Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vertrauensstellung verloren. Warum?

Mitglied: kugelschreiber

kugelschreiber (Level 1) - Jetzt verbinden

10.03.2011 um 13:53 Uhr, 32114 Aufrufe, 8 Kommentare

Was ist der Grund dafür?

Hallo Ihr Lieben

Hier wurden ja schon mehrere Kommentare zum o.g. Thema erstellt und abgegeben, aber was ist der eigentliche Grund für das Verlieren der Vertrauensstellung eines Clientcomputers zur Domäne?
Heute sagt mir nämlich ein Clöientrechner, dass er die Vertrauensstellung zur Domäne verloren hat und ich diese neu einrichten soll. Dass ich den Client in die Workgroup zurücknehmen kann und dann wieder (nach Neustart) in die Domäne heben ist mir klar.
(gehen dabei eigentlich Userdaten verloren? Ich habe hier auch gelesen, dass dann neue Userprofile angelegt werden a la "username.0001" usw.)
Meine eigentliche Frage ist aber, warum kommt es zu diesem Szenario erst, so dass man dies beim nächsten Mal einfach schon verhindern kann?
Gleiche SIDs von Clienten gibt es nicht, da seit Wochen kein neuer Rechner hinzugekommen ist, der zufällig dieselbe SID haben könnte und es über Wochen auch reibungslos funktioniert hat.

Achso wir benutzen einen Server 2003 32bit und einen Server 2003 R2 64bit als Domaincontroller und der Client, den es betrifft, ist ein Win 7 Pro 32bit.

Wer hat eine/mehrere *plausible* Erklärungen, so dass ich diese auch verstehen kann?

Vielen Dank für Eure Mühe!

Gruß Kuli
Mitglied: goscho
10.03.2011 um 14:14 Uhr
Zitat von kugelschreiber:
Hallo Ihr Lieben
Hallo Kuli,
Achso wir benutzen einen Server 2003 32bit und einen Server 2003 R2 64bit als Domaincontroller und der Client, den es betrifft,
ist ein Win 7 Pro 32bit.

Wer hat eine/mehrere *plausible* Erklärungen, so dass ich diese auch verstehen kann?
Ich kenne dieses Problem auch.
Wenn du diesen Client als Admin (wie von dir beschrieben) in die Domäne zurückholst und die Frage beim bereits existierenden Computerkonto mit ja beantwortest, dann gibt es keinerlei Probleme bzgl. neuer Profile der User.
Auch nicht bei lokalen Profilen.

Als Begründung könnte eventuell die TSL (Tombstone Lifetime) dienen. Wenn dieser Client eine bestimmte Zeit lang immer mit Cached Credentials angemeldet wurde (ohne LAN-Verbindung), verliert er irgend wann die Vertrauensstellung zur Domäne.
Wann genau, dass ist abhängig vom 1.DC in der Gesamtstruktur und wird hier von Yusuf Dikmenoglu hervorragend erklärt:
http://blog.dikmenoglu.de/PermaLink,guid,98a23bfe-f3ff-4012-8fc3-13b98e ...

PS: Ich hatte dieses Problem auch beim Restoren eines W7-Images (mit BESR gemacht). Raus aus der Domäne und wieder rein genommen und seither läuft dieser Client wie zuvor.
Bitte warten ..
Mitglied: kugelschreiber
10.03.2011 um 14:56 Uhr
Hi Goscho.

Das nenne ich doch mal ne Antwort!
Vielen Dank.
Ich werde mal schauen, ob der Client schon ne Weile mit Cached Credentials angemeldet hat.
Anmerkung: Aber dann müsste doch allerdings auch der Hinweis kommen, dass der User Offline arbeitet, oder sind das 2 Paar Schuhe?

Gruß Kuli
Bitte warten ..
Mitglied: Snowman25
10.03.2011 um 16:07 Uhr
Zitat von kugelschreiber:
Anmerkung: Aber dann müsste doch allerdings auch der Hinweis kommen, dass der User Offline arbeitet, oder sind das 2 Paar
Schuhe?

Definitiv 2 Paar Schuhe.

Zum testen kannst du mal deinen Rechner herunterfahren, das Netzwerkkabel ziehen und den Rechner wieder hochfahren.
Log dich ganz normal mit deinem Domänen-Login ein und der Rechner wird keine Anstalten machen, dich nicht reinzulassen (zumindest XP).
Der Rechner vertraut praktisch darauf, dass er noch im Netz hängt und schaut nicht mal wirklich nach. Gibt meines Wissens nach auch keine Meldung, wenn das Home-Laufwerk nicht verbunden werden konnte (was ja schlecht geht, ohne Netzwerkanschluss).

Gruß
Snow
Bitte warten ..
Mitglied: DerWoWusste
13.03.2011 um 21:24 Uhr
Was die TSL damit zu tun haben soll, ist mir schleierhaft, vielleicht kann Goscho nochmal den Gedankengang verdeutlichen - gelöscht wird hier doch gar nicht.

