hwimmer 10 Geschrieben 15. Oktober 2007 Melden Geschrieben 15. Oktober 2007 Hallo, ich will gerade einen zusätzlichen Domänencontroller mit dcpromo erstellen. Im Assistenten muß ich ja noch ein Kennwort angeben für "Verzeichnisdienste wiederherstellen". Nach Eingabe des Kennwortes erhalte ich folgende Meldung: Das Kennwort enspricht nicht einer Anforderung der Kennwortrichtfilter auf diesem Computer. Das von mir eingegebene Kennwort entspricht aber der geforderten Komplexität. In unserer DefaultDomainPolicy sind die Kennwortrichtlinien sowieso schon runtergeschraubt. Wo kann ich da noch nachschauen, welche Komplexität ich verwenden muß? Danke für Eure Hilfe. Gruß Hans Zitieren
Christoph35 10 Geschrieben 15. Oktober 2007 Melden Geschrieben 15. Oktober 2007 Du kannst die Komplexität auch in den lokalen PW-Richtlinien abschalten. Empfehlen würde ich das allerdings nicht. Das PW für die Verzeichnisdienst-Wiederherstellung ist für den lokalen Admin auf dem DC, der sich auch nur beim Start eines DCs in diesem Modus anmelden kann. Christoph Zitieren
Daim 12 Geschrieben 15. Oktober 2007 Melden Geschrieben 15. Oktober 2007 Servus, In unserer DefaultDomainPolicy sind die Kennwortrichtlinien sowieso schon runtergeschraubt. was Sicherheitstechnisch ohnehin ein Fehler ist. Wo kann ich da noch nachschauen, welche Komplexität ich verwenden muß? Verwende dieses Kennwort, dann geht es mit Sicherheit: Pa$$w0rd# Ich würde dir nicht empfehlen, die Komplexität herunter zuschrauben. Denn zu Windows Server 2008 Zeiten, kann man sich (bei gesetzten Reg.-Key) damit jederzeit anmelden. Zitieren
hwimmer 10 Geschrieben 15. Oktober 2007 Autor Melden Geschrieben 15. Oktober 2007 Hallo, hab testweise mal dein Passwort Pa$$w0rd# probiert. Bekomme aber leider die gleiche Meldung wie oben schon beschrieben. Aber recht viel komplexer gehts doch nicht, oder ? Gruß Hans Zitieren
Daim 12 Geschrieben 15. Oktober 2007 Melden Geschrieben 15. Oktober 2007 Bekomme aber leider die gleiche Meldung wie oben schon beschrieben. Dann solltest du z.B. noch zwei weitere Zahlen ans Ende stellen. Da du das Kennwort lediglich für den speziellen Modus benötigst, ist es nicht soo gravierend wenn dort ein schwieriges Kennwort vergeben wird. Achte lediglich darauf, dass du es auch dokumentierst ;) . Zitieren
blub 115 Geschrieben 15. Oktober 2007 Melden Geschrieben 15. Oktober 2007 mach auf einem anderen DC ein Resultant Set of Policies mit der GPMC für diesen anderen DC. Dann siehst du in den Securityeinstellungen die Kennwortrichtlinien cu blub Zitieren
hwimmer 10 Geschrieben 16. Oktober 2007 Autor Melden Geschrieben 16. Oktober 2007 hab jetzt mal für den betroffenen Server ein Resultant Set of Policies mit der GPMC gemacht. Der Punkt "Kennwort muss Komplexitätsvoraussetzungen entsprechen" ist aber deaktiviert. In GPO im Punkt "Zertifikate" ist ein Zertifikat ausgestellt für den Zweck "Dateiwiederherstellung". Hat es vielleicht etwas damit zu tun ? Zitieren
hwimmer 10 Geschrieben 16. Oktober 2007 Autor Melden Geschrieben 16. Oktober 2007 Noch eine ZusatzInfo, vielleicht hilft das noch weiter. Der betroffenen Server war Backup DC. Hab den Server runtergestuft, da die Datenbank fürs AD korrupt war. Wir hatten den Server im laufenden Betrieb mit P2V virtualisiert und das hat die Datenbank nicht ganz verkraftet. Nach einem Reboot möchte ich nun den Server wieder zum DC hochstufen. Da der Server schon mal DC war könnte es doch sein, daß er das alte Kennwort haben will ? Zitieren
ducke 11 Geschrieben 16. Oktober 2007 Melden Geschrieben 16. Oktober 2007 Normalerweise kannst du ja mit ntdsutil einem DC das Kennwort zur Verzeichniswiederherstellung reseten (ntdsutil -> Set DSRM Password) Ist der Server denn wirklich ordentlich heruntergestuft worden? Zitieren
hwimmer 10 Geschrieben 16. Oktober 2007 Autor Melden Geschrieben 16. Oktober 2007 Der dcpromo ist ordnungsgemäß durchgelaufen. Zitieren
hwimmer 10 Geschrieben 16. Oktober 2007 Autor Melden Geschrieben 16. Oktober 2007 Wenn ich versuche mit ntdsutil das Passwort zurückzusetzen, bekomme ich folgenden Fehler: Error 80070057 parsing input - illegal syntax ? Zitieren
Gulp 274 Geschrieben 16. Oktober 2007 Melden Geschrieben 16. Oktober 2007 Normalerweise wird das Kennwort für die Verzeichnisdienstwiederherstellung nicht im AD gespeichert, da es beim dcpromo üblicherweise vergeben wird (da ist der Server ja noch kein DC). Dieses Administratorkennwort (ich fand schon immer dumm, dass der User hier auch Administrator heisst) kann nicht nachträglich über eine GUI geändert werden, da es noch in der lokalen Benutzerkontendatenbank (SAM) gespeichert wird, die bekanntlich bei einem DC nicht mehr existiert. Ändern kann man das Passwort jedoch entweder über die CMD und den Befehl setpwd (geht auch mit einem Remote DC: setpwd /s:[servername]) oder man bootet in die Verzeichnisdienstwiederherstellungskonsole und ändert es dort mit net user administrator *. Grüsse Gulp Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.