OU mit Computerkonten gelöscht

Spaceboy · 29. Juli 2010

Hallo, leider hat jemand aus Versehen eine ganze OU gelöscht, in der Computerkonten waren. Wir konnten die Objekte zwar aus einer AD Sicherung wieder zurückholen, allerdings konnte man sich nicht mehr am Client anmelden (Fehlermeldung: Computerkonto nicht gefunden etc...).

Nachdem ich mich lokal angemeldet hatte, konnte ich folgende Fehlermeldung feststellen: error 1789. ERROR_TRUSTED_RELATIONSHIP_FAILURE The trust relationship between this workstation and the primary domain failed.

Meine Vermutung ist, dass das Kennwort für das Computerkonto im AD nicht wiederhergestellt wurde und deshalb keine gesicherte Kommunikation zwischen Client PC und Server hergestellt werden konnte.

Sofern das so sein sollte, stellt sich natürlich die Frage wie ich den Client PC wieder korrekt ins AD einfügen kann oder den Umweg ihn erst zu einer Arbeitsgruppe hinzufügen zu müssen und danach wieder der Domäne beizutreten.

Hat jemand Erfahrung damit? :confused:

Vielen Dank im Voraus!

Grüsse

Spaceboy

r2k · 29. Juli 2010

Hi

Sofern das so sein sollte, stellt sich natürlich die Frage wie ich den Client PC wieder korrekt ins AD einfügen kann oder den Umweg ihn erst zu einer Arbeitsgruppe hinzufügen zu müssen und danach wieder der Domäne beizutreten.

ich hatte das selbe Phänomen auch schon. Genau so würde ich dies machen. Ggf per Script wenn es viele sind. Wie viele PCs betrifft es?

Daim · 29. Juli 2010

Servus,

erkläre doch mal genauer, wie du beim Restore vorgegangen bist. Was für eine Sicherung hast du mit welcher Sicherungssoftware auf welche Art wiederhergestellt. Wie alt ist das Backup das du verwendet hast?

Spaceboy · 30. Juli 2010

Es waren >100 PC's und somit sehr viel Arbeit. Die Sicherung wurde mit diesem Tool gemacht und die Objekte auch über diesen Weg wiederhergestellt. Mit dem Hersteller sind wir bereits in Kontakt ob er noch irgendwelche Lösungen hierfür hat, da andere Wiederherstellungen (z.B. User) problemlos verlaufen sind. Grundsätzlich setzt das Tool jedoch auf dem Tombstone auf, von daher ist diese Wiederherstellung wohl vergleichbar. Allerdings hat das Tool einige Vorteile, z.B. beim Restore von Usern sind alle Attribute wieder da (Gruppenmitgliedschaften, etc...).

Natürlich haben wir auch ein Backup vom SystemState, das wir über einen DC wieder hätten einspielen können, aber ehrlich gesagt ist ein Online Restore per Knopfdruck mir lieber als die gesamte Domäne wieder zurückzuholen. Falls dort weitere Probleme auftreten sind evtl. alle Niederlassungen betroffen, da es sich um eine globale Domäne handelt.

Mich interessiert natürlich, dass wenn meine Vermutung stimmt, ob es keine Möglichkeit gibt das Kennwort auf dem Client PC und des DC wieder zu vereinheitlichen. Ich meine wenn es Tools von MS gibt, mit dem ich feststellen kann, dass die Kennwörter unterschiedlich sind (=keine gesicherte Verbindung möglich), dann sollte man doch auch die Möglichkeit haben, beide Seiten wieder auf den gleichen Stand zu bringen, oder?

Daim · 30. Juli 2010

Grundsätzlich setzt das Tool jedoch auf dem Tombstone auf, von daher ist diese Wiederherstellung wohl vergleichbar.

Genau. Ihr habt online die gelöschten Objekte und somit lediglich die Tombstones wiederhergestellt. Im Tombstone befindet sich jedoch nicht das Computerkontokennwort!

Allerdings hat das Tool einige Vorteile, z.B. beim Restore von Usern sind alle Attribute wieder da (Gruppenmitgliedschaften, etc...).

Das ist zwar schön, das das Tools diverse Vorteile hat, hilft dir aber in diesem Szenario nicht weiter.

Natürlich haben wir auch ein Backup vom SystemState, das wir über einen DC wieder hätten einspielen können, aber ehrlich gesagt ist ein Online Restore per Knopfdruck mir lieber als die gesamte Domäne wieder zurückzuholen.

Du stellst doch nicht die ganze Domäne wieder her, sondern lediglich autoritativ deine gelöschten Computerobjekte. Dadurch hättest du jetzt nicht diese Probleme, wenn es sich um ein aktuelles Backup handeln würde.

Falls dort weitere Probleme auftreten sind evtl. alle Niederlassungen betroffen, da es sich um eine globale Domäne handelt.

Jahaa... das Restore muss geübt sein. Aber dann hätte man sich auch kurzfristig externe Hilfe holen können.

Mich interessiert natürlich, dass wenn meine Vermutung stimmt, ob es keine Möglichkeit gibt das Kennwort auf dem Client PC und des DC wieder zu vereinheitlichen.

Ja, deine Vermutung stimmt. Es liegt am Tombstone. Standardmäßig wird das Computerkontokennwort ab Windows 2000 alle 30 Tage geändert (unter NT sind es 7 Tage). Das kann man zwar abstellen, das das Computerkontokennwort nie geändert wird, das ist jedoch auch Sicherheitsaspekten nicht zu empfehlen! Und dem Computerkontokennwort einfach ein bestimmtes Kennwort vergeben wie bei einem Benutzer, ist nicht möglich.

Jetzt ist deine einzige Möglichkeit eine autoritative Wiederherstellung durchzuführen. Ansonsten fügst du jedes wiederhergestellte Tombstone (Computerobjekt) erneut zur Domäne hinzu.

Ich meine wenn es Tools von MS gibt, mit dem ich feststellen kann, dass die Kennwörter unterschiedlich sind (=keine gesicherte Verbindung möglich), dann sollte man doch auch die Möglichkeit haben, beide Seiten wieder auf den gleichen Stand zu bringen, oder?

Du irrst.

Machine Account Password Process - Ask the Directory Services Team - Site Home - TechNet Blogs

Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! - Aktives Verzeichnis Blog - Site Home - TechNet Blogs