Login nicht mehr möglich 2003-Server

[MOV_EAX,0 0]

Hallo,

ein Unternehmen hat Jahrelang einen Server mit Windows 2003R2 betrieben.

Um den erhöhten Anforderungen an Datensicherheit und dem auslaufenden Support zu begegnen wurde der Server durch eine 2012R2 ersetzt.  Der alte Rechner (also HW und SW) wurde archiviert, da er ggf. für steuerliche Zwecke noch vorgehalten werden muss.

Der Server ist seit seiner Stilllegung nicht mehr mit irgendeinem Netzwerk verbunden, weder ‚seinem‘ alten und natürlich auch nicht mit dem Internet.

Ich habe nun kürzlich (aus anderem Grunde) versucht, den alten Server wieder in Betrieb zu nehmen (also nur den Server ohne Netzwerk). Der bootet auch brav ohne Auffälligkeiten, aber es gelingt nicht, sich dort einzuloggen (KBD und Maus direkt am Server angeschlossen).

Weder in der alten Domäne, auch nicht mit dem Administrator Passwort, noch lokal auf dem Rechner. Es erscheint *jedes* Mal die gleichlautende Meldung, username/passwort würden nicht passen.

Ich habe keine Idee mehr, woran das liegen könnte.

Habt Ihr?

Schönen Gruß

Georg

 

 

[djmaker 95]

Starte den Server mal im abgesicherten Modus.

[Dukel 436]

Wieso archiviert man nicht die Daten und wirft den Server dann weg?

[MOV_EAX,0 0]

Zitat

Wieso archiviert man nicht die Daten und wirft den Server dann weg?

Die Anlage muss aus steuerrechtlichen Gründen noch 10 Jahre aufbewahrt werden. Dazu muss die Anlage (der Server) laufen.

[Dukel 436]

Das ist dann ein Thema für den Steuerberater oder Anwalt, aber ich glaube nicht, dass der Server unbedingt aufbewahrt werden muss (was ist wenn ein Teil kaputt geht und es keinen Ersatz gibt?) sondern nur die Daten in einem Lesbaren und unveränderlichen Zustand.

[MOV_EAX,0 0]

Zitat

Das ist dann ein Thema für den Steuerberater oder Anwalt, aber ich glaube nicht, dass der Server unbedingt aufbewahrt werden muss (was ist wenn ein Teil kaputt geht und es keinen Ersatz gibt?) sondern nur die Daten in einem Lesbaren und unveränderlichen Zustand.

Nach meiner Kenntnis gibt es für die "digitale Buchführung" eine besondere Rechtsnorm des BMF Hier der Erlass.

Danach müssen die Daten in einer Form vorgehalten werden, die es einem sachkundigen Dritten erlauben, die gesamten Geschäftsvorfälle nachzuvollziehen.

ich stelle mir gerade das lange Gesicht des Beamten vor, wenn ich ihm die Festplatte in die Hände drücke und sage: "hier hast Du, mann kann auf die Daten zwar nicht zugreifen, weil keines der Passworte funktioniert, aber vielleicht können Deine Cryptoexperten ja was damit anfangen."

 

... das gibt garantiert Ärger.

 

Im übrigen löst es auch mein Problem nicht, ich kann auf bestimmte Daten, die da irgendwo ausf der Platte sind, nicht zugreifen ... und auch meine Neugier ist nicht befriedigt, denn ich würde gerne wissen, das da mit dem Server passiert ist, warum der plötzlich "zu" macht.

 

Gruß

Georg

 

[NorbertFe 1.800]

vor 1 Stunde schrieb MOV_EAX,0:

Die Anlage muss aus steuerrechtlichen Gründen noch 10 Jahre aufbewahrt werden. Dazu muss die Anlage (der Server) laufen

Dann hat das Vorgehen ja hervorragend funktioniert. ;) im Zweifel halt das lokale Adminkennwort zurücksetzen. 

[MOV_EAX,0 0]

vor einer Stunde schrieb NorbertFe:

Dann hat das Vorgehen ja hervorragend funktioniert

in der Tat.
Wenn ich nicht zufällig versucht hätte, andere Daten zu lesen, wäre das gar nicht aufgefallen.

