Marco31 33 Geschrieben 11. September 2019 Melden Teilen Geschrieben 11. September 2019 Hallo Forum, ich habe hier ein Problem bei dem ich nicht ganz weiter weiß. Ich habe vor einiger Zeit ein paar Sachen an den Kennwortrichtlinien geändert (Länge des Passwortes und Maximales Kennwortalter). Das ganze habe ich in der Default Domain Policy geändert. Jetzt habe ich aber das Problem, dass die Passwörter weiterhin nach 30 Tagen und nicht wie in der Policy eingestellt nach 120 Tagen ablaufen. Ich kann mir das ganze nicht wirklich erklären, da ich keine andere GPO habe die Kennwortrichtlinien definiert... Hat jemand eine Idee wo das Problem liegen könnte? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 11. September 2019 Melden Teilen Geschrieben 11. September 2019 Moin, was sagt denn net accounts /domain in einem CMD-Fenster dazu? Gruß, Nils Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 11. September 2019 Autor Melden Teilen Geschrieben 11. September 2019 Ok.... Da stehen die falschen (alten) Einstellungen drin.... Wie kann das denn sein? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 11. September 2019 Melden Teilen Geschrieben 11. September 2019 Hi, wieviele Domain Controller gibt es denn? Mehr wie einen DC: Dann prüfe die (Eventlogs auf den) DCs bzgl. Replikation Einen DC: Sind alle Clients betroffen und nur vereinzelte? Gruß Jan Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 11. September 2019 Melden Teilen Geschrieben 11. September 2019 Moin, dann ist etwas nicht so, wie du vermutet hast. Meist sind es keine Replikationsprobleme, sondern Fehler beim Einstellen. Fangen wir mal vorne an: Was für GPOs sind denn auf Domänenebene definiert? Es interessiert nur "ganz oben", weil Kennwortrichtlinien nur dort wirksam werden. In welchen davon sind welche Einstellungen für die Kennwörter vorgenommen? Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 11. September 2019 Melden Teilen Geschrieben 11. September 2019 Und welche davon sind auch aktiv verlinkt? Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 12. September 2019 Autor Melden Teilen Geschrieben 12. September 2019 Guten Morgen Also auf Root-Ebene sind ausser der DDP noch 8 weitere GPO's definiert, aber keine davon hat Kennwortrichtlinien definiert. Zweimal Terminalserver (Anmelden über Terminaldienste zulassen & SSO), zweimal Zertifikat-Verteilung, einmal Einstellung TimeService, zweimal SMBv1 Disable, einmal Logon as Batch Job. Alle aktiv auf Root Ebene. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. September 2019 Melden Teilen Geschrieben 12. September 2019 Moin, gut. Und was genau steht in der DDP bei den Kennwortrichtlinien drin? Dann zweiter Schritt: Was sagt ein RSoP? Gruß, Nils Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 12. September 2019 Autor Melden Teilen Geschrieben 12. September 2019 Folgendes ist definiert: RSoP sagt genau das was auch in der DPP definiert ist. Und hier nochmal net accounts /Domain: Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. September 2019 Melden Teilen Geschrieben 12. September 2019 Moin, also steht in der DDP etwas anderes als bei der Ausgabe von net accounts /domain? Noch zwei weitere Tests: was sagt netdom /query fsmo im CMD-Fenster? Wenn du adsiedit.msc öffnest und dir die Eigenschaften des Domänenobjekts ansiehst, was steht dort bei den Feldern, die die Kennworteigenschaften angeben? Kommen andere Werte zurück, wenn du adsiedit mit einem anderen DC verbindest? Es ist tatsächlich zu erwarten, dass sich im Eventlog was findet, denn es scheint wohl ein Problem zu geben. Was steht dort? Prüfe dabei alle Protokolle, die in Frage kommen, also auch die passenden unter "Anwendungs- und Dienstprotokolle". Weiterhin kann "dediag /E > c:\Pfad\dcdiag.txt" Aufschluss geben. Gibt es weitere Auffälligkeiten oder Probleme, die damit zusammenhängen könnten? In dem Fall würde ich nicht mehr zögern, sondern einen Call bei Microsoft eröffnen. Gruß, Nils Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 12. September 2019 Autor Melden Teilen Geschrieben 12. September 2019 vor 4 Minuten schrieb NilsK: Moin, also steht in der DDP etwas anderes als bei der Ausgabe von net accounts /domain? Noch zwei weitere Tests: was sagt netdom /query fsmo im CMD-Fenster? Wenn du adsiedit.msc öffnest und dir die Eigenschaften des Domänenobjekts ansiehst, was steht dort bei den Feldern, die die Kennworteigenschaften angeben? Kommen andere Werte zurück, wenn du adsiedit mit einem anderen DC verbindest? Es ist tatsächlich zu erwarten, dass sich im Eventlog was findet, denn es scheint wohl ein Problem zu geben. Was steht