppte Klone) scheitern bei der Domänenauthentifizierung.[2][3]
- Microsoft beschreibt zusätzliche Symptome: RDP‑Fehler, Zugriff auf Freigaben schlägt fehl, und Ereignisse von LSA/lsasrv deuten auf fehlgeschlagene Handshakes hin.[3][4]

### Betroffene Versionen/Updates
- Windows 11 24H2 und 25H2 sowie Windows Server 2025 sind betroffen, insbesondere nach Updates ab 29.08.2025 mit verstärkten SID‑ und Auth‑Prüfungen.[2][3]
- Microsoft listet das Thema in den 24H2‑,,Resolved issues", wobei neuere kumulative Updates Abhilfe schaffen; Stand November 2025 sind Fixes in den aktuellen Nicht‑Sicherheitsupdates enthalten.[5][1]

### Sofortmaßnahmen (Workarounds)
- Prüfen, ob die betroffenen Clients eindeutig sysprepped und ohne doppelte SIDs sind; bei Verdacht Sysprep korrekt einsetzen oder Images neu bereitstellen.[3][2]
- In Domänen mit gehärteter NTLM‑Konfiguration: temporär die spezielle Richtlinie/Registry ,,AllowNtAuthPolicyBypass" von 2 auf 1 zurücknehmen, um Logons wieder zuzulassen (nur als Zwischenlösung).[6][3]
- Für Maschinen mit hartnäckigen Problemen: Computerkonto in AD zurücksetzen und dem Domänenbeitritt erneut durchführen; dabei DNS/Netzwerk/Firewall sauber für DC‑Erreichbarkeit prüfen.[7][3]

### Dauerhafte Behebung
- Aktuelle kumulative Updates für 24H2 ausrollen; Microsoft nennt diese Probleme als ,,behoben" in neueren 24H2‑Builds, insbesondere in Updates ab Juli 2025 und neuer.[1][3]
- Sicherstellen, dass in der Image‑Kette Sysprep eingesetzt wurde, damit jede Installation eine einzigartige SID erhält; das ist ab 24H2/25H2 mit den neuen Checks zwingend.[2][3]
- Policies und Härtungen rund um NTLM/Kerberos prüfen: Kanalbindung, PAC‑Validierung, Credential Guard und NLA können neue Fehlerpfade auslösen; wo nötig, abgestuft entschärfen oder modernisieren (z. B. Kerberos‑Delegation statt CredSSP).[8][9]

### Hinweise aus dem Feld
- Admin‑Berichte zeigen die identische Symptomatik ,,Passwort falsch", die nach Neustart teils verschwindet; das passt zu Timing‑/Ticket‑Themen und den neuen Enforcement‑Checks.[10][11]
- RDP/LDAP und App‑Logins können parallel scheitern, wenn die gleiche Auth‑Ursache greift; das konsolidiert die Fehlersuche auf die Auth‑Pipeline statt auf einzelne Apps.[12][2]

### Praxis‑Checkliste für deine Umgebung
- Prüfe betroffene Clients auf doppelte SIDs (Herkunft: geklonte Images ohne Sysprep); falls ja, neu syspreppen/neuausrollen.[3][2]
- Rolle das neueste 24H2‑Update auf allen Clients aus und verifiziere den Status in ,,Resolved issues 24H2".[1]
- Analysiere DC‑ und Client‑Logs (Kerberos/LSA) auf Ticket‑ und Channel‑Binding‑Fehler; testweise AllowNtAuthPolicyBypass=1 setzen, wenn aktuell 2 erzwungen ist.[6][3]
- Bei Einzelfällen: AD‑Computerkonto zurücksetzen und Client sauber der Domäne neu beitreten; DNS/NLA/CredSSP‑Policies prüfen.[7][8]

Wenn das Problem bei euch seit Anfang Oktober auftritt und mit 24H2‑Rollout korreliert, ist die Kombination aus neueren Enforcement‑Checks und Imaging‑Historie der wahrscheinlichste Trigger; mit aktuellem Patchstand und SID‑Bereinigung stabilisiert sich die Anmeldung erfahrungsgemäß.[1][3]

