Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vertrauensstellung verloren. Warum?

Frage Microsoft Windows Server

Mitglied: kugelschreiber

kugelschreiber (Level 1) - Jetzt verbinden

10.03.2011 um 13:53 Uhr, 27649 Aufrufe, 8 Kommentare

Was ist der Grund dafür?

Hallo Ihr Lieben

Hier wurden ja schon mehrere Kommentare zum o.g. Thema erstellt und abgegeben, aber was ist der eigentliche Grund für das Verlieren der Vertrauensstellung eines Clientcomputers zur Domäne?
Heute sagt mir nämlich ein Clöientrechner, dass er die Vertrauensstellung zur Domäne verloren hat und ich diese neu einrichten soll. Dass ich den Client in die Workgroup zurücknehmen kann und dann wieder (nach Neustart) in die Domäne heben ist mir klar.
(gehen dabei eigentlich Userdaten verloren? Ich habe hier auch gelesen, dass dann neue Userprofile angelegt werden a la "username.0001" usw.)
Meine eigentliche Frage ist aber, warum kommt es zu diesem Szenario erst, so dass man dies beim nächsten Mal einfach schon verhindern kann?
Gleiche SIDs von Clienten gibt es nicht, da seit Wochen kein neuer Rechner hinzugekommen ist, der zufällig dieselbe SID haben könnte und es über Wochen auch reibungslos funktioniert hat.

Achso wir benutzen einen Server 2003 32bit und einen Server 2003 R2 64bit als Domaincontroller und der Client, den es betrifft, ist ein Win 7 Pro 32bit.

Wer hat eine/mehrere *plausible* Erklärungen, so dass ich diese auch verstehen kann?

Vielen Dank für Eure Mühe!

Gruß Kuli
Mitglied: goscho
10.03.2011 um 14:14 Uhr
Zitat von kugelschreiber:
Hallo Ihr Lieben
Hallo Kuli,
Achso wir benutzen einen Server 2003 32bit und einen Server 2003 R2 64bit als Domaincontroller und der Client, den es betrifft,
ist ein Win 7 Pro 32bit.

Wer hat eine/mehrere *plausible* Erklärungen, so dass ich diese auch verstehen kann?
Ich kenne dieses Problem auch.
Wenn du diesen Client als Admin (wie von dir beschrieben) in die Domäne zurückholst und die Frage beim bereits existierenden Computerkonto mit ja beantwortest, dann gibt es keinerlei Probleme bzgl. neuer Profile der User.
Auch nicht bei lokalen Profilen.

Als Begründung könnte eventuell die TSL (Tombstone Lifetime) dienen. Wenn dieser Client eine bestimmte Zeit lang immer mit Cached Credentials angemeldet wurde (ohne LAN-Verbindung), verliert er irgend wann die Vertrauensstellung zur Domäne.
Wann genau, dass ist abhängig vom 1.DC in der Gesamtstruktur und wird hier von Yusuf Dikmenoglu hervorragend erklärt:
http://blog.dikmenoglu.de/PermaLink,guid,98a23bfe-f3ff-4012-8fc3-13b98e ...

PS: Ich hatte dieses Problem auch beim Restoren eines W7-Images (mit BESR gemacht). Raus aus der Domäne und wieder rein genommen und seither läuft dieser Client wie zuvor.
Bitte warten ..
Mitglied: kugelschreiber
10.03.2011 um 14:56 Uhr
Hi Goscho.

Das nenne ich doch mal ne Antwort!
Vielen Dank.
Ich werde mal schauen, ob der Client schon ne Weile mit Cached Credentials angemeldet hat.
Anmerkung: Aber dann müsste doch allerdings auch der Hinweis kommen, dass der User Offline arbeitet, oder sind das 2 Paar Schuhe?

Gruß Kuli
Bitte warten ..
Mitglied: Snowman25
10.03.2011 um 16:07 Uhr
Zitat von kugelschreiber:
Anmerkung: Aber dann müsste doch allerdings auch der Hinweis kommen, dass der User Offline arbeitet, oder sind das 2 Paar
Schuhe?

Definitiv 2 Paar Schuhe.

Zum testen kannst du mal deinen Rechner herunterfahren, das Netzwerkkabel ziehen und den Rechner wieder hochfahren.
Log dich ganz normal mit deinem Domänen-Login ein und der Rechner wird keine Anstalten machen, dich nicht reinzulassen (zumindest XP).
Der Rechner vertraut praktisch darauf, dass er noch im Netz hängt und schaut nicht mal wirklich nach. Gibt meines Wissens nach auch keine Meldung, wenn das Home-Laufwerk nicht verbunden werden konnte (was ja schlecht geht, ohne Netzwerkanschluss).