PS: Ich hatte dieses Problem auch beim Restoren eines W7-Images (mit BESR gemacht)
Das ist erklärbar. Das Systemkonto des PCs wechselt in Abstimmung mit dem DC alle 30 Tage das Kennwort automatisch. Ist das Kennwort im Image nicht mehr übereinstimmend mit dem aktuellen, lässt der DC keine Anmeldungen mehr zu - Vertrauensstellung verloren. Sprich: je näher das Alter des Images an 30 Tagen ist, desto wahrscheinlicher tritt das auf - bei mehr als 30 Tagen mit Gewissheit.
Bitte warten ..
Mitglied: goscho
07.04.2011 um 21:57 Uhr
Hi DWW,
ich denke mal, ich habe mich da einfach in der Wortwahl vertan.

Ich meinte natürlich auch den Vertrauenstoken, den eine Arbeitsstation mit einem DC aushandelt und welcher standardmäßig alle 30 Tage aktualisiert wird.

Danke für deine Richtigstellung.
Bitte warten ..
Mitglied: regtest
06.11.2011 um 18:11 Uhr
Gut eine Erklärung für das Verhalten gefunden zu haben mit dem ich mich ebenfalls auseinandersetze. Dazu ein paar Fragen:

1. Kann ich als Enduser die Gültigkeit dieses Vertrauenstokens feststellen um zu sehen wann ein neues ausgehandelt wird? Das würde mir helfen entsprechend mit Images zu planen.

2. Kann ich denn einen neuen Vertrauenstoken anfordern bzw. erzwingen? Vielleicht durch eine Passwortänderung?

3. Und gibt es Möglichkeit dieses Problem gleich gänzlich auszuschließen oder vielleicht auf anderem Wege ihm den neuen Vertrauenstoken mitzuteilen? Mal abgesehen davon, dass Konto zu entfernen und neu einzurichten, denn das ist für mich als Enduser ja nicht so eben möglich und ich möchte unseren Admins damit nicht so auf den Wecker fallen.
Bitte warten ..
Mitglied: DerWoWusste
06.11.2011 um 20:03 Uhr
Hi regtest, ich hab mich mal schlau gemacht und gefunden, was Dir weiterhilft:
*
On the DC or any computer with RSAT you can run dsquery computer -name ComputerName -stalepwd x

ComputerName is the name of the computer you want to check
x is the number of days since the password is last set.

If the password hasn't been set since x number of days, it will return the name and containers of the computer. If the password has been set within the last x days, it will return nothing.
*
Quelle: http://serverfault.com/questions/149558/when-is-a-domain-computer-accou ...
Weiterführender Link: http://blogs.msdn.com/b/sudhakan/archive/2010/01/07/experimenting-with- ...
In letzterem steht auch, wie man die Kennwortzyklen ändert/deaktiviert.

Also:
1) Jein. Nur wenn Du rsat drauf hast und über ein Konto verfügst, dass diese Anfrage machen darf... ich bin nicht sicher, ob das jedes Konto darf
2) Kannst Du... jedoch nicht, nachdem er schon abgelaufen ist ;(
3) Ja, siehe letzteren Link. Dort steht auch, wie man die Kennwortzyklen ändert/deaktiviert.
Bitte warten ..
Mitglied: regtest
07.11.2011 um 00:56 Uhr
Perfekt. Danke. Habe bereits RSAT installiert und kann mit dquery herausfinden wann das letztemal der Token geändert wurde. Weiterhin nutze ich dann den Command: nltest.exe /sc_change_pwd:mycompany.com um die Änderung des Tokens zu erzwingen. Das ist bereits sehr hilfreich in der Image/VM Pflege.

Ob ich es ganz per Computerrichtlinien deaktivieren kann/darf kläre ich noch. Vielen Dank nochmal.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Vertrauensstellung zwischen zwei Domänen verloren nach Neustart Server

gelöst Frage von hannsgmaulwurfWindows Server8 Kommentare

Hallo zusammen, da die Probleme mit verlorener Vertrauensstellung, die man so ergooglet, sich meist mit der Konstellation Server-Client befassen, ...

Windows Server

Vertrauensstellung defekt

Frage von rony-x2Windows Server1 Kommentar

Hallo, richtige Kategorie? Einleitung: ein Kunde von uns betreibt einen Rechner aus Basis von Ubuntu mit VMWare Workstation (7.1). ...

Windows Netzwerk

Vertrauensstellung, Passwortabfrage

gelöst Frage von TeWutzWindows Netzwerk3 Kommentare

Guten Tag, ich habe hier zwei Domänen. Hierzu habe ich eine Vertrauensstellung eingerichtet- eingehend als aus ausgehend, jeweils domänenweit. ...

Windows Server

Gruppenrichtlinien bei Vertrauensstellungen

gelöst Frage von chb1982Windows Server2 Kommentare

Hallo zusammen, ich verstehe eine Sache nicht, die mit Gruppenrichtlinien im Zusammenhang mit Vertrauensstellungen steht. Folgendes Setup: - Domäne ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 13 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 20 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 23 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...