Thema "Computerkontenkennwort" bei Image-Recovery

[apohl 10]

Hallo Ihrs,

 

ich zweifle hier gerade an einem - bisher hypotetischen - Problem.

 

Folgendes Szenario:

 

- W2k/W2k3-Domäne

- Sämtliche Arbeitsstationen (Mitglied der Domäne) werden nach einem Feature-Freeze mit einem beliebigen Imager auf einen zentralen Server gesichert.

 

Wird eine solche Arbeitsstation dann irgendwann zurückgesichert und ist das Image älter als 30 Tage, kann sich die Station ja logischer Weise nicht mehr an der Domäne anmelden, da das Computerkontokennwort ja outdatet ist und der DC den Zugriff verweigert.

 

Ich würde an dieser Stelle ganz gerne den Dreischritt von "System aus der Domäne raus", "Computerkonto im AD zurücksetzen und ggf. wieder aktivieren" und "Domain wieder in die Domäne heben" umgehen, da mir dabei ja ggf. die bestehenden Benutzerprofile auf der Maschine flöten gehen (was je nach Anwendungszweck der Maschine eine Menge Feinarbeit bedeutet).

 

Gibt es eine andere Möglichkeit, den Client und den DC wieder zur Zusammenarbeit zu überreden - die SID ist ja gleich und auf dem DC auch bekannt ?

[nobex 10]

Vielleicht hilft Dir dieser Artikel weiter

Resetting computer accounts in Windows 2000 and Windows XP

[apohl 10]

Hi nobex,

 

ntdom war das erste, was mir eingefallen ist ...

 

Ich hab das hier innerhalb einer VMware-Umgebung mit einem alten Snapshot durchgespielt (war gut drei Monate alt)... allerdings scheint ntdom nicht zu funktionieren, wenn der Zeitraum zu groß war, ich bekomme dann die Fehlermeldung, daß das Zielkonto nicht vorhanden sei (ist aber definitv im AD vorhanden).

[nobex 10]

Hast Du mal probiert über die mmc zurückzusetzen? Solange das Konto noch vorhanden ist dies m.E. der einfachste Weg.

[apohl 10]

Hi,

 

Du meinst auf dem/einem DC ?

Ich dachte immer, daß das nur in Verbindung mit dem von mir beschriebenen Dreischritt funktioniert...(korrigiere mich bitte, wenn ich hier wieder mal nur Halbwissen habe).

 

*Mist, habe mir gerade meine Möglichkeit zerschossen, das durchzuspielen*

[nobex 10]

Im o.g. Link stand aber nichts von Deinem Dreischritt :rolleyes:

[apohl 10]

Öhm ... vieleicht verstehe ich das aber auch falsch:

 

Resetting a computer account breaks that computer's connection to the domain and requires it to rejoin the domain.

 

Das wäre der Schritt 2 meines Dreischritts - damit ich, meinem Verständnis nach, der Domäne wieder beitreten kann, müßte ich nach das System (das ja "denkt", es sei Mitglied der Domäne) erst "rausholen" und dann wieder "reinheben" - oder ?

[jinroh 10]

Hast du mal über:

 

System Properties -> Computer Name -> Network ID probiert ?

 

Hierzu musst Du nicht deinen "Dreischritt" durchführen.

[grizzly999 11]

Das ist korrekt. Wenn das Computerkennwort auf DC und WS nicht mehr kongruent ist, MUSS der Client aus der Domäne entfernt und neu hinzugefügt werden. Das geht nicht anders (außer bei DCs). Zugegebenermaßen steht das aber nicht in dem KB-Artikel. Der netdom reset hat hier nur die selbe Auswirrkung wie das Zurücksetzen des Kontos im dsa.msc ;)

 

grizzly999

[nobex 10]

Ups, hast recht ... da ist der Haken. Ich könnte mir in dem Fall vorstellen, den Rechner Offline aus der Domäne zu nehmen (damit das Konto bestehen bleibt), das AD-Konto zurückzusetzen und dann erneut zu joinen.

Ist bei Dir das Konto entsorgt worden oder was wurde zerschossen?

[nerd 28]

Öhm ... vieleicht verstehe ich das aber auch falsch:

Das wäre der Schritt 2 meines Dreischritts - damit ich, meinem Verständnis nach, der Domäne wieder beitreten kann, müßte ich nach das System (das ja "denkt", es sei Mitglied der Domäne) erst "rausholen" und dann wieder "reinheben" - oder ?

 

jep so sollte es gehen. Bei Exchangen geht das aber nicht (so habe ich mir gestern mein Testlab Exchange kaputt gemacht...)

 

Gruß

[Daim 12]

Servus,

 

Der netdom reset hat hier nur die selbe Auswirrkung wie das Zurücksetzen des Kontos im dsa.msc ;)

 

ergänzend hierzu: Das Computerkonto-Kennwort auf DCs, lässt sich NUR über Netdom zurücksetzen und nicht über das dsa.msc.

Das würde das Snap-In einem aber auch mitteilen ;) .

[apohl 10]

Hiho,

 

jetzt komm ich kaum noch hinterher ... :-)

 

@jinroh:

Doch muss ich .... denn wenn ich an der Stelle nix ändere (das System selbst sieht sich ja als domänenmitglied), dann passiert auch nix.

 

@nobex:

Nein, nicht zerschossen .... es geht um ein Szenario, in dem eine Widerherstellung des Clients aus einem Image erfolgt, daß älter als 30 Tage ist ... siehe mein erster Post.

 

@grizzly999 und Johannes:

 

Danke - ich hatte befürchtet, daß das der "einfachste" Schritt ist .... das heißt aber auch, daß ich den Verlust der Benutzerprofile (also ohne manuelles Eingreiffen in der Systemverwaltung -> Benutzerzuweisung) nicht umgehen kann, oder ?

[grizzly999 11]

@grizzly999 und Johannes:

 

Danke - ich hatte befürchtet, daß das der "einfachste" Schritt ist .... das heißt aber auch, daß ich den Verlust der Benutzerprofile (also ohne manuelles Eingreiffen in der Systemverwaltung -> Benutzerzuweisung) nicht umgehen kann, oder ?

Doch, wieso?! Meinst du die lokal gespeicherten Kopien von servergespeicherten Benutzerprofilen? Oder die lokalen Profile von lokalen Benutzern?

Im ersten Fall passiert da nichts, auch nicht nach einem Rejoin in die Domäne, denn der Domänenbenutzer hat ja immer noch dieselbe SID wie vorher. Also kein Probem.

 

 

grizzly999

[apohl 10]

Guten Morgen,

 

Meinst du die lokal gespeicherten Kopien von servergespeicherten Benutzerprofilen? Oder die lokalen Profile von lokalen Benutzern?

 

Nein. ich meine die lokalen Profile der Domänennutzer (servergespeicherte Profile werden bei uns nicht verwendet) - ich hatte bisher nach einem ReJoin immer das Problem, daß für die Benutzer neue Profile angelegt wurden (unter Dokumente und Einstellungen tauchten dann auf einmal Benutzerverzeichnisse erweitert um ein ".Domänenname" auf).