Dirk-HH-83 14 Geschrieben 1. Juli 2019 Melden Geschrieben 1. Juli 2019 Hallo, sorry falls es eine Top10 FAQ ist. Die Aussendienstler Notebooks sind in der lokalen Domäne aber ganz selten im lokalen Netzwerk des Domänencontrollers. Kann man verhindert das die Notebooks Ihre Domänenmitgliedschaft verlieren, bzw. das Windows Loginfehler "Sicherheitsdatenbank Domäne..." Fehlermeldung kommt? Die Notebooks haben Watchguard SSL Client und sind alle paar Wochen mit dem Hauptquartier verbunden. (reicht das schon?) Danke für Einschätzung!
MurdocX 1.004 Geschrieben 1. Juli 2019 Melden Geschrieben 1. Juli 2019 vor 17 Minuten schrieb Dirk-HH-83: ann man verhindert das die Notebooks Ihre Domänenmitgliedschaft verlieren, bzw. das Windows Loginfehler "Sicherheitsdatenbank Domäne..." Fehlermeldung kommt? Ja vor 17 Minuten schrieb Dirk-HH-83: Die Notebooks haben Watchguard SSL Client und sind alle paar Wochen mit dem Hauptquartier verbunden. (reicht das schon?) Ja Das Computer-Passwort wird jeden Monat gewechselt. Die Historie sind 3 Passwörter. Das ist änderbar.
Dirk-HH-83 14 Geschrieben 2. Juli 2019 Autor Melden Geschrieben 2. Juli 2019 vor 20 Stunden schrieb MurdocX: Ja Ja Das Computer-Passwort wird jeden Monat gewechselt. Die Historie sind 3 Passwörter. Das ist änderbar. Danke, wonach müsste ich da googlen?
MurdocX 1.004 Geschrieben 2. Juli 2019 Melden Geschrieben 2. Juli 2019 Wenn die Notebook innerhalb der 3 Monate sich via VPN verbinden, dann solltest du nur sicherstellen, dass diese sich auch mit den Domain Controllern in Verbindung setzten können. Dann kannst du auch die Sicherheitseinstellungen auf "Default" lassen. vor 7 Minuten schrieb Dirk-HH-83: Danke, wonach müsste ich da googlen? Zitat Domänenmitglied: Maximalalter von Computerkontenkennwörtern Diese Sicherheitseinstellung bestimmt, wie oft ein Domänenmitglied das Kennwort für sein Computerkonto ändern muss. Standardeinstellung: 30 Tage Wichtig Diese Einstellung gilt für Computer unter Windows 2000, sie ist jedoch nicht über die Sicherheitskonfigurations-Manager-Tools auf diesen Computern verfügbar. Ich möchte es nochmal erwähnen. Eine Verlängerung/Veränderung ist hier nicht nötig, da sich die Notebooks regelmäßig via VPN verbinden.
NilsK 3.046 Geschrieben 2. Juli 2019 Melden Geschrieben 2. Juli 2019 Moin, abgesehen davon, ändert sich das Computerkennwort nur, wenn dies gemeinsam von dem Client und dem DC gemacht wird. Der DC ändert das nicht "in Abwesenheit", das wäre auch nutzlos. Wenn das regelmäßig auftritt, vermute ich, dass was anderes im Busch ist. Wie lautet die Fehlermeldung denn genau? In welcher Situation tritt sie auf, was passiert vor- und nachher? Was sagt das Eventlog? Gruß, Nils
NorbertFe 2.283 Geschrieben 2. Juli 2019 Melden Geschrieben 2. Juli 2019 vor 6 Minuten schrieb NilsK: wenn dies gemeinsam von dem Client und dem DC gemacht wird Naja, der Client ändert es auch ohne den DC, wenn ich den Artikel richtig verstehe: https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/
NilsK 3.046 Geschrieben 2. Juli 2019 Melden Geschrieben 2. Juli 2019 Moin, ja, du hast Recht, der Prozess ist sozusagen umgekehrt. Der Client ändert das Kennwort. Der Punkt, den ich meine: Das Ändern des Computerkennworts geschieht nicht durch das AD ohne Kontakt zum Client. Viele vermuten das. Daher kann ein Client nicht durch ein "automatisch geändertes Kennwort" aus der Domäne fallen, wenn er zu lange keinen Kontakt zum AD hat. Gruß, Nils
NorbertFe 2.283 Geschrieben 2. Juli 2019 Melden Geschrieben 2. Juli 2019 vor 42 Minuten schrieb NilsK: Daher kann ein Client nicht durch ein "automatisch geändertes Kennwort" aus der Domäne fallen, wenn er zu lange keinen Kontakt zum AD hat. Doch kann er, nur ist er selbst dran Schuld und nicht das AD. ;) vor 43 Minuten schrieb NilsK: Das Ändern des Computerkennworts geschieht nicht durch das AD ohne Kontakt zum Client. Da hast du Recht. Wird oft falsch herum verstanden.
daabm 1.431 Geschrieben 2. Juli 2019 Melden Geschrieben 2. Juli 2019 vor 12 Stunden schrieb NorbertFe: Naja, der Client ändert es auch ohne den DC, wenn ich den Artikel richtig verstehe: https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/ Ich möchte diesen Absatz betonen: Before we set the new password locally, we ensure we have a valid secure channel to the DC. If the client was never able to connect to the DC (where never is anything prior the time of the attempt – time to refresh the secure channel), then we will not change the password locally. Von alleine wird ein Client, der "offline" ist, also niemals seinen Secure Channel verlieren, weil er sein Kennwort schlicht NICHT ändert, wenn er keinen DC erreichen kann. Das wird oft falsch verstanden 1
NorbertFe 2.283 Geschrieben 2. Juli 2019 Melden Geschrieben 2. Juli 2019 Ok, dann hab ich’s jetzt ja richtig verstanden. :)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden