AD Controller - keine Anmeldung mehr möglich

[CoNtAcT2000 15]

Hallo Leute,

 

zum Jahresende habe ich mir noch ein schönes Ei ins Nest gelegt und bräuchte mal dringend eure Hilfe.

Windows Essentials 2016 Domaincontroller mit 6 Windows 10 Clients.

 

Ich hatte gestern einige """"Optimierungen""" vorgenommen die Pingcastle vorgeschlagen hat um die Sicherheit zu erhöhen.

Nun kann ich mich am DC nicht mehr anmelden!

 

Es kommt immer das Kennwort wäre falsch. Nein, es ist richtig!!!

Egal welche Daten ich verwende:

User: IT

User domain\IT

User:IT@domain.local

 

Ich glaube es hängt daran, dass ich den Domain Admin in die Gruppe der "protected Users" hinzugefügt habe, wie es Pingcastle vorgeschlagen hat. Dann nach einem Reboot trat nämlich erst das Probem auf!

Ich habe den DC nun mit F8 im Wiederherstellungsmodus gestartet - aber was nun? Ich kann die mmc ActiveDirectory Benutzer und Computer zwar öffnen - aber die sind nicht verbunden.
Ich würde den Admin gerne wieder aus der protected Users Gruppe entfernen und dann mal den DC neustarten - ggf. noch die GPO die ich angelegt hatte um einige Einstellungen zu machen deaktivieren.
Wie beseitige ich meinen Schlamassel und gehe hier weiter vor? Mir gehen da grad die Ideen und meine Erfahrung aus!

VIELEN Dank im voraus!!!

VG
CoNtAcT2000

 

[testperson 1.721]

Hi,

 

versuchst du die Anmeldung nur per RDP und der IP Adresse? Nimm einmal den FQDN, falls du dich per RDP anmeldest. Ansonsten kannst du dich lokal direkt am Server oder halt per RMM (iLO, iDRAC, etc.) anmelden?

 

Gruß

Jan

[NorbertFe 2.074]

vor 5 Minuten schrieb CoNtAcT2000:

Ich glaube es hängt daran, dass ich den Domain Admin in die Gruppe der "protected Users" hinzugefügt habe

Tjo, hast keinen zweiten Admin der nicht in der Gruppe ist? Wie versuchst du dich denn am dc anzumelden? Per Rdp oder direkt an der Konsole?

[cj_berlin 1.335]

Moin,

Deine beste Chance ist  der Administrator "Administrator", also der mit der RID 500, denn diesen kann man effektiv nicht aussperren.

 

Das mit Protected Users wäre dann plausibel, wenn sich das Kennwort des Users, den Du nutzt, schon lange nicht geändert hat - so lange, dass keine AES-Hashes dafür gespeichert wurden, Im Regelfall würde es bedeuten, dass dieser User auf Server 2000-2008 angelegt wurde und immer noch das Kennwort von damals hat.

 

Deine zweitbeste Chance ist das DSRM-Kennwort, das Du hoffentlich doklumentiert hast.

 

Deine drittbeste Chance ist Dien PingCastle-Report - eventuell sind da noch mehr Anfälligkeiten drin, die noch nicht gefixt wurden  

 

Deine viertbeste Chance ist, dass die Boot-Festplatte des Servers nicht verschlüsselt ist, Dann kannst Du den DC mit allen möglichen Mitteln, beispielsweise mit Utilman, hacken.

P.S. Aber der Einwand von @testperson ist nicht von der Hand zu weisen - wenn Du RDP versuchst und NLA erzwungen ist, brauchst Du den FQDN, wenn der User in der Protected Users-Gruppe drin ist.

[CoNtAcT2000 15]

Ich hatte einen zweiten Admin - aber ich *** habe im Übereifer, weils an dem Tag ja so gut geklappt hatte ALLE Admins gleich in die protected User Gruppe geschoben!
Ich bin lokal Vorort, stehe also direkt am Server und habe physischen Zugriff.

 

Per RDP kommt die angehängte Meldung aber bei mir halt auf deutsch.
 