Erst wenn dann der FA-Prüfer auf der Matte steht ...

 

Hat denn noch niemand so ein Problem gehabt? Ist schon irgendwie komisch.

[NorbertFe 1.800]

Naja nachdem du ja sinnvollerweise meinen Vorschlag weggelassen hast, kannst du dich ja noch ein bisschen weiterwundern und eine andere Lösung suchen. ;)

[MOV_EAX,0 0]

vor 22 Stunden schrieb NorbertFe:

nachdem du ja sinnvollerweise meinen Vorschlag weggelassen hast

Hallo NorbertFe,

ich hatte vermutet, dass dieses Forum dem Gedanken- und Meinungsaustausch dient und dass Menschen, die oft und schon lange mit Themen rund um Server zu tun haben, hier Anderen mit weniger Erfahrung Tipps aus ihrer täglichen Praxis geben.

Dein Vorschlag des Zurücksetzens scheiterte bisher daran, dass ich aktuell keinen physischen Zugang zu dem Gerät habe. Ich werde das als utima ratio nachholen, wenn wirklich keine andere Möglichkeit besteht.

 

Unabhängig davon möchte ich verstehen, warum ein Server 'einfach so' alle seine Accounts disabled. Vielleicht gibt es ja eine tiefere Ursache, die auch behoben werden sollte, könnte ja sein, dass da etwas ganz anderes "kaputt" ist ... und vielleicht ist ja jemand hier, der das schon Mal erlebt hat.

 

Sollte ich selbst auf die vermutete tiefere Ursache stoßen, werde ich berichten.

 

Fände es gut, wenn wir das sachlich weiter diskutieren können.

[MurdocX 904]

Das Eine ist das die Accounts "deaktiviert" sind und das Andere das deine Hardware sich nach einiger Zeit vielleicht nicht mehr einschalten lässt. Selbst beim lösen des ersten Problems, ist das Zweite nicht gelöst. Ohne die Daten bringt Dir die Aufbewahrung auch nichts  

 

In diesem Fall bewerte ich das "finden" des Problems, wie andere Kollegen auch, eher nachrangig, da es dem Zweck der sicheren Aufbewahrung nicht dient und äußert langwierig sein kann. 

 

Um Dir zu helfen an deine Daten zu kommen, hat Dir Norbert den richtigen Tipp gegeben.

 

MMn. sollte dein Ziel nun sein eine geeignete Aufbewahrung für deine Daten zu finden, da du beraten wurdest, dass eine Aktuelle eben keine ist. Als Beispiel lässt sich "WORM" anführen. 

https://de.wikipedia.org/wiki/WORM

[MOV_EAX,0 0]

Hallo,

ich habe heute wie vorgeschlagen zunächst das lokale Admin-Account wiederbelebt, welche a) disabled und b) scheinbar mit einem veränderten Passwort ausgestattet war.

Danach konnte ich mich lokal einloggen und zumindest die Daten sichern.

 

Bei der weiteren Analyse stellt es sich für mich so dar, als ob der Server "zurückgestuft" wurde, so jedenfalls fanden sich Einträge im Eventlog (kann sein dass der Fachbegriff anders lautet).

D.h. ich nehme an, dass mein Vorgänger, den Server "aus der Domäne" genommen hat und dadurch alle Domänen Accounts disabled/gelöscht wurden. Die lokalen Accounts waren auch disabled.

 

Ich weiß nicht, ob sich dieser "Rückstufungsvorgang" revidieren lässt.
Die ehemaligen Programme setzten das Vorhandensein der Domäne voraus, folglich laufen sie nicht mehr.

 

... falls jemand noch einen Tipp hat.

