Bei einem unserer Kunden wurde im Rahmen eines Hardwarewechsels auch das Update von Windows 10 1608 nach 1709 getestet. Dabei fiel auf, dass der Single Logon Dienst nicht mehr zu funktionieren schien. Der zugehörige Windows-Dienst war installiert und aktiviert. Die entsprechende Einstellung im Notes gesetzt. Und dennoch kam bei jedem Notes-Start die Passwortabfrage ohne die nachfolgende Aufforderung, eine Angleichung der Passwörter zwischen Windows und Notes durchzuführen. Es gab keine Fehlermeldung und auch keine Log-Einträge - als ob der Dienst einfach nicht aktiv wäre. Die Suche nach notwendigen Registry-Einstellungen brachte mich schließlich auf eine IBM Technote. In dieser wird darauf verwiesen, dass ein bestimmter NetworkProvider (NPNotes64) als Network-Provider registriert sein und die richtige Reihenfolge eingehalten werden muss. Das war nicht der Fall. Nachdem ich diesen hinzugefügt hatte, startete Notes ohne Passwortabfrage.
Path: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order]
Value: "ProviderOrder"="RDPNP,LanmanWorkstation,WebClient,npnotes64,PssoCM32"
Microsoft kennt das Problem
Laut einem Supportdokument von Microsoft kann das Problem nach Windows 10 Direktupdates auf verschiedene Versionen auftreten. Als Lösung schlägt Microsoft vor, den Inhalt des entsprechenden Registry-Schlüssels vor dem Update zu sichern und nach dem Update wieder einzuspielen.
In jedem Fall muss man sich der drohenden Gefahr bewusst sein, um Maßnahmen ergreifen zu können. Das sind Sie als Leser unseres Blogs jetzt. Wir empfehlen generell, Windows-Updates nach Möglichkeit nicht automatisch zu installieren, sondern diese vorher zu testen. Dass Microsoft die Supportzyklen verkürzt hat und damit mehr Druck auf das Clientmanagement ausübt, macht das sicher nicht einfach, aber Vorfälle wie diese zeigen, dass es immer wieder zu Einschränkungen kommen kann und auch kommt.
Notes Single Logon ist eigentlich veraltet
IBM selber empfiehlt, Single Logon nicht mehr einzusetzen. Es gibt mit Notes Shared Login (basierend auf der Windows-API) und Notes Federated Login (SAML) zwei modernere Verfahren, die insbesondere gemeinsam viel mehr Anforderungen an gemeinsame Authentifizierung gerecht werden können.
Sprechen Sie uns gerne darauf an.
Ergänzung (31.07.)
Ein ehemaliger Kollege bestätigt mich in etwas (Danke dafür!), das ich bisher zwar gesehen aber nicht genauer untersucht hatte. Für die korrekte Funktion von SSO ist auch ein weiterer Registry-Key erforderlich und der wird ebenfalls beim Windows-Update gelöscht:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npnotes64]
"Group"="NetworkProvider"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npnotes64\NetworkProvider]
"Name"="IBM Notes Single Logon"
"ProviderPath"="C:\\Program Files (x86)\\IBM\\Notes\\npnotes64.dll"
"Class"=dword:00000002
Das ist der Network-Provider, der in dem oberen Registry-Key eingebunden wird. Der Provider heißt übrigens entweder npnotes für 32bit- oder npnotes64 für 64bit-Betriebssysteme.