6
Vertrauensstellung in der Domäne Microsoft Windows Server 2012 und Microsoft Windows 7
Hallo,
ich bin ein Dienstleister, der einen Standort betreut, mit rund 70 Workstations und 5 Servern. Vor fast zwei Jahren haben wir eine Serverumstellung
von Microsoft Windows Server 2003 zu Microsoft Windows Server 2012 vorgenommen. Diese Serverumstellung wurde in der Grundlage einer Migration
durchgeführt. Einer der Server agiert als Domänencontroller und die anderen Server dienen als Serviceplattform für externe Software.
Seit Anfang an haben wir das Problem, dass bestimmte Rechner auch schon mehrmals ihre Vertrauensstellung in der Domäne verloren haben. Natürlich ist
es kein Problem diese wieder in die Domäne einzubinden, aber was kann der Grund dafür sein, dass sie immer wieder die Vertrauensstellung verlieren?
Vielleicht weis jemand Antwort darauf! Danke schon im Voraus.
Herzlichen Gruß
Hakan Erdagi
ich bin ein Dienstleister, der einen Standort betreut, mit rund 70 Workstations und 5 Servern. Vor fast zwei Jahren haben wir eine Serverumstellung
von Microsoft Windows Server 2003 zu Microsoft Windows Server 2012 vorgenommen. Diese Serverumstellung wurde in der Grundlage einer Migration
durchgeführt. Einer der Server agiert als Domänencontroller und die anderen Server dienen als Serviceplattform für externe Software.
Seit Anfang an haben wir das Problem, dass bestimmte Rechner auch schon mehrmals ihre Vertrauensstellung in der Domäne verloren haben. Natürlich ist
es kein Problem diese wieder in die Domäne einzubinden, aber was kann der Grund dafür sein, dass sie immer wieder die Vertrauensstellung verlieren?
Vielleicht weis jemand Antwort darauf! Danke schon im Voraus.
Herzlichen Gruß
Hakan Erdagi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281915
Url: https://administrator.de/contentid/281915
Printed on: April 20, 2024 at 08:04 o'clock
6 Comments
Latest comment
Hallo Hakan, Willkommen.
Check mal folgende Dinge ab:
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
Sollte aber nur als allerletzte Möglichkeit betrachtet werden, da es ein Sicherheitsloch in die Kommunikation zwischen Client und Server reißt.
Gruß jodel32
Check mal folgende Dinge ab:
- Hat der Client eine genaue Uhrzeit die nicht mehr wie 5 Minuten von der des DCs abweicht ?
- Wurde der Client von einem Image geklont und nicht gesysprept, Stichwort doppelte SID im Netz ?
- Existieren im DNS / WINS alte verwaiste Einträge für den Client und dessen IP ?
- Was sagen die Eventlogs am DC und auf dem Client (Login mit gecachten Credentials mit gezogenem LAN-Kabel) ?
- Wurde das Computerkonto vor dem re-adden mal im AD gelöscht und neu angelegt ?
- Vergleiche folgenden Registry-Key mit funktionierenden Clients:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SVCHOST- Wird der Client vielleicht durch irgendwelche Software stetig auf einen früheren Stand zurückgesetzt und damit auch das Maschinen-Passwort, kann z.B. durch Windows Updates ausgelöst werden.
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
HKLM\System\CurrentControlSet\services\Netlogon\Parameters
"DisablePasswordChange" auf 1 setzen. Gruß jodel32
Zitat von @114757:
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
> HKLM\System\CurrentControlSet\services\Netlogon\Parameters
>
> "DisablePasswordChange" auf 1 setzen.
> @114757
Wie verhält sich das mit dem "DisablePasswordChange" , wenn in der Domäne eine Passwortrichtlinie aktiv ist, die die regelmäßige Kennwortänderung vorschreibt?
E.
Wie verhält sich das mit dem "DisablePasswordChange" , wenn in der Domäne eine Passwortrichtlinie aktiv ist, die die regelmäßige Kennwortänderung vorschreibt?
Hi emeriks,hier gehts doch um das Machine(Computer)-Passwort und nicht um ein Userpasswort. Also das was normalerweise alle 30 Tage von Client und AD generiert und im AD gespeichert wird. Ich wüsste jetzt nicht das die normalen Passwortrichtlinien das für die Computerpasswörter vorschreiben.
https://technet.microsoft.com/en-us/library/cc962289.aspx
Gruß jodel32
Ich wüsste jetzt nicht das die normalen Passwortrichtlinien das für die Computerpasswörter vorschreiben.
Ich auch nicht. Aber defacto sind Computer-Konten das gleiche wie Benutzer-Konten.
Moin zusammen,
Machine Account Password Process
Gruß grexit
Zitat von @emeriks:
Zur Info: Computerkennwörter sind nicht von der Passwortrichtlinie betroffen, und von ihr ausgenommen:Ich wüsste jetzt nicht das die normalen Passwortrichtlinien das für die Computerpasswörter vorschreiben.
Ich auch nicht. Aber defacto sind Computer-Konten das gleiche wie Benutzer-Konten.Machine Account Password Process
.... Machine account passwords as such do not expire in Active Directory. They are exempted from the domain's password policy. ...
@122990
Danke!
Danke!
