Jump to content

Secure Channel unjoin/join


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Eine simple Frage.

Es wird behauptet dass wenn ein Problem mit dem Secure Channel besteht, ist einer der fixes Domain unjoin->join. Jedoch hier, sollte man ein "Reset Computer" im AD nicht machen, sollte der Computer in AD Trust-Relationship mit der Domäne verlieren. D.h. sollte der Computer zB. ein Mitglied einer Gruppe sein, dürfte die Mitgliedschaft nicht mehr vorhanden sein, weil der Rechner ja neue SID bekommt.

 

Beim Test kann ich das nicht nachmachen.

Gerade so gemacht:

Server:

Kein Rechner in "Computers".

Client: add-computer -domain lab.local -credential administrator -restart

Server: Computer ersichtlich, Sicherheitsgruppe in Computers erstellt, Client als Mitglied hinzugefügt.

Client: add-computer -workgroup wg -credential administrator -restart

Server: Client Rechner erscheint mit einem Pfeil hinunter markiert.

und dann wieder:

Client: add-computer -domain lab.local -credential administrator -restart

 

Ergebnis:

Die Mitgliedschaft ist noch da, Trust-Relationship scheint unberührt zu sein.

 

Mache ich da was falsch?

 

Besten Dank!

Link zu diesem Kommentar

Ich weiss nicht genau was du unter "Problem mit Secure Channel" meinst.

Wenn man beispielsweise einen Attacker mit Admin-Rechten im Active Directory vermutet, kann es als eine Response Maßnahme von vielen sinnvoll sein, auch alle Computerpasswörter zeitnah zu resetten.

https://technet.microsoft.com/en-us/library/hh849751.aspx , aber nicht per GUI

 

Standardmßig wird das Computerpasswort alle 30 Tage automatisch neu gesetzt. Diesen Wert sollte man daher zumindest nicht noch weiter erhöhen.

 

Oder meinst du den Secure Channel für Netlogon? Dann

https://technet.microsoft.com/en-us/library/cc731935(v=ws.11).aspx

-> nltest /sc_reset

Damit kann man Clients dazu bewegen, sich ohne Reboot einen neuen DC auszusuchen.

 

Wenn ein Rechner so verhaut ist, dass angeblich nur noch ein unjoin hilft, dann würde ich ihn nicht ohne Neuinstalltion wieder in die Domäne joinen.

Link zu diesem Kommentar

Nils, danke, hat mich auch gewundert.

Dann habe ich es wohl im Video falsch verstanden.

 

Mir war bereits klar, dass wenn man das Objekt entfernt und dann Domain Join wieder macht (oder Objekt manuell erstellt), die SID anders ist, und dann die Memberships weg sind, jedoch wurde das so gesagt, als ob die Computer-Objekte gelöscht werden... deswegen die Verwirrung.

 

blub, danke dir auch.

Ich meinte ja Secure Channel für netlogon, zB. sollte man über 30 Tage sein oder OS neu installiert haben (andere Rechner SID...). Dann bekommt man ja die Meldung... habe ich schon mal gesehen, nur hatte damals absolut keine Ahnung worum's geht :)

Ja, nltest kenn ich jetzt auch mittlerweile :)

bearbeitet von kosta88
Link zu diesem Kommentar

Beispiel bezieht sich auf Logon, und hier kommt die Fehlermeldung "The trust relationship between this workstation and the primary domain failed". Er hat nun Vergleich mit dem Benutzer bezogen, wo sich das Attribut objectSID genauso ändert, wenn User gelöscht und dann wieder erstellt wird. Und deswegen die Verwirrung.

bearbeitet von kosta88
Link zu diesem Kommentar

Mit dem Userpasswort kannst du ein TGT - Ticket des Userobjects erstellen. Mit dem Computerpasswort wird das Sessionticket für den Computer erstellt. Mit dem Computerpasswort ist es moeglich, ein modifiziertes Sessionticket zu erstellen und sich als Administrator des Computers anzumelden (ohne Kenntnis eines Admin-PWs natuerlich)

Die SID ist quasi der interne, eigentliche Name der Objekte.

 

Das Passwort eines Objects zu resetten, kann manchmal notwendig sein. Ein Object zu löschen, um es gleich wieder identisch neu anzulegen, wuesste ich jetzt keine Notwendigkeit.

 

Es hoert sich so an, als ob dein Videotrainer nicht so ganz die Bedeutung von SID und Computerpasswort verstanden hat.

 

Blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...