notimportant

Die Frage ist eher akademisch. Die Lage ist einfach so, dass bestimmte Teams das Computerkonto weiterverwenden und andere eben den "sicheren" Weg gehen. Gedanken machen müssen wir uns primär deswegen, weil im derzeitigen Prozess das DNS Probleme macht. Die Clients sind Owner der Records und das DNS ist auf den DomainAdmin-Kreis delegiert. Wird ein Computerkonto weitergenutzt, kann der Record aufgrund derselben SID vom neu installierten Client genutzt werden. Lösche ich das Computerkonto, kann sich der Client nicht im DNS registrieren, da seine "alte" SID der Owner des DNS-Records bleibt. Konzeptuell werden die A-Records nicht vom DHCP gesetzt und das Scavenging benötigt einige Tage um aufzuräumen...

Danke. Keine Ahnung woher ich jetzt den Gedanken hatte, dass die SID neu gesetzt wird. Per Hand wird das bei uns normalerweise auch nicht gemacht. Ich habe allerdings ein wenig getestet, da der Defaultwert für den Standarduser für Domain-Joins aus historischen Gründen aktiv gelassen wurde. Hier werde ich tatsächlich gewarnt, dass das Computerobjekt von einem anderen Account erstellt wurde und ich darf es nicht übernehmen. Das Zurücksetzen des Computerpassworts bringt gar nichts. Warum auch... Das ist mir noch nicht klar, warum das immer empfohlen wird... Um Problemen vorzubeugen? Normalerweise wird ja versucht das Passwort zwischen AD und Rechner zu synchronisieren. Wenn der Rechner nicht online ist, wird lediglich das Passwort auf dem Computerobjekt neu gesetzt und mehr doch nicht?

Hallo zusammen, da hierzu bei uns immer wieder Unstimmigkeiten auftreten und im Netz viel Falsches niedergeschrieben wird, wollte ich das Thema hier einmal diskutieren. Folgendes Szenario, wie es bei uns oft vorkommt: Ein Client in der Domäne wird neu installiert, da das Blech aus der Garantie fällt. Ziel: Gleicher Hostname. Methode: eigenes Deployment inkl. autom. Domain-Join. (Zusatzinfo: Die AD-Clients bekommen IPs über DHCP, reservieren ihre DNS-Records eigenständig im DNS über sichere DDNS-Updates. Der DHCP ist über einen srv-Account auf das DNS berechtigt, nutzt das aber primär für nicht-AD-Geräte wie MFGs) Wir haben jetzt zwei Vorgehensweisen, die stark differieren, aber beide funktionieren. Die einen Kollegen machen vor einer Neuinstallation im Prinzip _nichts_ und haben keinerlei Probleme. Andere wiederum gehen auf Nummer sicher, benennen die Clients um, warten auf AD und DNS-Replikation und installieren dann den Client mit "altem" Namen neu. Zweitere Vorgehensweise funktioniert natürlich. Die erstere bereitet mir ein wenig Kopfzerbrechen, sodass ich sie noch einmal genau nachvollzogen habe. (1) Client "PC-Eins" erstmalig installieren. Kein namensgleiches Konto im AD vorhanden. Adresse per DHCP 10.0.1.1. Der DNS Record hat als Owner "PC-Eins$", die SID lautet: S-1-2-3-4 (2) Client herunterfahren (3) Nicht(!!) das Computerkonto zurücksetzen! (4) Neuen Client mit gleichen Namen "PC-Eins" installieren. Beobachtungen: Ich habe Computer-FullControl-Rechte auf die OU des Clients. Ich werde nicht gefragt, ob ich das Konto übernehmen will bzw. darauf hingewiesen, dass der Name im AD bereits existiert. Der Client wird einfach deployt und übernimmt das Konto. Die Domain-SID bleibt gleich! S-1-2-3-4 Die IP-Adresse ist 10.0.1.2 - der DNS Record wird aktualisiert, da der "neue" Client (da gleiche SID 1-2-3-4 in der ACL des DNS-RR) ja das Recht dazu hat. Wie zu erwarten verliert der "alte" Rechner die Vertrauensstellung zur Domäne. Der "neue" kann mit Domain-Konten genutzt werden. Alles paletti. Fragen: Ich dachte eher, dass bei o.g. Vorgehensweise das Computerobjekt eine neue SID bekommt. Das scheint nicht zu stimmen. Ist das das Standardverhalten? Existiert ein Szenario in dem die Domain-SID neu gesetzt wird? Warum wird immer empfohlen das Computerkonto zurückzusetzen? Soweit ich das verstehe wird dadurch "nur" der SecureChannel repariert und das Computerpasswort AD<->Client versucht zu synchronisieren. Wenn ich über "Konto zurücksetzen" das Computerpasswort resette muss ich die betroffene Maschine _nicht_ neu in die Domäne aufnehmen - wir fixen so ab und an den Verlust der Vertrauensstellung. Welchen Unterschied würde das bei o.g. Szenario bewirken? Durch die Übernahme des Computerkontos wird das Computerpasswort ja sowieso neu gesetzt. Passiert noch mehr? Gibt es einen sinnvollen Grund die oft propagierte "saubere" Methode "Client aus der Domäne nehmen + Computerkonto löschen -> mit "altem" Namen neu installieren" zu nutzen? In meinen Augen nicht. Vielmehr verliert man ja alle Gruppenmitgliedschaften und muss diese ggf. nachhziehen + Warten auf das Ziehen der GPOs nach Wiedeaufnahme usw... Wann werde ich darauf hingewiesen, dass bereits ein Computerkonto in der Domäne existiert? Nur wenn der zu übernehmende Client gerade läuft? Vielleicht kann man hier ein wenig Licht ins Dunkel bringen. Grüße