ungültiges computerkonto

[mlnklinus 10]

Hallo Leute,

 

folgende Situation:

 

Wir setzen bei uns VM-Ware auf etwa 60 Rechnern ein. Die VMs werden durch ein script auf die 60 Rechner verteilt und laufen vollkommen Problemlos in unserer W2k Domäne ... bis etwa 2 Monate vergangen sind, danach kann man sich an den VMs nicht mehr in der Domäne anmelden, da das "Computerkonto abgelaufen oder ungültig ist"

 

Nachdem man mit Sysprep die SID auf der VM neu macht, geht das dann wieder 2 Monate gut. Danach der gleiche Fehler!

 

Nun zu meiner Frage: Wo kann ich einstellen, dass das Computerkonto DEUTLICH länger gültig bleibt. Ich habe gehört, dass es funktionieren soll; nun weiss ich leider nicht wo diese Einstellung gemacht werden kann.

 

Kann mir einer Helfen; oder hat jemand ein ähnliches Problem.

 

Auf jedem Rechner sysprep auszuführen - wollte ich eigentlich nicht.

 

Vielen Dank !

[Capt.Nash 10]

HI,

wir haben das gleiche Problem. Würde mich auch freuen eine Antwort dufür zu finden!! ;)

 

Gruß Nash

[blub 115]

Eure Computer haben nicht genügend Rechte das Computerkontopassword in der Domäne zu resetten. Warum auch immer...(vielleicht authenticated users in der OU der Computer gelöscht??)

Mit "netdom resetpwd" auf Commandline könnt ihr das PW manuell zurücksetzen, was ein bisserl einfacher ist, als eine neue SID zu generieren :cool:

 

cu

blub

[zuschauer 10]

Hi !

blub hat es etwas kurz und knapp abgehandelt !

Zur Erklärung: Auch Computerkonten haben ein Paßwort, was allerdings automatisch geändert wird (alle 30 Tage) - nur, Eure VM-Simulationen checken das nicht und benutzen das veraltete Paßwort - wie sollten sie auch !

 

Mit blubs Tipp wird das alte bzw. abgelaufene Paßwort wieder enabled - eine andere Möglichkeit seh ich aber auch nicht

[mlnklinus 10]

Ok, danke für Eure Tipps,

 

jetzt haben wir mal folgendes probiert:

 

Wir haben ein Script gebastelt, dass den Registry-Wert: HKLM/sys/ccs/services/netlogon/parameters/MaximumPasswordAge

 

einfügt und auf 997733 Tage hochsetzt.

 

Dieses Script wirkt in der OU:VM-Ware ...

 

skript---------------------------start-----------------------------

 

'erstellt: 3.12.2003

set wshshell = CreateObject("WScript.Shell")

if keyExists("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge") then

liste = "Habe Key gefunden !!!"

WriteKey("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge")

else

liste = "Key nicht gefunden!"

WriteKey("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge")

end if

 

'MsgBox liste (Testzwecke)

 

Const EVENT_SUCCESS = 0

Const EVENT_FAILURE = 1

Const EVENT_WARNING = 2

Const EVENT_INFORMATION = 4

Const EVENT_SUCCESSAUDIT = 8

Const EVENT_FAILUREAUDIT = 16

 

Dim objShell, Message

 

Message = WScript.ScriptName & ": MELDUNG: Computer-Passwort läuft nun nicht mehr ab?!?!"

 

Set objShell = WScript.CreateObject("WScript.Shell")

 

objShell.LogEvent EVENT_WARNING, Message

 

 

 

function WriteKey(key)

on error resume next

ReadKey = wshshell.RegWrite(key,997711)

end function

 

function keyExists(key)

on error resume next

wert = wshshell.RegRead(key)

if err.Number=0 then

keyExists = true

else

keyExists = false

err.Clear

end if

end function

 

skript---------------------------ende-----------------------------

 

Dieses Script wird beim Hochfahren der VMs gestartet und trägt eine Meldung in die ereignisanzeige ein.

 

--> Der Key in der Registry wird jetzt automatisch geändert. Soweit so gut. Aber war das die Lösung? RFC plz! Danke !

[blub 115]

Hi,

 

zuschauer, netdom resetpwd enabled nicht das alte Passwort, sondern setzt ein neues. (glaub ich, aber weiss ich nicht 100%)

 

minklinus, du hast eher einen Workaround als eine Lösung geschaffen. Wenn ein Computer, egal ob virtuell oder physikalisch, nicht länger als 30 Tage von der Domäne entfernt ist, dann muss er sich das Passwort für seinen Computeraccount neu setzen können. Die Lösung wäre herzauszufinden, warum eure VMWare-Möhren das nicht können.

Ausserdem würde es mir besser gefallen, den Key DisablePasswordChange über eine Grouppolicy auf 1 zusetzen. Aber das ist Geschmackssache und Security steht sowieso auf einem anderen Blatt.

 

cu

blub

[mlnklinus 10]

nene ich glaube ihr habt mich falsch verstanden!

 

Die VMs können sehr wohl ihr passwort ändern nur sollen sie es nicht. Da wir nur EINE VM erstellen, und diese auf viele viele Rechner verteilen.

 

Wenn eine VM auf einem beliebigen Rechner nach 30 Tagen das Computerkontopasswort ändert funktionieren alle anderen VMs nicht mehr.

 

Genau das wollen wir vermeiden!!!

 

Wir haben ein gutes Dutzend VMs - individuell mit Software konfiguriert - die wir beliebig auf verschiedene Rechner aufspielen können.

 

Egal welche physikalische Hardware gerade vorhanden ist, etc.

 

Ok?

[blub 115]

ja, das war ein klassisches Missverständnis :-)

 

Aber funktioniert das wirklich, dass viele Rechner in einer Domäne auf einem einzigen Computerkonto hängen. Alle diese Rechner haben dann eine einzige SID und haben denselben Namen? Klingt genial :cool:

 

cu

blub

[mlnklinus 10]

ja soweit schon - bis auf das Problem mit den 30 Tagen! ;-)

 

Was nicht funktioniert ist allerdings die Sache mit den Freigaben auf den VMs (diese laufen allerdings mit der Einstellung: host-only; also wie ein Zweitrechner, der über den ICS mit dem Internet verbunden ist)

 

Die Freigaben stellen aber auch kein wirkliches Problem dar, weil Freigaben eh nur vom Dateiserver genutzt werden und wenn überhaupt die von der realen physikalischen Maschine.

 

Gruss, und Dank!

[zuschauer 10]

Hier noch ein Link zur Thematik Computer und Account:

http://support.microsoft.com/default.aspx?scid=kb;en-us;260575&Product=win2000