Gruß
Snow
Bitte warten ..
Mitglied: DerWoWusste
13.03.2011 um 21:24 Uhr
Was die TSL damit zu tun haben soll, ist mir schleierhaft, vielleicht kann Goscho nochmal den Gedankengang verdeutlichen - gelöscht wird hier doch gar nicht.

PS: Ich hatte dieses Problem auch beim Restoren eines W7-Images (mit BESR gemacht)
Das ist erklärbar. Das Systemkonto des PCs wechselt in Abstimmung mit dem DC alle 30 Tage das Kennwort automatisch. Ist das Kennwort im Image nicht mehr übereinstimmend mit dem aktuellen, lässt der DC keine Anmeldungen mehr zu - Vertrauensstellung verloren. Sprich: je näher das Alter des Images an 30 Tagen ist, desto wahrscheinlicher tritt das auf - bei mehr als 30 Tagen mit Gewissheit.
Bitte warten ..
Mitglied: goscho
07.04.2011 um 21:57 Uhr
Hi DWW,
ich denke mal, ich habe mich da einfach in der Wortwahl vertan.

Ich meinte natürlich auch den Vertrauenstoken, den eine Arbeitsstation mit einem DC aushandelt und welcher standardmäßig alle 30 Tage aktualisiert wird.

Danke für deine Richtigstellung.
Bitte warten ..
Mitglied: regtest
06.11.2011 um 18:11 Uhr
Gut eine Erklärung für das Verhalten gefunden zu haben mit dem ich mich ebenfalls auseinandersetze. Dazu ein paar Fragen:

1. Kann ich als Enduser die Gültigkeit dieses Vertrauenstokens feststellen um zu sehen wann ein neues ausgehandelt wird? Das würde mir helfen entsprechend mit Images zu planen.

2. Kann ich denn einen neuen Vertrauenstoken anfordern bzw. erzwingen? Vielleicht durch eine Passwortänderung?

3. Und gibt es Möglichkeit dieses Problem gleich gänzlich auszuschließen oder vielleicht auf anderem Wege ihm den neuen Vertrauenstoken mitzuteilen? Mal abgesehen davon, dass Konto zu entfernen und neu einzurichten, denn das ist für mich als Enduser ja nicht so eben möglich und ich möchte unseren Admins damit nicht so auf den Wecker fallen.
Bitte warten ..
Mitglied: DerWoWusste
06.11.2011 um 20:03 Uhr
Hi regtest, ich hab mich mal schlau gemacht und gefunden, was Dir weiterhilft:
*
On the DC or any computer with RSAT you can run dsquery computer -name ComputerName -stalepwd x

ComputerName is the name of the computer you want to check
x is the number of days since the password is last set.

If the password hasn't been set since x number of days, it will return the name and containers of the computer. If the password has been set within the last x days, it will return nothing.
*
Quelle: http://serverfault.com/questions/149558/when-is-a-domain-computer-accou ...
Weiterführender Link: http://blogs.msdn.com/b/sudhakan/archive/2010/01/07/experimenting-with- ...
In letzterem steht auch, wie man die Kennwortzyklen ändert/deaktiviert.

Also:
1) Jein. Nur wenn Du rsat drauf hast und über ein Konto verfügst, dass diese Anfrage machen darf... ich bin nicht sicher, ob das jedes Konto darf
2) Kannst Du... jedoch nicht, nachdem er schon abgelaufen ist ;(
3) Ja, siehe letzteren Link. Dort steht auch, wie man die Kennwortzyklen ändert/deaktiviert.
Bitte warten ..
Mitglied: regtest
07.11.2011 um 00:56 Uhr
Perfekt. Danke. Habe bereits RSAT installiert und kann mit dquery herausfinden wann das letztemal der Token geändert wurde. Weiterhin nutze ich dann den Command: nltest.exe /sc_change_pwd:mycompany.com um die Änderung des Tokens zu erzwingen. Das ist bereits sehr hilfreich in der Image/VM Pflege.

Ob ich es ganz per Computerrichtlinien deaktivieren kann/darf kläre ich noch. Vielen Dank nochmal.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst W2k8 + W2k12 -Domänen Vertrauensstellung - Gruppen (3)

Frage von cordial zum Thema Windows Server ...

Windows Server
gelöst Hyper-V Basiswissen: Fehler in VHDX, alle Daten verloren? (11)

Frage von Lollipop zum Thema Windows Server ...

DNS
gelöst PC nicht in Sicherheitsdatenbank - keine Vertrauensstellung (2)

Frage von JensDND zum Thema DNS ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...