Vertrauensstellung in der Domäne Microsoft Windows Server 2012 und Microsoft Windows 7
Hallo,
ich bin ein Dienstleister, der einen Standort betreut, mit rund 70 Workstations und 5 Servern. Vor fast zwei Jahren haben wir eine Serverumstellung
von Microsoft Windows Server 2003 zu Microsoft Windows Server 2012 vorgenommen. Diese Serverumstellung wurde in der Grundlage einer Migration
durchgeführt. Einer der Server agiert als Domänencontroller und die anderen Server dienen als Serviceplattform für externe Software.
Seit Anfang an haben wir das Problem, dass bestimmte Rechner auch schon mehrmals ihre Vertrauensstellung in der Domäne verloren haben. Natürlich ist
es kein Problem diese wieder in die Domäne einzubinden, aber was kann der Grund dafür sein, dass sie immer wieder die Vertrauensstellung verlieren?
Vielleicht weis jemand Antwort darauf! Danke schon im Voraus.
Herzlichen Gruß
Hakan Erdagi
ich bin ein Dienstleister, der einen Standort betreut, mit rund 70 Workstations und 5 Servern. Vor fast zwei Jahren haben wir eine Serverumstellung
von Microsoft Windows Server 2003 zu Microsoft Windows Server 2012 vorgenommen. Diese Serverumstellung wurde in der Grundlage einer Migration
durchgeführt. Einer der Server agiert als Domänencontroller und die anderen Server dienen als Serviceplattform für externe Software.
Seit Anfang an haben wir das Problem, dass bestimmte Rechner auch schon mehrmals ihre Vertrauensstellung in der Domäne verloren haben. Natürlich ist
es kein Problem diese wieder in die Domäne einzubinden, aber was kann der Grund dafür sein, dass sie immer wieder die Vertrauensstellung verlieren?
Vielleicht weis jemand Antwort darauf! Danke schon im Voraus.
Herzlichen Gruß
Hakan Erdagi
Please also mark the comments that contributed to the solution of the article
Content-Key: 281915
Url: https://administrator.de/contentid/281915
Printed on: April 26, 2024 at 19:04 o'clock
6 Comments
Latest comment
Hallo Hakan, Willkommen.
Check mal folgende Dinge ab:
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
Sollte aber nur als allerletzte Möglichkeit betrachtet werden, da es ein Sicherheitsloch in die Kommunikation zwischen Client und Server reißt.
Gruß jodel32
Check mal folgende Dinge ab:
- Hat der Client eine genaue Uhrzeit die nicht mehr wie 5 Minuten von der des DCs abweicht ?
- Wurde der Client von einem Image geklont und nicht gesysprept, Stichwort doppelte SID im Netz ?
- Existieren im DNS / WINS alte verwaiste Einträge für den Client und dessen IP ?
- Was sagen die Eventlogs am DC und auf dem Client (Login mit gecachten Credentials mit gezogenem LAN-Kabel) ?
- Wurde das Computerkonto vor dem re-adden mal im AD gelöscht und neu angelegt ?
- Vergleiche folgenden Registry-Key mit funktionierenden Clients:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SVCHOST
- Wird der Client vielleicht durch irgendwelche Software stetig auf einen früheren Stand zurückgesetzt und damit auch das Maschinen-Passwort, kann z.B. durch Windows Updates ausgelöst werden.
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
HKLM\System\CurrentControlSet\services\Netlogon\Parameters
"DisablePasswordChange" auf 1 setzen.
Gruß jodel32
Zitat von @114757:
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
Wenn alles nichts hilft geb den Betroffenen Clients mal folgenden Registry-Fix damit der Rechner sein Maschinen-Passwort nicht erneuert:
> HKLM\System\CurrentControlSet\services\Netlogon\Parameters
>
> "DisablePasswordChange" auf 1 setzen.
>
@114757
Wie verhält sich das mit dem "DisablePasswordChange" , wenn in der Domäne eine Passwortrichtlinie aktiv ist, die die regelmäßige Kennwortänderung vorschreibt?
E.
Wie verhält sich das mit dem "DisablePasswordChange" , wenn in der Domäne eine Passwortrichtlinie aktiv ist, die die regelmäßige Kennwortänderung vorschreibt?
Hi emeriks,hier gehts doch um das Machine(Computer)-Passwort und nicht um ein Userpasswort. Also das was normalerweise alle 30 Tage von Client und AD generiert und im AD gespeichert wird. Ich wüsste jetzt nicht das die normalen Passwortrichtlinien das für die Computerpasswörter vorschreiben.
https://technet.microsoft.com/en-us/library/cc962289.aspx
Gruß jodel32
Moin zusammen,
Machine Account Password Process
Gruß grexit
Zitat von @emeriks:
Zur Info: Computerkennwörter sind nicht von der Passwortrichtlinie betroffen, und von ihr ausgenommen:Ich wüsste jetzt nicht das die normalen Passwortrichtlinien das für die Computerpasswörter vorschreiben.
Ich auch nicht. Aber defacto sind Computer-Konten das gleiche wie Benutzer-Konten.Machine Account Password Process
.... Machine account passwords as such do not expire in Active Directory. They are exempted from the domain's password policy. ...