[1](https://learn.microsoft.com/en-us/windows/release-health/resolved-issues-windows-11-24h2)
[2](https://www.bleepingcomputer.com/news/microsoft/microsoft-recent-windows-updates-cause-login-issues-on-pcs-sharing-security-ids/)
[3](https://support.microsoft.com/en-us/topic/kerberos-and-ntlm-authentication-failures-due-to-duplicate-sids-76f7394d-c460-4882-9ed1-d27e0960f949)
[4](https://betanews.com/2025/10/22/microsoft-says-windows-update-may-have-caused-login-problems/)
[5](https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2025)
[6](https://www.askvg.com/windows-server-2025-known-issues-and-workarounds/)
[7](https://learn.microsoft.com/en-us/answers/questions/2188452/why-windows-11-24h2-causing-domain-user-login-issu)
[8](https://ssojet.com/news/microsoft-addresses-kerberos-and-ntlm-login-issues-in-windows-11)
[9](https://learn.microsoft.com/en-ie/answers/questions/5607588/october-update-windows-11-24h2-issues-authenticati)
[10](https://www.reddit.com/r/sysadmin/comments/1nhtlx7/server_2025_dc_clients_randomly_unable_to_log_in/)
[11](https://community.spiceworks.com/t/windows-11-update-breaking-domain-logins/1223870)
[12](https://community.spiceworks.com/t/win11-24h2-breaks-ldap-authentication-for-enterprise-app/1139078)
[13](https://cyberpress.org/microsoft-confirms-recent-updates-causing-login/)
[14](https://www.reddit.com/r/sysadmin/comments/1j5q1qq/windows_11_24h2_authentication_issue/)
[15](https://nuangel.net/2025/01/windows-11-24h2-insufficient-system-resources-trying-to-login/)
[16](https://www.ntlite.com/community/index.php?threads%2Fusing-windows-11-24h2-causes-the-specified-domain-either-does-not-exist-or-could-not-be-contacted.5303%2F)
[17](https://borncity.com/win/2025/10/23/windows-11-24h2-25-h2-server-2025-sid-duplicates-cause-ntlm-kerberos-authentication-errors/)
[18](https://learn.microsoft.com/en-us/windows/release-health/resolved-issues-windows-server-2025)
[19](https://community.spiceworks.com/t/windows-11-24h2-post-domain-join-issues/1179692)
[20](https://windowsforum.com/threads/windows-11-2025-updates-break-duplicate-sids-fixes-and-remediation.387701/)

[MIBA]

Hallo Liebes Vobs-Team,

danke für eure Anregungen. Ich bin inzwischen selber auf die momentane Lösung meines Problems gekommen. Ich hatte im Frühjahr dieses Jahres einen weiteren DC in die Domäne aufgenommen der mit MS 2025 installiert wurde. Der DC ist mehr oder weniger problemlos gelaufen, hatte aber am Anfang einige Tage eine Warnung in der Ereignisanzeige bezüglich Kerberos. Habe ich damals über Andreas Renner an die Community geschrieben ob hier jemand etwas weiß, aber leider keine Rückmeldungen bekommen.
Die Warnung ist dann auch verschwunden. Der DC mit MS 2025 sollte nach einiger Zeit die Rollen meines primären DCs mit MS2016 übernehmen.
Ende des letzten Schuljahres habe ich noch alle Schul-PCs von W11 23H2 auf W11 24H2 umgestellt und hatte dabei bei der Installation seltsame Erscheinungen, dass manche PCs die Installation aus nicht nachvollziehbaren Gründen abgebrochen haben. Der Grund dafür glaubten wir in einer Wechselwirkung von unterschiedlichen GPOs gefunden zu haben. Wenn man nämlich die PCs in eine OU der nur wenige GPOs zugeordnet waren vor dem installieren verschob, dann lief die Installation fehlerlos durch.

Ein zwei Wochen nach dem heurigen Schulstart gingen nun die Anmeldeprobleme los. Bei manchen Rechnern aber leider auch immer wieder bei anderen, konnten sich einzelne User nicht anmelden. Wie schon gesagt hat meist ein Neustart geholfen.
Ich bin dann bei der Suche nach diesem Problem darauf gestoßen, dass im MS Server 2025 NTLMv1 abgeschaltet wurde. Nach einigem weitersuchen habe ich dann gefunden, dass Server mit MS 2025 in gemischten Umgebungen (MS 2016, MS 2022 und eben MS2025) derzeit immer wieder genau solche Probleme verursachen. egal ob sie dabei als Member-Server oder als DC laufen. Mein "Lösung" war nun den bereits installierten DC mit MS 2025 aus der Domäne zu entfernen und vorab auf den Umstieg auf 2025 zu verzichten sondern auf 2022 zu wechseln. Seit der Entfernung läuft das gesamte Netzwerk wieder problemlos und User sind auch wieder schnell und überall angemeldet. Der Umstieg auf 2025 wir also wohl noch einige Zeit warten müssen.

Vielleicht noch bezüglich der Updates. Bis zum Oktoberupdate hat es keine Verbesserung des Problems gegeben!

Derzeit bin ich dran herauszufinden wie man die NTLM Authentifizierung komplett abdrehen kann und auf eine reine Kerberosauthentifizierung wechselt, da dies dann für 2025 bzw. die Zukunft notwendig sein wird.
Danke noch einmal für eure Hilfe und sorry für meine lange Nicht Antwort.

schöne Grüße
Michael