[English]Arbeitet wer bereits mit Windows Server 2025? Ein Blog-Leser ist auf ein gravierende Problem mit Windows Hello 4 Business gestoßen. Clients, die sich mit Windows Hello 4 Business anmelden, verursachen eine Kerberos-Exception in der LSASS, so dass 60 Sekunden ein Reboot auftritt.
Blog-Leser Robert R. hat sich per E-Mail gemeldet und das Problem kurz skizziert (danke dafür). Wie bereits im Anreißertext erwähnt, verursachen Clients eine Kerberos-Exception in der LSASS, so dass es nach 60 Sekunden zum Reboot kommt.
Details auf reddit.com
Der Leser hat das Ganze auf reddit.com im Thread server 2025 causing lsass reboot after windows hello 4 business logon etwas ausführlicher beschrieben.
In der Umgebung des Lesers wurden beide Domänen-Controller auf Windows Server 2025 aktualisiert. Es handelt sich jeweils um frische Neuinstallationen, wird angefügt. Nach diesem Schritt können sich Clients mit Windows 10/11 nicht mehr mit Gesichtserkennung, Fingerabdruck oder PIN über Windows Hello 4 Business (wh4b) anmelden.
Nutzer erhalten auf dem Bildschirm die Meldung „Ihre Anmeldedaten konnten nicht überprüft werden“. Darauf folgte eine weitere Meldung: „Es ist ein Fehler aufgetreten und Ihre PIN ist nicht verfügbar (Status: 0xc002001b, Substatus: 0x0). Klicken Sie, um Ihre PIN erneut einzurichten.“
Die Ausschalttaste am Rechner funktioniert ab diesem Zeitpunkt nicht mehr, und nach 60 Sekunden startet das System automatisch neu. Der Leser vermutet ein Problem mit lsass.exe. Die Anmeldung mit Klartextpasswort funktioniert normal.
Fehler am Domain-Controller
Auf dem Domänen-Controller wird in dem Moment, in dem der Client versucht, sich anzumelden, folgende Fehlereinträge gleich zwei Mal:
An account failed to log on. Subject: Security ID:SYSTEM Account Name:SRV001$ Account Domain:REMOVED Logon ID:0x3E7 Logon Type:3 Account For Which Logon Failed: Security ID:NULL SID Account Name: Account Domain:- Failure Information: Failure Reason:An Error occured during Logon. Status:0xC0000001 Sub Status:0x0 Process Information: Caller Process ID:0x36c Caller Process Name:C:\Windows\System32\lsass.exe Network Information: Workstation Name:SRV001 Source Network Address:- Source Port:- Detailed Authentication Information: Logon Process:Authz Authentication Package:Kerberos Transited Services:- Package Name (NTLM only):- Key Length:0
Der Eintrag im Ereignisprotokoll ist etwas rätselhaft, da er sich auf SRV001$ (den DC) bezieht und nicht auf den Client, der sich anzumelden versucht. Auf den Clients findet sich die folgende Fehlermeldung:
The process wininit.exe has initiated the restart of computer PC001 on behalf of user for the following reason: No title for this reason could be found Reason Code: 0x50006 Shutdown Type: restart Comment: The system process 'C:\WINDOWS\system32\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.
und Ereignis-ID 5000
The security package Kerberos generated an exception. The exception information is the data.
Auf den Systemen sind alle verfügbaren aktuellen Patches installiert. Der Leser konnte das Problem auf Windows Server 2025 eingrenzen, indem einen DC wieder auf Windows Server 2022 zurückgesetzt wurde, während der andere DC offline blieb. Das oben beschriebene Problem war verschwunden.
Es wurde auch certutil -deletehellocontainer ohne Erfolg ausprobiert. Die Frage, ob andere Administratoren das bestätigen können, wurde von anderen Postern bestätigt. Der reddit.com-Thread enthält einige Meldungen.
Danke für den Hinwies, ich kann allerdings auch nur bestätigen das unter Windows 23H2 / Server 2022 keine Probleme mit Windows Hello Anmeldungen bekannt sind. Windows Server 2025 hat es noch nicht Geschafft das wir diese Version als stable ansehen und verwenden diese immer noch nicht.