 

Schönen Rest-Sonntag

Georg

 

[NilsK 2.785]

Moin,

 

aus meiner Sicht ist jetzt  der Zeitpunkt gekommen, an dem du zwei Sorten von Fachleuten hinzuziehen solltest:

 

1. jemanden, der mit dir bzw. der Geschäftsleitung genau herausarbeitet, was denn da genau archiviert werden muss
2. jemanden, der dir die technischen Hintergründe einer AD-Domäne erläutert und dich dann ggf. dabei unterstützt, den Server wieder in den richtigen Zustand zu bringen

Einstweilen ein paar Hinweise:

• Nur weil du dich an dem Server nicht anmelden kannst, heißt das noch lange nicht, dass man an die Daten nicht herankommt. Auf einem 2003-Server ist mit allergrößter Sicherheit keine Verschlüsselung eingerichtet. Die Festplatte lässt sich also mit ebenso großer Sicherheit auf einem anderen Rechner (bzw. durch Booten von CD oder so) lesen.
• Deiner Beschreibung nach war der Server evtl. früher ein Domänencontroller. Je nachdem, wie er dann heruntergestuft wurde, ist er nun evtl. nicht mehr Mitglied der Domäne, also kann man sich mit Domänenkonten auch nicht  anmelden. Da ein DC überhaupt keine lokalen Anmeldekonten hat, gibt es nun vermutlich nur das lokale Administrator-Konto, dessen Kennwort sich wahrscheinlich von dem des Domänen-Admins unterscheidet.
• Wenn die Software, um die es geht, Domänenkonten braucht, wird sie nun also auch ohne Weiteres nicht starten. Wahrscheinlich lässt sich das aber umkonfigurieren.

Gruß, Nils

 

[MOV_EAX,0 0]

@Nils et al

Danke.

vor 12 Stunden schrieb NilsK:

Nur weil du dich an dem Server nicht anmelden kannst, heißt das noch lange nicht, dass man an die Daten nicht herankommt. Auf einem 2003-Server ist mit allergrößter Sicherheit keine Verschlüsselung eingerichtet. Die Festplatte lässt sich also mit ebenso großer Sicherheit auf einem anderen Rechner (bzw. durch Booten von CD oder so) lesen.

Das ist korrekt. Die DATEN selbst kann ich allesamt lesen, so konnte ich mit DISK2VHD entsprechende virutelle Images erstellen als auch mit dem Acronis die ganze Platte imagen. Die VHDs lassen sich auch mounten.

vor 12 Stunden schrieb NilsK:

Deiner Beschreibung nach war der Server evtl. früher ein Domänencontroller. Je nachdem, wie er dann heruntergestuft wurde, ist er nun evtl. nicht mehr Mitglied der Domäne, also kann man sich mit Domänenkonten auch nicht  anmelden. Da ein DC überhaupt keine lokalen Anmeldekonten hat, gibt es nun vermutlich nur das lokale Administrator-Konto, dessen Kennwort sich wahrscheinlich von dem des Domänen-Admins unterscheidet.

Ebenfalls korrekt. Der Server war mal der (einzige) Domänencontroller. Ich hatte vermutet, dass er bei der Austauschaktion "einfach heruntergefahren" worden sei, aber dem ist nicht so, daher die ganze Verwirrung. Warum er aus der Domäne genommen wurde, weiß ich nicht, wäre nach meiner Einschätzung nicht notwendig gewesen.

vor 12 Stunden schrieb NilsK:

Wenn die Software, um die es geht, Domänenkonten braucht, wird sie nun also auch ohne Weiteres nicht starten. Wahrscheinlich lässt sich das aber umkonfigurieren

Da ich nun VHDs habe und davon leicht Kopien erstellen kann, habe ich ja jetzt eine Spielwiese auf der ich gefahrlos diverses probieren kann, z.B. einfach wieder eine Domäne gleichen Namens erstellen.

 

Gruß

Georg

 

[testperson 1.529]

vor 13 Minuten schrieb MOV_EAX,0:

Warum er aus der Domäne genommen wurde, weiß ich nicht, wäre nach meiner Einschätzung nicht notwendig gewesen.

Weil es vermutlich die einzige saubere Methode ist einen (alten) DC abzulösen, solange man nicht nach dem "Alles-neu-und-keine-Altlasten-Prinzip" arbeitet. In diesem Fall war auch das Demoten / Herunterstufen notwendig.