Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestel

[Grecho 0]

Hallo zusammen,

 

ich schon wieder :-)
Ich erhalte folgende Fehlermeldung

 

 

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt ...

 

 

Die Lösung was zu tun ist, ist mir bereits klar: Computer erneut mit der Domäne verbinden.

Die Frage ist was war die Ursache?

 

Nach Recherchen zufolge kann es an folgende Punkte liegen:

1. die Uhrzeit auf Client und Server unterscheiden sich stark --> ist nicht der Fall
2. Gleiche SID --> Wir arbeiten mit Images, das könnte sein, das vergessen wurde vor dem einspielen des Images Sysprep durchlaufe zu lassen...

 

Fragen:

1. Bei der SID handelt es sich immer um die ID eines Accounts richtig? Nicht um die ID eines Rechners....

2. Wo kann ich mir im AD die SID anzeigen lassen?

3. Ist es möglich über den AD mir auf einen Blick alle SIDs anzeigen zu lassen? Um überprüfen zu können ob tatsächlich eine doppelt vergeben war/ist.

 

 

Wäre über jede Hilfe dankbar!

 

Gruß

Grecho

[Nobbyaushb 1.475]

Auch Rechner haben eine SID, diese muss einmalig sein, sonst kommst es im AD zu Problemen.

 

Wenn man das OS clont ist das kein Problem, wenn VORHER ein Sysprep mit generelle Rücksetzung erfolgt ist.

Dann wird beim nächsten Systemstart eine neue ID generiert.

 

Kann aber auch kommen, wenn man was am AD geändert hat, hatte ich mal als ich das Schema von 2008 auf 2008R2 angehoben habe.

 

;)

[Grecho 0]

Hallo Noobyaushb,

 

Vielen vielen Dank für deine schnelle Antwort.

Damit wäre der Punkt 1 beantwortet :-)

 

Kannst du mit vllt auch bri den Punkten 2 und 3 helfen? :-)

 

Danke und Gruß

grecho

[daabm 1.366]

Zu 2: dsa.msc - Ansicht/Erweiterte Features - Atrributeditor. Oder Sysinternals psgetsid. Oder dsquery * -filter "(samaccountname=%computername%$)" -attr objectSid (ungetestet, da auf meinem aktuellen Laptop kein RSAT installiert ist :( :( )

Zu 3: SIDs werden niemals doppelt vergeben - dafür sorgt der RID Master.

[Squire 265]

@daabm .. zu3 .. richtig ... aber er schreibt die Rechner wurden gecloned

[zahni 554]

Eventuell worden sie geclont, als sie Domain-Member  waren. Das sollte man in keinem Fall machen. Gefühlt würde ich sagen: Das zu verteilende Image sollte noch nie Domain-Member gewesen sein.

[NorbertFe 2.063]

@daabm .. zu3 .. richtig ... aber er schreibt die Rechner wurden gecloned

Dann siehst du das aber auch nicht im AD, denn da wäre sie ja nicht doppelt. ;)

[NilsK 2.958]

Moin,

 

der SID eines Rechners hat mit dem AD nichts zu tun. Das Klonen eines Rechners ist aus AD-Sicht auch nicht kritisch - das wird oft missverstanden.

 

Tatsächlich gibt es andere Abhängigkeiten vom SID, weswegen man auf ein Sysprep beim Klonen nie verzichten sollte. Die AD-Anmeldung und der Betrieb im AD gehören aber nicht dazu. Vor ein paar Jahren gab es da mal eine große Diskussion nach einem Blogpost von Mark Russinovich:

 

[Eindeutige Computer-SIDs unwichtig? | faq-o-matic.net]
http://www.faq-o-matic.net/2009/11/17/eindeutige-computer-sids-unwichtig/

 

Den lokalen SID kann man sich über psgetsid anzeigen lassen, aber eigentlich ist das völlig uninteressant.

 

Die genannte Meldung taucht meist dann auf, wenn man einen PC per Image in die Vergangenheit zurückbefördert, weil dann das Computerkennwort nicht mehr passt.

 

Gruß, Nils

[Grecho 0]

 

Die genannte Meldung taucht meist dann auf, wenn man einen PC per Image in die Vergangenheit zurückbefördert, weil dann das Computerkennwort nicht mehr passt.

 

Zum Verständnis: Dieser Satz bezieht sich doch wenn man ein Image von einem Rechner erstellt hat welcher bereits in der Domäne war, richtig?