 

Hatte vorhin vor dem Boot in den Wiederherherstellungsmodus von einem Laptop mal versucht mich mit RSAT zu verbinden:

runas /netonly /user:IT@domain.local "mmc dsa.msc /server=192.168.100.200"

das ging aber auch nicht.

 

[NorbertFe 2.074]

vor 4 Minuten schrieb CoNtAcT2000:

runas /netonly /user:IT@domain.local "mmc dsa.msc /server=192.168.100.200"

Das geht nicht, weil das ntlm erzwingen würde mit der ip Adresse. Nimm da doch mal den fqdn

 

bye

norbert

 

ps: zum Thema pingcastle und mal eben Dinge umsetzen die man selbst nirgends getestet hat sag ich mal lieber nix. ;)

 

pps: hast du keine mmc direkt auf einem Client um mal dsa dort als Dom-Admin auszuführen?

bearbeitet 29. Dezember 2024 von NorbertFe

[CoNtAcT2000 15]

vor 4 Minuten schrieb NorbertFe:

Das geht nicht, weil das ntlm erzwingen würde mit der ip Adresse. Nimm da doch mal den fqdn

 

ps: zum Thema pingcastle und mal eben Dinge umsetzen die man selbst nirgends getestet hat sag ich mal lieber nix. ;)

 

pps: hast du keine mmc direkt auf einem Client um mal dsa dort als Dom-Admin auszuführen?

 

Ja Norbert, sag nix......ich weiß

- Okay, ich starte den Server wieder im normalen Modus und teste es mit dem FQDN aus.

- Einen Domänen Client mit RSAT Tools habe ich aktuell leider nicht - habe ich heute morgen als erstes versucht, aber ich bekomme auf der Windows 10 Büchse keine RSAT Tools installiert.

So, Server wieder normal gestartet.

Dann auf nem Laptop mich versucht zu verbinden:
runas /netonly /user:IT@domain.local "mmc dsa.msc /server=Server.domain.local"

 

 

Und nun ?

vor 29 Minuten schrieb cj_berlin:

Moin,

Deine beste Chance ist  der Administrator "Administrator", also der mit der RID 500, denn diesen kann man effektiv nicht aussperren.

 

Das mit Protected Users wäre dann plausibel, wenn sich das Kennwort des Users, den Du nutzt, schon lange nicht geändert hat - so lange, dass keine AES-Hashes dafür gespeichert wurden, Im Regelfall würde es bedeuten, dass dieser User auf Server 2000-2008 angelegt wurde und immer noch das Kennwort von damals hat.

 

Also das Kennwort der Admins war/ist definitiv schon älter - das hat Pingcastle auch angemeckert.

 

d.h. was soll ich denn als nächstes tun?

[cj_berlin 1.335]

Wenn Du das "Administrator"-Kennwort weißt, müsstest Du dich damit dennoch anmelden können.

 

Wenn Du das DSRM-Kennwort weißt, in DSRM booten und mit NET GROUP oder so die Admins as den Protected Users entfernen. Anschließend in den normalen Modus booten und das KLennwort rollen.

[CoNtAcT2000 15]

Ich kann in den Wiederherstellungsmodus booten und mich dort mit .\Administrator und dem Kennwort anmelden.
Aber wie es dann weiter geht - was ich da im Wiederherstellungsmodus tun muss - da fehlt mir absolut die Erfahrung.
Wie oben beschrieben, die Verwaltungskonsolen lassen sich ja im Wiederherstellungsmodus nicht öffnen.
Mit welchem Werkzeug/Vorgehensweise komme ich denn hier zu dem Punkt dass ich die Gruppenmitgliedschaft des Admins wieder ändern kann?

[NorbertFe 2.074]

vor 4 Minuten schrieb CoNtAcT2000:

Verwaltungskonsolen lassen sich ja im Wiederherstellungsmodus nicht öffnen.

Was völlig logisch ist, weil das ad im wiederherstellungsmodus ja nicht aktiv ist. 

