gregor81
Goto Top

Client werden automatisch verschoben

Guten Tag,

kurz was zur Infrastruktur:

Domäne 2012R2
Client: Windows 7 32 bit


Seit Montag haben wir das Problem, das um 21:02 Uhr die Client im AD von unseren "Standards OU`s" in die "Computers OU" automatisch verschoben werden. Im Log finde ich dazu irgendwie dazu gar nix face-confused

Hatte jemand so ein Phänomen schon mal?


ich vermute fast das dies irgendein Service Account verursacht, aber müsste da in den Logs nicht was drinstehen das Clients verschoben wurden?


Danke für Eure hilfe

Content-Key: 331528

Url: https://administrator.de/contentid/331528

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: 132272
132272 08.03.2017 aktualisiert um 09:05:17 Uhr
Goto Top
Hi.
Schalte das ActiveDirectory-Auditing in der lokalen Sicherheitsrichtlinie am DC ein und setze einen Überwachungseintrag auf die OUs. Dann stehen die Infos zum Verschiebevorgang anschliessend im Security-Eventlog.

Gruß
Mitglied: emeriks
emeriks 08.03.2017 um 08:54:53 Uhr
Goto Top
Hi,
ein Service Account alleine wird sowas nicht verursachen können. Da muss schon irgendeine Logik mit diesem Konto laufen, sprich ein Programm (Exe oder Script, egal).

Wieviel DC's in der Domäne? Falls mehrere: Was sagt DCDIAG?

Habt Ihr irgendeine Software für UAI? Falls ja: Da ist nicht zufällig ein Schritt zum Domänenbeitritt dabei?

E.
Mitglied: Gregor81
Gregor81 08.03.2017 um 09:32:42 Uhr
Goto Top
Hi,

ActiveDirectory-Auditing war aktiviert und der Überwachungseintrag auf die Computerobjekte gesetzt, jedoch finde ich unter Event Nr. 4662 oder 4660 nichts face-confused Oder habe ich hier was falsch gemacht?


DC haben wir 3 Stück.

Wir haben Matrix42 im Einsatz, bei einer Neuinstallation vom Client wird dieser automatisch in die Domöne aufgenommen.


DCDIAG schaut ansich gut aus, bis auf diese Meldung:


Warnung. Ereignis-ID: 0x00001695

Erstellungszeitpunkt: 03/07/2017 10:25:07

Ereigniszeichenfolge:

Die dynamische Registrierung oder das L”schen einer oder mehrerer DNS-Eintr„ge, die mit der DNS-Dom„ne "XX.org." verknpft sind, ist gescheitert. Diese Eintr„ge werden von anderen Computern verwendet, damit diese Server entweder als Dom„nencontroller (wenn die angegebene Dom„ne eine Active Directory-Dom„ne ist) oder als LDAP-Server (wenn die angegebene Dom„ne eine Anwendungspartition ist) ermittelt werden k”nnen


M”gliche Ursachen fr den Fehler:

- TCP/IP-Eigenschaften der Netzwerkverbindungen des Computers enthalten falsche IP-Adressen der bevorzugten und alternativen DNS-Server.

- Die angegebenen bevorzugte und alternative DNS-Server werden nicht ausgefhrt.

- DNS-Server, die prim„r fr die zu registrierenden Eintr„ge vorgesehen sind, werden nicht ausgefhrt.

- Bevorzugte oder alternative DNS-Server sind mit falschen Stammhinweisen konfiguriert.

- šbergeordnete DNS-Zone enth„lt falsche Delegierung auf die untergeordnete autorisierende Zone fr die DNS-Eintr„ge, bei deren Registrierung ein Fehler aufgetreten ist.


das ist ja echt komisch wieso sowas auf einmal passiert, aber was ist in der IT nicht komisch face-smile
unbenannt2
unbenannt
Mitglied: emeriks
emeriks 08.03.2017 um 09:40:46 Uhr
Goto Top
Wie groß kann das Sicherheits-Log werden? Reichen die Events überhaupt bis 21:00 Uhr des Vortags zurück? Falls nein, dann ist das Log wahrscheinlich übergelaufen und die ältesten Events wurden gelöscht. Dann die max. Größe des Logfiles soweit anheben, dass es bis zum Vorabend ausreicht.
Weiterhin: Du musst die Sicherheitslogs auf allen DC's prüfen. Geloggt wird nur auf jenem DC, welcher die Änderung ausgeführt hat.
Mitglied: Gregor81
Gregor81 08.03.2017 um 09:48:56 Uhr
Goto Top
die Log Größe sollte kein Problem sein, ich habe Logs am dem 07.03.

achso, na gut dann habe ich jetzt mal was zu tun face-smile
Mitglied: Gregor81
Gregor81 08.03.2017 aktualisiert um 10:12:17 Uhr
Goto Top
ich glaube ich habe es:

Für ein Objekt wurde ein Vorgang ausgeführt.

