Fosco 10 Geschrieben 2. September 2011 Melden Geschrieben 2. September 2011 Hallo, wer keine Arbeit hat macht sich welche.... So wie ich... :rolleyes: Situation: Ich wollte von unserem Dienstleister sinnfrei angelegte Postfächer in unserem neuen Exchange-Server (2010) löschen. Dabei war mir nicht bewusst, das ich in der Verwaltungskonsole unter Empfängerkonfiguration mit "Entfernen" nicht das Postfach lösche, sondern gleich den User aus dem AD. :shock: O.k. ist passiert (hatte auch keine Infos darüber aus meinem Exchange-Kurs und auch keine Warnung von unserem Dienstleister erhalten als wir darüber gesprochen hattte) und ich verbuche das als Lehrgeld. Recht schnell hatte ich dann rausbekommen, das ich mittels Adrestore die Userkonten wieder reaktivieren konnte. Klappte eigentlich auch wirklich gut... Klar, Gruppenzuweisungen und Passwörter sind wech und die Konten erstmal deaktiviert (aktivierung erst nach zurücksetzen des PW´s möglich). Damit kann ich gut leben, denn die User waren rechtemässig auch nicht "weit gestreut". Nun treten aber folgende Effekte auf: 1. User kann sich nicht anmelden Konto ist deaktiviert (sollte so sein, und so erwarte ich das auch.. aktivierung auf anfrage ist gewollte) 2. User kann sich anmelden, bekommt aber einen leeren Desktop mit maximal dem Mülleimer angezeigt. (Konto ist deaktiviert, Password nicht zurück gesetzt !!!! :confused:) 3. User kann sich anmelden, bekommt seinen Desktop angezeigt, aber bei einer Remote Desktop-Anmeldung (ist für eine spezielle Anwendung notwendig) aus seiner "Account" heraus bekommt er die Meldung das das Konto deaktiviert ist. (Konto deaktiviert, Passwort nicht zurückgesetzt! :shock: :suspect:) Sind diese Effekte bekannt? Kann dies durch das ADrestore verursacht worden sein, oder gibt es eine Sicherheitslücke?? Könnte es damit zusammenhängen, das die Userprofile lokal liegen? Sollte ja eigentlich nicht, denn bei einem deaktiviertem Konto sollte es egal sein ob oder was für ein profil da ist. Rreichlich irritiert... Fosco Zitieren
NilsK 2.978 Geschrieben 2. September 2011 Melden Geschrieben 2. September 2011 Moin, wie sieht die Struktur des AD aus? Liegen dort evtl. Replikationsverzögerungen vor? Gruß, Nils Zitieren
Fosco 10 Geschrieben 2. September 2011 Autor Melden Geschrieben 2. September 2011 Hi Nils, ich hab 2 DC hier und 1 RODC in der Niederlassung. Aber da die wiederherstellung der Accounts gestern war, und die Anmeldung heute morgen sollte da schon über Nacht eine mehrfache Replikation gelaufen sein.. Gruß Fosco Zitieren
NilsK 2.978 Geschrieben 2. September 2011 Melden Geschrieben 2. September 2011 Moin, naja, aber wenn du den User erst auf Anforderung reaktivierst, kann es sehr wohl zu einer Replikationsverzögerung kommen, oder? Gruß, Nils Zitieren
Fosco 10 Geschrieben 2. September 2011 Autor Melden Geschrieben 2. September 2011 Hmm... klar.. da hast du natürlich recht... Aber eigentlich düfte sich ja keine der betroffenen Personen anmelden können. Schließlich sind die Konten ja noch deaktiviert (Punkt 2 und 3). Aber trotzdem geht es... Gruß Alex Zitieren
NilsK 2.978 Geschrieben 2. September 2011 Melden Geschrieben 2. September 2011 Moin, wenn die Anmeldung am PC geht, der TS sie aber zurückweist, ist das ein Hinweis auf Replikationsverzögerung - PC und TS fragen wahrscheinlich unterschiedliche DCs. Bei den Effekten mit "unvollständigem" Desktop sollte sich etwas im Eventlog finden lassen. Gruß, Nils Zitieren
Fosco 10 Geschrieben 2. September 2011 Autor Melden Geschrieben 2. September 2011 Nur nochmal zur Sicherheit (bin mir grad nicht sicher, ob wir das selbe vor Augen haben, sry)... Es geht nicht primär darum, das der TS die Anmeldung ablehnt. Das ist schon o.k. so. Aber das eine Anmeldung am Client bei einem _deaktiviertem Konto_ möglich ist, will mir nicht in den Kopf! :confused: Und auch nur da treten dann diese Desktop-Effekte auf. Gruß Fosco Zitieren
P.Foeckeler 11 Geschrieben 3. September 2011 Melden Geschrieben 3. September 2011 Hallo, zu den Anmeldungen, obwohl der wiederhergestellt Benutzer eigentlich deaktiviert ist: Denkbar wäre vielleicht, dass an den Stationen warum auch immer überhaupt keine Kerberos-Verbindung zum DC möglich ist, dann hast du dort eine Anmeldung mit Cached Credentials - wenn der Benutzer früher einmal dort angemeldet war....vielleicht sowas? Waren die betreffenden Rechner-Accounts auch gelöscht und sind wiederhergestellt worden? Gruß, Philipp Zitieren
cenobite 10 Geschrieben 5. September 2011 Melden Geschrieben 5. September 2011 Schaue vielleicht mit "set logonserver" an welchem DC der Client sich überhaupt anmeldet, vielleicht kommst du mit dieser info weiter. Probier mal dich mit einem dieser accounts auf einem Rechner anzumelden wo noch nichts gecached ist, wär spannend was dort passiert ;) Zitieren
Fosco 10 Geschrieben 5. September 2011 Autor Melden Geschrieben 5. September 2011 Morgen, nein, die Rechner-Accounts waren weder gelöscht, noch wurde da was wiederhergestellt. Da die Rechner (entgegen meiner empfehlung) vor einem Jahr so wie sie waren in die Domäne übernommen wurden ist es natürlich möglich, das die Verbindung zum DC nicht 100%tig ist. Hab gerade mal kurz etwas über die Anmeldung mit Cached Credentials nachgelesen. Ich denke, das dies wirklich der Grund sein könnte. Vielen Dank für die Tips. Gruß Fosco P.S. Wieder ein Grund, die Rechner mal endlich gründlich zu überarbeiten. Mal sehen, wann ich das o.k. bekomme... ;) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.