Du könntest mittels „utilman.exe“ das Kennwort des -500 Admins zurücksetzen und schauen ob du dann wieder rankommst. Falls nicht, müsstest du über dieselbe Methode auch die gruppenmitgliedschaft ändern können.

[NilsK 2.966]

Moin,

 

Wir groß ist die Domäne denn drumherum und was läuft da noch? Im Zweifel neu machen ... 

 

Es wird zwar nicht unrettbar kaputt sein, aber mit Support auf diesem Weg könnte der Aufwand zur Reparatur unangemessen hoch werden.

 

Gruß, Nils

[CoNtAcT2000 15]

vor 12 Minuten schrieb NorbertFe:

Was völlig logisch ist, weil das ad im wiederherstellungsmodus ja nicht aktiv ist. 

Du könntest mittels „utilman.exe“ das Kennwort des -500 Admins zurücksetzen und schauen ob du dann wieder rankommst. Falls nicht, müsstest du über dieselbe Methode auch die gruppenmitgliedschaft ändern können.

 

Ich verstehe deinen Gedankengang nicht ganz, was das ändern des Passworts bringen soll? Ich kenne ja das Kennwort.
Meinst du es ist ihm zu alt oder was?

 

vor 9 Minuten schrieb NilsK:

Moin,

 

Wir groß ist die Domäne denn drumherum und was läuft da noch? Im Zweifel neu machen ... 

 

Es wird zwar nicht unrettbar kaputt sein, aber mit Support auf diesem Weg könnte der Aufwand zur Reparatur unangemessen hoch werden.

 

Gruß, Nils

 

Naja groß ist das nicht, aber NEU machen wäre schon übel.
Ich habe noch als letzten Ausweg ein Acronis Vollimage der Maschine. Das wollte ich aber erst versuchen wenn sonst echt gar nichts geht! Ich hoffe es funktioniert wenn ich es einsetzen muss!!!

 

[cj_berlin 1.335]

https://binarynature.blogspot.com/2013/01/reset-active-directory-administrator-password.html ab "Directory Services Repair Mode (DSRM)"

[testperson 1.721]

@CoNtAcT2000 was passiert denn überhaupt, wenn du den Server ganz normal bootest und du dich an der Konsole vorm Server anmelden willst?

[CoNtAcT2000 15]

vor einer Stunde schrieb testperson:

@CoNtAcT2000 was passiert denn überhaupt, wenn du den Server ganz normal bootest und du dich an der Konsole vorm Server anmelden willst?

 

Normalerweise war da ein Autologon konfiguriert für den Domänen Admin - wegen Dienste/Tools starten und so.
Das schlägt fehl. Also versuche mich mit meinem Domänen-Admin Konto, dem gleichen wie beim Autologon, manuell mit Benutzername und PW anzumelden.
Und dann kommt das Passwort wäre falsch!

 

Mit dem von Evgenij verlinkten Offline NT Password Tool hat es nicht geklappt, bootet am Server nicht.
Mit einer normalen Win10 Bootmedium konnte ich zwar in die Reparaturkonsole booten, aber die kommt mangels Treiber nicht auf die Partition.

 

Mit dem Recovery Medium von Acrons konnte ich mir jetzt Zugang verschaffen und hab den "Trick" mit dem Utilman angewandt.
Danach neugestartet und das Passwort meines Domänenadmins abgeändert mit net user....
Habe auch alle Domänenadmins aus der Protected User Gruppe entfert.

Habe auch einen neuen Benutzer "Disaster" angelegt, ihn in die Gruppe der Domänenadmins aufgenommen.
Danach den Server neugestartet.

Dennoch kann ich mich an dem Server nicht anmelden - egal mit welchem Konto!!

Es scheint also an was anderem zu hängen. Ich würde gerne die GPO mit den Settings aus Pingcastle die ich auf den DC gelegt habe deaktivieren/löschen. Aber kein Plan wie ich da rankommen soll. Die mmc Konsolen lassen sich weiterhin nicht öffnen. Weder über die Systemrechte von Utilman noch mit runas.