dort? Prüfe dabei alle Protokolle, die in Frage kommen, also auch die passenden unter "Anwendungs- und Dienstprotokolle". Weiterhin kann "dediag /E > c:\Pfad\dcdiag.txt" Aufschluss geben. Gibt es weitere Auffälligkeiten oder Probleme, die damit zusammenhängen könnten? In dem Fall würde ich nicht mehr zögern, sondern einen Call bei Microsoft eröffnen. Gruß, Nils Ja, so ist es, da DPP und net accounts /Domain unterscheiden sich. Zu Test 1: Das sieht unauffällig aus, da steht einer meiner beiden DC's (der Betriebsmaster) drin. Zu Test 2: Wo muss ich da genau hinschauen? Mit adsiedit bin ich jetzt nicht so wirklich vertraut. Weitere Probleme gibt es keine, zumindest keine die mir aufgefallen sind. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. September 2019 Melden Teilen Geschrieben 12. September 2019 (bearbeitet) Moin, also ist der PDC-Emulator korrekt identifziert? Der zugehörige DC funktioniert und antwortet auch? Zu ADSIEdit: Du startest adsiedit.msc. Rechtsklick auf ADSI-Editor, Verbindung herstellen. Auswahl "Bekannten Namenskontext", dort "Standardmäßiger Namenskontext" Im unteren Feld bei der oberen Option einen der beiden DCs auswählen. Rechtsklick auf die Domäne, Eigenschaften. In dem Fenster siehst du dann die diversen Attribute des "Domain Head", dort findest du auch die Felder zu den Kennworteigenschaften. Dann dasselbe noch mal ab dem zweiten Punkt dieser Liste, aber mit dem anderen DC. Sind die Werte identisch oder unterschiedlich? Ich bin gerade nicht mit einer Domäne verbunden und kann es nicht nachstellen, daher nur aus dem Kopf, sollte aber ungefähr so passen. Was findet sich im Eventlog? Was findet sich in dcdiag? Gruß, Nils bearbeitet 12. September 2019 von NilsK 1 Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 12. September 2019 Autor Melden Teilen Geschrieben 12. September 2019 (bearbeitet) Also im Eventlog bekomme ich am DC SceCli Fehler 1202, 0x57. Und das seit dem Tag an dem ich die DPP geändert habe... Das ganze hört sich so an, als seien noch Uralte Reste in der DPP die hier Probleme machen: https://superuser.com/questions/1422880/scecli-0x57-password-policy-event-1202 Tatsächlich wir der im Artikel genannte Eintrag "RequireLogonToChangePassword" im Winlogon protokolliert: ---Sicherheitsrichtlinien werden konfiguriert... Die Verabeitung der Wiederherstellungswerte für 7 Einstellungen wird gestartet. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MinimumPasswordLength>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <PasswordHistorySize>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MaximumPasswordAge>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MinimumPasswordAge>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <PasswordComplexity>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <RequireLogonToChangePassword>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ClearTextPassword>. Konfigurieren der Kennwortinformationen. Die Verabeitung der Wiederherstellungswerte für 3 Einstellungen wird gestartet. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <LockoutBadCount>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ResetLockoutCount>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <LockoutDuration>. Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ForceLogoffWhenHourExpire>. Konfigurieren der Informationen der erzwungenen Abmeldung. Kleine Rückmeldung: Ich habe die Anweisungen aus der ersten Antwort des Artikels ausgeführt (alle Einstellungen anwählen, ändern, speichern, wieder auf richtigen Wert setzen, speichern) und ein gpupdate /force gemacht. Siehe da, net accounts /Domain zeigt jetzt die Werte an, die auch in der DPP stehen. Habe auch die maximale Kennwortlänge auf 14 gesetzt. Aber habe ich das richtig verstanden dass man über die DPP keine Passwortlänge größer 14 setzen kann?? bearbeitet 12. September 2019 von Marco31 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. September 2019 Melden Teilen Geschrieben 12. September 2019 Moin, na, das ist mal spannend. Danke für die Rückmeldung. War mir so auch noch nicht bekannt. Gruß, Nils Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 12. September 2019 Autor Melden Teilen Geschrieben 12. September 2019 Ja, auf sowas kann man verzichten Die Einstellung "RequireLogonToChangePassword" wird aber auch jetzt noch im Winlogon geloggt. Ich muss aber gestehen dass ich mich nicht so recht traue, an der GPTTMP.INF rumzufummeln... Hat jemand von euch Passwörter länger 14 Zeichen über die DPP konfiguriert oder nur über "Fine Grained Password Policy"? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.