Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Vertrauensstellung verloren. Warum?

Mitglied: kugelschreiber

kugelschreiber (Level 1) - Jetzt verbinden

10.03.2011 um 13:53 Uhr, 31576 Aufrufe, 8 Kommentare

Was ist der Grund dafür?

Hallo Ihr Lieben

Hier wurden ja schon mehrere Kommentare zum o.g. Thema erstellt und abgegeben, aber was ist der eigentliche Grund für das Verlieren der Vertrauensstellung eines Clientcomputers zur Domäne?
Heute sagt mir nämlich ein Clöientrechner, dass er die Vertrauensstellung zur Domäne verloren hat und ich diese neu einrichten soll. Dass ich den Client in die Workgroup zurücknehmen kann und dann wieder (nach Neustart) in die Domäne heben ist mir klar.
(gehen dabei eigentlich Userdaten verloren? Ich habe hier auch gelesen, dass dann neue Userprofile angelegt werden a la "username.0001" usw.)
Meine eigentliche Frage ist aber, warum kommt es zu diesem Szenario erst, so dass man dies beim nächsten Mal einfach schon verhindern kann?
Gleiche SIDs von Clienten gibt es nicht, da seit Wochen kein neuer Rechner hinzugekommen ist, der zufällig dieselbe SID haben könnte und es über Wochen auch reibungslos funktioniert hat.

Achso wir benutzen einen Server 2003 32bit und einen Server 2003 R2 64bit als Domaincontroller und der Client, den es betrifft, ist ein Win 7 Pro 32bit.

Wer hat eine/mehrere *plausible* Erklärungen, so dass ich diese auch verstehen kann?

Vielen Dank für Eure Mühe!

Gruß Kuli
Mitglied: goscho
10.03.2011 um 14:14 Uhr
Zitat von kugelschreiber:
Hallo Ihr Lieben
Hallo Kuli,
Achso wir benutzen einen Server 2003 32bit und einen Server 2003 R2 64bit als Domaincontroller und der Client, den es betrifft,
ist ein Win 7 Pro 32bit.

Wer hat eine/mehrere *plausible* Erklärungen, so dass ich diese auch verstehen kann?
Ich kenne dieses Problem auch.
Wenn du diesen Client als Admin (wie von dir beschrieben) in die Domäne zurückholst und die Frage beim bereits existierenden Computerkonto mit ja beantwortest, dann gibt es keinerlei Probleme bzgl. neuer Profile der User.
Auch nicht bei lokalen Profilen.

Als Begründung könnte eventuell die TSL (Tombstone Lifetime) dienen. Wenn dieser Client eine bestimmte Zeit lang immer mit Cached Credentials angemeldet wurde (ohne LAN-Verbindung), verliert er irgend wann die Vertrauensstellung zur Domäne.
Wann genau, dass ist abhängig vom 1.DC in der Gesamtstruktur und wird hier von Yusuf Dikmenoglu hervorragend erklärt:
http://blog.dikmenoglu.de/PermaLink,guid,98a23bfe-f3ff-4012-8fc3-13b98e ...

PS: Ich hatte dieses Problem auch beim Restoren eines W7-Images (mit BESR gemacht). Raus aus der Domäne und wieder rein genommen und seither läuft dieser Client wie zuvor.
Bitte warten ..
Mitglied: kugelschreiber
10.03.2011 um 14:56 Uhr
Hi Goscho.

Das nenne ich doch mal ne Antwort!
Vielen Dank.
Ich werde mal schauen, ob der Client schon ne Weile mit Cached Credentials angemeldet hat.
Anmerkung: Aber dann müsste doch allerdings auch der Hinweis kommen, dass der User Offline arbeitet, oder sind das 2 Paar Schuhe?

Gruß Kuli
Bitte warten ..
Mitglied: Snowman25
10.03.2011 um 16:07 Uhr
Zitat von kugelschreiber:
Anmerkung: Aber dann müsste doch allerdings auch der Hinweis kommen, dass der User Offline arbeitet, oder sind das 2 Paar
Schuhe?

Definitiv 2 Paar Schuhe.

Zum testen kannst du mal deinen Rechner herunterfahren, das Netzwerkkabel ziehen und den Rechner wieder hochfahren.
Log dich ganz normal mit deinem Domänen-Login ein und der Rechner wird keine Anstalten machen, dich nicht reinzulassen (zumindest XP).
Der Rechner vertraut praktisch darauf, dass er noch im Netz hängt und schaut nicht mal wirklich nach. Gibt meines Wissens nach auch keine Meldung, wenn das Home-Laufwerk nicht verbunden werden konnte (was ja schlecht geht, ohne Netzwerkanschluss).

Gruß
Snow
Bitte warten ..
Mitglied: DerWoWusste
13.03.2011 um 21:24 Uhr
Was die TSL damit zu tun haben soll, ist mir schleierhaft, vielleicht kann Goscho nochmal den Gedankengang verdeutlichen - gelöscht wird hier doch gar nicht.

