kosta88 2 Geschrieben 24. August 2016 Melden Teilen Geschrieben 24. August 2016 Eine simple Frage. Es wird behauptet dass wenn ein Problem mit dem Secure Channel besteht, ist einer der fixes Domain unjoin->join. Jedoch hier, sollte man ein "Reset Computer" im AD nicht machen, sollte der Computer in AD Trust-Relationship mit der Domäne verlieren. D.h. sollte der Computer zB. ein Mitglied einer Gruppe sein, dürfte die Mitgliedschaft nicht mehr vorhanden sein, weil der Rechner ja neue SID bekommt. Beim Test kann ich das nicht nachmachen. Gerade so gemacht: Server: Kein Rechner in "Computers". Client: add-computer -domain lab.local -credential administrator -restart Server: Computer ersichtlich, Sicherheitsgruppe in Computers erstellt, Client als Mitglied hinzugefügt. Client: add-computer -workgroup wg -credential administrator -restart Server: Client Rechner erscheint mit einem Pfeil hinunter markiert. und dann wieder: Client: add-computer -domain lab.local -credential administrator -restart Ergebnis: Die Mitgliedschaft ist noch da, Trust-Relationship scheint unberührt zu sein. Mache ich da was falsch? Besten Dank! Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 24. August 2016 Melden Teilen Geschrieben 24. August 2016 Moin, der Rechner bekommt keinen neuen SID. Auch das Konto behält seinen SID (Attribut objectSID), wenn du es bestehen lässt. Im Wesentlichen entfernr "Reset" das Computerkennwort. Gruß, Nils Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 24. August 2016 Melden Teilen Geschrieben 24. August 2016 Ich weiss nicht genau was du unter "Problem mit Secure Channel" meinst. Wenn man beispielsweise einen Attacker mit Admin-Rechten im Active Directory vermutet, kann es als eine Response Maßnahme von vielen sinnvoll sein, auch alle Computerpasswörter zeitnah zu resetten. https://technet.microsoft.com/en-us/library/hh849751.aspx , aber nicht per GUI Standardmßig wird das Computerpasswort alle 30 Tage automatisch neu gesetzt. Diesen Wert sollte man daher zumindest nicht noch weiter erhöhen. Oder meinst du den Secure Channel für Netlogon? Dann https://technet.microsoft.com/en-us/library/cc731935(v=ws.11).aspx -> nltest /sc_reset Damit kann man Clients dazu bewegen, sich ohne Reboot einen neuen DC auszusuchen. Wenn ein Rechner so verhaut ist, dass angeblich nur noch ein unjoin hilft, dann würde ich ihn nicht ohne Neuinstalltion wieder in die Domäne joinen. Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 24. August 2016 Autor Melden Teilen Geschrieben 24. August 2016 (bearbeitet) Nils, danke, hat mich auch gewundert. Dann habe ich es wohl im Video falsch verstanden. Mir war bereits klar, dass wenn man das Objekt entfernt und dann Domain Join wieder macht (oder Objekt manuell erstellt), die SID anders ist, und dann die Memberships weg sind, jedoch wurde das so gesagt, als ob die Computer-Objekte gelöscht werden... deswegen die Verwirrung. blub, danke dir auch. Ich meinte ja Secure Channel für netlogon, zB. sollte man über 30 Tage sein oder OS neu installiert haben (andere Rechner SID...). Dann bekommt man ja die Meldung... habe ich schon mal gesehen, nur hatte damals absolut keine Ahnung worum's geht :) Ja, nltest kenn ich jetzt auch mittlerweile :) bearbeitet 24. August 2016 von kosta88 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 25. August 2016 Melden Teilen Geschrieben 25. August 2016 Moin, Video? Vielleicht von Thomas Joos? :D Gruß, Nils SCNR ... Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 25. August 2016 Autor Melden Teilen Geschrieben 25. August 2016 (bearbeitet) Nö, James Conrad. Für mich ist Englisch wesentlich leichter, da ich seit meiner Kindheit Englisch in meiner Umgebung (und in der IT) hatte, und DE "nur" die letzten 15 Jahre :) bearbeitet 25. August 2016 von kosta88 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. August 2016 Melden Teilen Geschrieben 26. August 2016 Aus Neugierde nachgefragt: Bei welchem Fehlerbild soll lt. Video ein unjoin/ join helfen? Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 26. August 2016 Autor Melden Teilen Geschrieben 26. August 2016 (bearbeitet) Beispiel bezieht sich auf Logon, und hier kommt die Fehlermeldung "The trust relationship between this workstation and the primary domain failed". Er hat nun Vergleich mit dem Benutzer bezogen, wo sich das Attribut objectSID genauso ändert, wenn User gelöscht und dann wieder erstellt wird. Und deswegen die Verwirrung. bearbeitet 26. August 2016 von kosta88 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 26. August 2016 Melden Teilen Geschrieben 26. August 2016 Moin, der Vergleich hinkt nicht nur, er ist einfach falsch. Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 26. August 2016 Autor Melden Teilen Geschrieben 26. August 2016 Nils, magst du das ein wenig elaborieren bitte? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 26. August 2016 Melden Teilen Geschrieben 26. August 2016 Moin, was gibt es da zu elaborieren? Was beim Reset des Computerkontos passiert, ist hier doch schon beschrieben worden. Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 26. August 2016 Autor Melden Teilen Geschrieben 26. August 2016 Ja ist es, nur sagst du dass dieser Vergleich falsch ist. Das verstehe ich nicht ganz. Sowohl beim Benutzer wie auch Computer Konto ändert sich die SID. Warum ist dieser Vergleich dann falsch? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 27. August 2016 Melden Teilen Geschrieben 27. August 2016 Mit dem Userpasswort kannst du ein TGT - Ticket des Userobjects erstellen. Mit dem Computerpasswort wird das Sessionticket für den Computer erstellt. Mit dem Computerpasswort ist es moeglich, ein modifiziertes Sessionticket zu erstellen und sich als Administrator des Computers anzumelden (ohne Kenntnis eines Admin-PWs natuerlich) Die SID ist quasi der interne, eigentliche Name der Objekte. Das Passwort eines Objects zu resetten, kann manchmal notwendig sein. Ein Object zu löschen, um es gleich wieder identisch neu anzulegen, wuesste ich jetzt keine Notwendigkeit. Es hoert sich so an, als ob dein Videotrainer nicht so ganz die Bedeutung von SID und Computerpasswort verstanden hat. Blub Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 27. August 2016 Autor Melden Teilen Geschrieben 27. August 2016 Keine Notwendigkeit, nur die Tatsache dass sich die SID sowohl bei Computer wie Benutzer ändert und der User (oder Computer) Objekt die Mitgliedschaft(en) bei zB. Gruppen verliert. Und dass man es nicht tun soll. Hier habe ich nur einen Test durchgeführt, und seine Aussage nur (offensichtlich) falsch verstanden. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 27. August 2016 Melden Teilen Geschrieben 27. August 2016 Das machst du schon richtig. Viel Lesen (bzw. Videos schauen) und immer wieder die neuen Informationen reflektieren und hier andere Leute nach ihrer Meinung fragen. Blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.