Jump to content

Secure Channel unjoin/join


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Eine simple Frage.

Es wird behauptet dass wenn ein Problem mit dem Secure Channel besteht, ist einer der fixes Domain unjoin->join. Jedoch hier, sollte man ein "Reset Computer" im AD nicht machen, sollte der Computer in AD Trust-Relationship mit der Domäne verlieren. D.h. sollte der Computer zB. ein Mitglied einer Gruppe sein, dürfte die Mitgliedschaft nicht mehr vorhanden sein, weil der Rechner ja neue SID bekommt.

 

Beim Test kann ich das nicht nachmachen.

Gerade so gemacht:

Server:

Kein Rechner in "Computers".

Client: add-computer -domain lab.local -credential administrator -restart

Server: Computer ersichtlich, Sicherheitsgruppe in Computers erstellt, Client als Mitglied hinzugefügt.

Client: add-computer -workgroup wg -credential administrator -restart

Server: Client Rechner erscheint mit einem Pfeil hinunter markiert.

und dann wieder:

Client: add-computer -domain lab.local -credential administrator -restart

 

Ergebnis:

Die Mitgliedschaft ist noch da, Trust-Relationship scheint unberührt zu sein.

 

Mache ich da was falsch?

 

Besten Dank!

Link to comment

Ich weiss nicht genau was du unter "Problem mit Secure Channel" meinst.

Wenn man beispielsweise einen Attacker mit Admin-Rechten im Active Directory vermutet, kann es als eine Response Maßnahme von vielen sinnvoll sein, auch alle Computerpasswörter zeitnah zu resetten.

https://technet.microsoft.com/en-us/library/hh849751.aspx , aber nicht per GUI

 

Standardmßig wird das Computerpasswort alle 30 Tage automatisch neu gesetzt. Diesen Wert sollte man daher zumindest nicht noch weiter erhöhen.

 

Oder meinst du den Secure Channel für Netlogon? Dann

https://technet.microsoft.com/en-us/library/cc731935(v=ws.11).aspx

-> nltest /sc_reset

Damit kann man Clients dazu bewegen, sich ohne Reboot einen neuen DC auszusuchen.

 

Wenn ein Rechner so verhaut ist, dass angeblich nur noch ein unjoin hilft, dann würde ich ihn nicht ohne Neuinstalltion wieder in die Domäne joinen.

Link to comment

Nils, danke, hat mich auch gewundert.

Dann habe ich es wohl im Video falsch verstanden.

 

Mir war bereits klar, dass wenn man das Objekt entfernt und dann Domain Join wieder macht (oder Objekt manuell erstellt), die SID anders ist, und dann die Memberships weg sind, jedoch wurde das so gesagt, als ob die Computer-Objekte gelöscht werden... deswegen die Verwirrung.

 

blub, danke dir auch.

Ich meinte ja Secure Channel für netlogon, zB. sollte man über 30 Tage sein oder OS neu installiert haben (andere Rechner SID...). Dann bekommt man ja die Meldung... habe ich schon mal gesehen, nur hatte damals absolut keine Ahnung worum's geht :)

Ja, nltest kenn ich jetzt auch mittlerweile :)

Edited by kosta88
Link to comment

Beispiel bezieht sich auf Logon, und hier kommt die Fehlermeldung "The trust relationship between this workstation and the primary domain failed". Er hat nun Vergleich mit dem Benutzer bezogen, wo sich das Attribut objectSID genauso ändert, wenn User gelöscht und dann wieder erstellt wird. Und deswegen die Verwirrung.

Edited by kosta88
Link to comment

Mit dem Userpasswort kannst du ein TGT - Ticket des Userobjects erstellen. Mit dem Computerpasswort wird das Sessionticket für den Computer erstellt. Mit dem Computerpasswort ist es moeglich, ein modifiziertes Sessionticket zu erstellen und sich als Administrator des Computers anzumelden (ohne Kenntnis eines Admin-PWs natuerlich)

Die SID ist quasi der interne, eigentliche Name der Objekte.

 

Das Passwort eines Objects zu resetten, kann manchmal notwendig sein. Ein Object zu löschen, um es gleich wieder identisch neu anzulegen, wuesste ich jetzt keine Notwendigkeit.

 

Es hoert sich so an, als ob dein Videotrainer nicht so ganz die Bedeutung von SID und Computerpasswort verstanden hat.

 

Blub

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...