PS: Ich hatte dieses Problem auch beim Restoren eines W7-Images (mit BESR gemacht)
Das ist erklärbar. Das Systemkonto des PCs wechselt in Abstimmung mit dem DC alle 30 Tage das Kennwort automatisch. Ist das Kennwort im Image nicht mehr übereinstimmend mit dem aktuellen, lässt der DC keine Anmeldungen mehr zu - Vertrauensstellung verloren. Sprich: je näher das Alter des Images an 30 Tagen ist, desto wahrscheinlicher tritt das auf - bei mehr als 30 Tagen mit Gewissheit.
Bitte warten ..
Mitglied: goscho
07.04.2011 um 21:57 Uhr
Hi DWW,
ich denke mal, ich habe mich da einfach in der Wortwahl vertan.

Ich meinte natürlich auch den Vertrauenstoken, den eine Arbeitsstation mit einem DC aushandelt und welcher standardmäßig alle 30 Tage aktualisiert wird.

Danke für deine Richtigstellung.
Bitte warten ..
Mitglied: regtest
06.11.2011 um 18:11 Uhr
Gut eine Erklärung für das Verhalten gefunden zu haben mit dem ich mich ebenfalls auseinandersetze. Dazu ein paar Fragen:

1. Kann ich als Enduser die Gültigkeit dieses Vertrauenstokens feststellen um zu sehen wann ein neues ausgehandelt wird? Das würde mir helfen entsprechend mit Images zu planen.

2. Kann ich denn einen neuen Vertrauenstoken anfordern bzw. erzwingen? Vielleicht durch eine Passwortänderung?

3. Und gibt es Möglichkeit dieses Problem gleich gänzlich auszuschließen oder vielleicht auf anderem Wege ihm den neuen Vertrauenstoken mitzuteilen? Mal abgesehen davon, dass Konto zu entfernen und neu einzurichten, denn das ist für mich als Enduser ja nicht so eben möglich und ich möchte unseren Admins damit nicht so auf den Wecker fallen.
Bitte warten ..
Mitglied: DerWoWusste
06.11.2011 um 20:03 Uhr
Hi regtest, ich hab mich mal schlau gemacht und gefunden, was Dir weiterhilft:
*
On the DC or any computer with RSAT you can run dsquery computer -name ComputerName -stalepwd x

ComputerName is the name of the computer you want to check
x is the number of days since the password is last set.

If the password hasn't been set since x number of days, it will return the name and containers of the computer. If the password has been set within the last x days, it will return nothing.
*
Quelle: http://serverfault.com/questions/149558/when-is-a-domain-computer-accou ...
Weiterführender Link: http://blogs.msdn.com/b/sudhakan/archive/2010/01/07/experimenting-with- ...
In letzterem steht auch, wie man die Kennwortzyklen ändert/deaktiviert.

Also:
1) Jein. Nur wenn Du rsat drauf hast und über ein Konto verfügst, dass diese Anfrage machen darf... ich bin nicht sicher, ob das jedes Konto darf
2) Kannst Du... jedoch nicht, nachdem er schon abgelaufen ist ;(
3) Ja, siehe letzteren Link. Dort steht auch, wie man die Kennwortzyklen ändert/deaktiviert.
Bitte warten ..
Mitglied: regtest
07.11.2011 um 00:56 Uhr
Perfekt. Danke. Habe bereits RSAT installiert und kann mit dquery herausfinden wann das letztemal der Token geändert wurde. Weiterhin nutze ich dann den Command: nltest.exe /sc_change_pwd:mycompany.com um die Änderung des Tokens zu erzwingen. Das ist bereits sehr hilfreich in der Image/VM Pflege.

Ob ich es ganz per Computerrichtlinien deaktivieren kann/darf kläre ich noch. Vielen Dank nochmal.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Vertrauensstellung zwischen zwei Domänen verloren nach Neustart Server
gelöst Frage von hannsgmaulwurfWindows Server8 Kommentare

Hallo zusammen, da die Probleme mit verlorener Vertrauensstellung, die man so ergooglet, sich meist mit der Konstellation Server-Client befassen, ...

Windows Server
Vertrauensstellung defekt
Frage von rony-x2Windows Server1 Kommentar

Hallo, richtige Kategorie? Einleitung: ein Kunde von uns betreibt einen Rechner aus Basis von Ubuntu mit VMWare Workstation (7.1). ...

Windows Netzwerk
Vertrauensstellung, Passwortabfrage
gelöst Frage von TeWutzWindows Netzwerk3 Kommentare

Guten Tag, ich habe hier zwei Domänen. Hierzu habe ich eine Vertrauensstellung eingerichtet- eingehend als aus ausgehend, jeweils domänenweit. ...

Windows Server
Gruppenrichtlinien bei Vertrauensstellungen
gelöst Frage von chb1982Windows Server2 Kommentare

Hallo zusammen, ich verstehe eine Sache nicht, die mit Gruppenrichtlinien im Zusammenhang mit Vertrauensstellungen steht. Folgendes Setup: - Domäne ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 6 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 12 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 17 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...