IT-Blog - News, Tipps und Ticks aus der IT

Fehler AADSTS50020 - Nach O365 Tenanttausch kein Login mehr möglich

von Redaktion CSLonz Am 16.02.2025 15:20:35

Wir hatten mal wieder den seltenen Fall, dass ein Kunde aus einem bestehenden Microsoft 365-Tenant in einen neu angelegten Tenant migriert werden musste.

Das Vorgehen ist wie immer: 

  1. Neuen Tenant anlegen
  2. Alle Nutzer anlegen mit xxx.onmicrosoft.com-Domain
  3. Alle Passwörter hinterlegen
  4. Domain via TXT-Eintrag auf neuem Tenant registrieren und aktivieren (keine MX-Änderung)
  5. Alle Konten auf die neue Domain ändern. 
  6. MX-Records umschwenken auf neuen Tenant
  7. Alle Konten abmelden auf Windows-PCs und neu verbinden. 

SCR-20250215-opevSoweit der Plan - in diesem Fall war dies tatsächlich nicht so einfach möglich:

  1. Der PC wollte sich immer wieder am alten Tenant alt.onmicrosoft.com anmelden
  2. Löschen aller gespeicherter Credentials innerhalb der Windows-Anmeldeinformationsverwaltung war ohne Erfolg
  3. komplette Bereinigung der Registry mit den Suchbegriffen "alte Domain", "alt.onmicrosoft.com", "info@..." usw. 

Die Lösung brachten dann tatsächlich zwei Microsoft-Skripte, um hier alle Anmeldungen direkt zu beenden und zu löschen. 

1. VBS-Skript: OLicenseCleanup

Das VBS-Skript "OLicenseCleanup.vbs" entfernt Office 2013- und 2016-Lizenzen aus der Software Protection Platform (SPP). Es erkennt installierte Office-Produktinstanzen über WMI, löscht Lizenzschlüssel mit ospp.vbs /unpkey, und kann optional Benutzeridentitäts-Caches sowie Cloud-Anmeldedaten (WAM) entfernen. Zudem protokolliert es alle Änderungen in einer Log-Datei. Das Skript wird typischerweise zur Fehlerbehebung oder Lizenz-Neukonfiguration eingesetzt.

2. Powershell-Skript: signoutofwamaccounts.ps1

Das PowerShell-Skript "signoutofwamaccounts.ps1" meldet Benutzer von WAM (Web Account Manager)-Konten in Windows ab. Es überprüft, ob die WebAuthenticationCoreManager API auf dem System verfügbar ist, andernfalls wird das Skript abgebrochen. Anschließend werden Windows-Runtime-Methoden geladen und asynchrone Operationen genutzt, um alle WAM-Konten zu finden und abzumelden. Das Skript wird typischerweise verwendet, um Office- oder Microsoft-Konten von Windows-Geräten zu trennen, insbesondere bei Problemen mit der Cloud-Authentifizierung.

Nach der Ausführung dieser beiden Skripte kann man sich dann überall neu anmelden - er erkennt ab sofort auch den neuen Pfad zum neuen Tenant und nutzt die öffentliche DNS wieder. 

Zum Download der beiden Dateien in einem ZIP-File gehts hier entlang!

 

 

Bisher keine Kommentare

Sag uns, was du denkst!

See all

See all

Sophos News

© 2024 ComputerSysteme Lonz. All Rights Reserved.