Antragsteller:
Sicherheits-ID: XX\service
Kontoname: service
Kontodomäne: XX
Anmelde-ID: 0x517E0E79

Objekt:
Objektserver: DS
Objekttyp: computer
Objektname: CN=PC00708,OU=Temp,OU=11 EDV XX,OU=Benutzer und XXXDC=XX,DC=org
Handle-ID: 0x0

Vorgang:
Vorgangstyp: Object Access
Zugriffe: Zugriff steuern

Zugriffsmaske: 0x100
Zeigt die Eigenschaften an.: Zugriff steuern
{bf967a86-0de6-11d0-a285-00aa003049e2}
{91e647de-d96f-4b70-9557-d63ff4f3ccd8}
{6617e4ac-a2f1-43ab-b60c-11fbd1facf05}
{b3f93023-9239-4f7c-b99c-6745d87adbc2}
{b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7}
{b7ff5a38-0818-42b0-8110-d3d154c97f24}
{771727b1-31b8-4cdf-ae62-4fe39fadf89e}
{aa4e1a6d-550d-4e05-8c35-4afcb917a9fe}
{612cb747-c0e8-4f92-9221-fdd5f15b550d}


Zusätzliche Informationen:
Parameter 1: -
Parameter 2:


kann es das sein?
Mitglied: emeriks
Lösung emeriks 08.03.2017 um 10:13:52 Uhr
Goto Top
Suche mal nach den GUID's im Web, und bekomme raus, für was diese stehen.
Mitglied: 132272
132272 08.03.2017 aktualisiert um 10:56:20 Uhr
Goto Top
Die Einträge sollten bei einem Verschiebevorgang so aussehen, vermutlich hast du die Überwachungseinträge nicht auf die OUs sondern stattdessen auf die Computerobjekte gesetzt. Also setze sie in den EIgenschaften der OUs.

Erst wird die DN-Eigenschaft des Objekts gelöscht
Vorgang:
	Vorgangstyp:		Object Access
	Zugriffe:		DELETE
				
	Zugriffsmaske:		0x10000
	Zeigt die Eigenschaften an.:		DELETE
	{bf967a86-0de6-11d0-a285-00aa003049e2}

und danach das Objekt mit den neuen Eigenschaften versehen.
Vorgang:
	Vorgangstyp:		Object Access
	Zugriffe:		Eigenschaft schreiben
				
	Zugriffsmaske:		0x20
	Zeigt die Eigenschaften an.:		Eigenschaft schreiben
		{e48d0154-bcf8-11d1-8702-00c04fb96050}
			{bf96793f-0de6-11d0-a285-00aa003049e2}
			{bf967a0e-0de6-11d0-a285-00aa003049e2}
	{bf967a86-0de6-11d0-a285-00aa003049e2}


Zusätzliche Informationen:
	Parameter 1:		CN=W10-VM,OU=Sub1,OU=Verwaltung,DC=domain,DC=de
	Parameter 2:		OU=Sub1,OU=Verwaltung,DC=domain,DC=de

Mitglied: Gregor81
Gregor81 08.03.2017 um 10:51:52 Uhr
Goto Top
schaue ich nach, das habe ich auch noch gefunden:

Für ein Objekt wurde ein Vorgang ausgeführt.

Antragsteller:
Sicherheits-ID: XX\service_matrix
Kontoname: service_matrix
Kontodomäne: XX
Anmelde-ID: 0x517E0E79

Objekt:
Objektserver: DS
Objekttyp: container
Objektname: CN=Computers,DC=XX,DC=org
Handle-ID: 0x0

Vorgang:
Vorgangstyp: Object Access
Zugriffe: Untergeordnetes Objekt erstellen

Zugriffsmaske: 0x1
Zeigt die Eigenschaften an.: Untergeordnetes Objekt erstellen
{bf967a86-0de6-11d0-a285-00aa003049e2}


Zusätzliche Informationen:
Parameter 1: -
Parameter 2:
neu
Mitglied: 132272
Lösung 132272 08.03.2017 aktualisiert um 10:58:56 Uhr
Goto Top
Sicherheits-ID: XX\service_matrix
Kontoname: service_matrix
Na dann weist du ja jetzt wer der Übeltäter ist face-wink, vor allem weil:
Wir haben Matrix42 im Einsatz,
klingt ja dann irgendwie verdächtig face-smile
Mitglied: Gregor81
Gregor81 08.03.2017 um 11:11:10 Uhr
Goto Top
also wir habens face-smile

vielen Dank euch für die Hilfe, scheint ein Bug zu sein.