Spaceboy 10 Geschrieben 29. Juli 2010 Melden Teilen Geschrieben 29. Juli 2010 Hallo, leider hat jemand aus Versehen eine ganze OU gelöscht, in der Computerkonten waren. Wir konnten die Objekte zwar aus einer AD Sicherung wieder zurückholen, allerdings konnte man sich nicht mehr am Client anmelden (Fehlermeldung: Computerkonto nicht gefunden etc...). Nachdem ich mich lokal angemeldet hatte, konnte ich folgende Fehlermeldung feststellen: error 1789. ERROR_TRUSTED_RELATIONSHIP_FAILURE The trust relationship between this workstation and the primary domain failed. Meine Vermutung ist, dass das Kennwort für das Computerkonto im AD nicht wiederhergestellt wurde und deshalb keine gesicherte Kommunikation zwischen Client PC und Server hergestellt werden konnte. Sofern das so sein sollte, stellt sich natürlich die Frage wie ich den Client PC wieder korrekt ins AD einfügen kann oder den Umweg ihn erst zu einer Arbeitsgruppe hinzufügen zu müssen und danach wieder der Domäne beizutreten. Hat jemand Erfahrung damit? :confused: Vielen Dank im Voraus! Grüsse Spaceboy Zitieren Link zu diesem Kommentar
r2k 10 Geschrieben 29. Juli 2010 Melden Teilen Geschrieben 29. Juli 2010 Hi Sofern das so sein sollte, stellt sich natürlich die Frage wie ich den Client PC wieder korrekt ins AD einfügen kann oder den Umweg ihn erst zu einer Arbeitsgruppe hinzufügen zu müssen und danach wieder der Domäne beizutreten. ich hatte das selbe Phänomen auch schon. Genau so würde ich dies machen. Ggf per Script wenn es viele sind. Wie viele PCs betrifft es? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 29. Juli 2010 Melden Teilen Geschrieben 29. Juli 2010 Servus, erkläre doch mal genauer, wie du beim Restore vorgegangen bist. Was für eine Sicherung hast du mit welcher Sicherungssoftware auf welche Art wiederhergestellt. Wie alt ist das Backup das du verwendet hast? Zitieren Link zu diesem Kommentar
Spaceboy 10 Geschrieben 30. Juli 2010 Autor Melden Teilen Geschrieben 30. Juli 2010 Es waren >100 PC's und somit sehr viel Arbeit. Die Sicherung wurde mit diesem Tool gemacht und die Objekte auch über diesen Weg wiederhergestellt. Mit dem Hersteller sind wir bereits in Kontakt ob er noch irgendwelche Lösungen hierfür hat, da andere Wiederherstellungen (z.B. User) problemlos verlaufen sind. Grundsätzlich setzt das Tool jedoch auf dem Tombstone auf, von daher ist diese Wiederherstellung wohl vergleichbar. Allerdings hat das Tool einige Vorteile, z.B. beim Restore von Usern sind alle Attribute wieder da (Gruppenmitgliedschaften, etc...). Natürlich haben wir auch ein Backup vom SystemState, das wir über einen DC wieder hätten einspielen können, aber ehrlich gesagt ist ein Online Restore per Knopfdruck mir lieber als die gesamte Domäne wieder zurückzuholen. Falls dort weitere Probleme auftreten sind evtl. alle Niederlassungen betroffen, da es sich um eine globale Domäne handelt. Mich interessiert natürlich, dass wenn meine Vermutung stimmt, ob es keine Möglichkeit gibt das Kennwort auf dem Client PC und des DC wieder zu vereinheitlichen. Ich meine wenn es Tools von MS gibt, mit dem ich feststellen kann, dass die Kennwörter unterschiedlich sind (=keine gesicherte Verbindung möglich), dann sollte man doch auch die Möglichkeit haben, beide Seiten wieder auf den gleichen Stand zu bringen, oder? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 30. Juli 2010 Melden Teilen Geschrieben 30. Juli 2010 Grundsätzlich setzt das Tool jedoch auf dem Tombstone auf, von daher ist diese Wiederherstellung wohl vergleichbar. Genau. Ihr habt online die gelöschten Objekte und somit lediglich die Tombstones wiederhergestellt. Im Tombstone befindet sich jedoch nicht das Computerkontokennwort! Allerdings hat das Tool einige Vorteile, z.B. beim Restore von Usern sind alle Attribute wieder da (Gruppenmitgliedschaften, etc...). Das ist zwar schön, das das Tools diverse Vorteile hat, hilft dir aber in diesem Szenario nicht weiter. Natürlich haben wir auch ein Backup vom SystemState, das wir über einen DC wieder hätten einspielen können, aber ehrlich gesagt ist ein Online Restore per Knopfdruck mir lieber als die gesamte Domäne wieder zurückzuholen. Du stellst doch nicht die ganze Domäne wieder her, sondern lediglich autoritativ deine gelöschten Computerobjekte. Dadurch hättest du jetzt nicht diese Probleme, wenn es sich um ein aktuelles Backup handeln würde. Falls dort weitere Probleme auftreten sind evtl. alle Niederlassungen betroffen, da es sich um eine globale Domäne handelt. Jahaa... das Restore muss geübt sein. Aber dann hätte man sich auch kurzfristig externe Hilfe holen können. Mich interessiert natürlich, dass wenn meine Vermutung stimmt, ob es keine Möglichkeit gibt das Kennwort auf dem Client PC und des DC wieder zu vereinheitlichen. Ja, deine Vermutung stimmt. Es liegt am Tombstone. Standardmäßig wird das Computerkontokennwort ab Windows 2000 alle 30 Tage geändert (unter NT sind es 7 Tage). Das kann man zwar abstellen, das das Computerkontokennwort nie geändert wird, das ist jedoch auch Sicherheitsaspekten nicht zu empfehlen! Und dem Computerkontokennwort einfach ein bestimmtes Kennwort vergeben wie bei einem Benutzer, ist nicht möglich. Jetzt ist deine einzige Möglichkeit eine autoritative Wiederherstellung durchzuführen. Ansonsten fügst du jedes wiederhergestellte Tombstone (Computerobjekt) erneut zur Domäne hinzu. Ich meine wenn es Tools von MS gibt, mit dem ich feststellen kann, dass die Kennwörter unterschiedlich sind (=keine gesicherte Verbindung möglich), dann sollte man doch auch die Möglichkeit haben, beide Seiten wieder auf den gleichen Stand zu bringen, oder? Du irrst. Machine Account Password Process - Ask the Directory Services Team - Site Home - TechNet Blogs Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! - Aktives Verzeichnis Blog - Site Home - TechNet Blogs Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 30. Juli 2010 Melden Teilen Geschrieben 30. Juli 2010 Moin, ... und fürs nächste Mal: faq-o-matic.net Video-Tutorial: Active Directory Object Recovery Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.