 

Ist hier nicht der Fall gewesen...

 

Wie sieht unsere Konfiguration aus bzw. wie ist der Fehler aufgetaucht?

Wir haben einen DC in der Azure Cloud, nicht im lokalen Netzwerk. Die Verbindung zum Server läuft über einen VPN Tunnel.

 

Der User konnte sich ganz normal mit seinem Rechner an der Domäne anmelden...

Man hat uns den Rechner mit dem PW hinterlassen um sich ein Problem auf den Rechner anzuschauen.

Das PW war nicht richitg lesbar, der Kollegen konnte man nicht erreichen, also haben wir das Domänen-PW des Users auf dem DC geändert.

Beim Versuch sich mit dem Passwort anzumelden kam halt die  im Betreff genannte Fehlermeldung.

 

Wenn ich den Artikel richtig verstanden habe gibt es eine Geräte SID welche aber durch das Sysprep geändert wird. Dies machen wir auch.

Jetzt nehmen wir mal an, dass wir mal vergessen haben Sysprep durchzuführen, wäre es auch egal, DENN dem AD interessiert die Geräte SID nicht, sondern die Domänen Geräte SID.

Für die Domänen Geräte SID ist der RID-Master verantwortlich.

Ergo: Kann es ja NIE vorkommen dass es eine doppelte SID im AD gibt richtig?

 

Aber wieso nörgelt der AD rum und wieso erst nach Änderung des PWs?

 

 

Weitere Verständnisfragen:

- Wenn der AD mit einer Domänen Geräte SID arbeitet, wo finde ich diese? Das musst doch bestimmt ein Wert unter den Properties Rechners im Reiter Atribute Editor sein..

- Ergo: müsste ich mir doch auch alle DOmain Geräte SIDs anzeigen lassen können...

[NilsK 2.958]

Moin,

 

vergiss einfach den SID. Dein Problem hat definitiv nichts damit zu tun.

 

Warum genau das Problem auftritt, lässt sich aus den bisherigen Beschreibungen nicht entnehmen. Ich würde darauf auch keine weitere Energie verschwenden, denn das Problem ist ja offenkundig behoben. Höchstens wenn es erneut oder gehäuft auftritt, könnte eine Analyse sich lohnen.

 

Gruß, Nils

[Grecho 0]

Weil das Problem schon das zweite mal aufgetreten ist und ich habe die Vermutung dass es nicht dabei bleiben wird :-/

 

Gibt es für solche Fälle nicht ein Log File wo nicht nur drin steht das es ein problem hibt, sondern auch wieso?

[NilsK 2.958]

Moin,

 

du kannst ja mal im Eventlog des PCs und der DCs nachsehen, ob du dort Hinweise findest. Dass du dort allerdings einen direkten Verweis auf das Problem findest, ist unwahrscheinlich. Es werden, wenn überhaupt, eher Indizien sein.

 

Typische Ursachen für das Problem sind dir in diesem Thread (Beitrag 8 und 6) genannt worden. Alles Weitere wäre eine Sache der Detailuntersuchung - ob der Aufwand lohnt, werdet ihr entscheiden müssen. In einem Forum wird man dazu allerdings kaum noch etwas Sinnvolles beitragen können.

 

Gruß, Nils

[Grecho 0]

OK, vielen Dank NilsK.

Die Ursachen sind mir nun klar.

Ich weiss auch wie ich das Problem eingrenzen könnte bzw. wie ich suchen muss.

 

Das einzige was mir nur unklar ist bzw. ich einen Tipp bräuchte (unabhängig davon ob es was damit zu tun hat oder nicht):
 

Wo finde ich im AD die Domänen Geräte SID? Das musst doch bestimmt ein Wert unter den Properties Rechners im Reiter Atribute Editor sein..

[lefg 276]

Ob das hilft ? http://www.mcseboard.de/topic/179947-computer-sid-auslesen/?p=1108787

 

http://blogs.msdn.com/b/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx

bearbeitet 31. Januar 2016 von lefg

[Grecho 0]

Hallo lefg,

 

vielen Dank für deine Hilfe, aber leider nicht wirklich.

Hintergrund: So müsste ich leider jeden einzelnen Rechner überprüfen bzw. diesen vor Ort haben um die Überprüfung durchzuführen.

Daher war die Frage ob man Zentral über den AD diese Information auslesen könnte...