Herbert Leitner 10 Geschrieben 3. April 2006 Melden Teilen Geschrieben 3. April 2006 Hallo! Eigentlich sollte ich es wissen, und doch kriege ich es nicht richtig zusammen: Ein Freund hat mich angerufen, er hat ein Problem. Die haben eine Festplatte von einem Client geklont und diese abwechselnt auf der gleichen Maschine verwendet. Das schien soweit zu laufen. (muss ja weil auf der gleichen Maschine und abwechselnd!) Nun haben die die Platte zwei Monate liegen lassen, und können sich damit nicht mehr an die Domäne anmeldet. Da kommt so eine Meldung wie: Das Computerkonto in der Domäne konnte nicht gefunden werden. Nun frage ich mich, obs das geben kann, und wenn ja, was der Grund dafür sein könnte: Ganz vage habe ich noch in Erinnerung, daß alle 30 Tage die Session - Tickets zwischen Client und DC neu ausgehandelt werden. Nun könnte es sein, daß das geschen ist, und damit die - liegengelassene - Platte bzw. Installation keine Verbindung mehr zur Domne hat - weil kein gültiges Session Ticket?! Grundsätzlich die Frage: o.) Wenn ich einen Client länger als 30 Tage nicht starte, dann sollte das Aushandel des Tickets ohne Problem sein? Stimmt das? o.) Was passiert, wenn ich eine Festplatte clone, und diese ständig wechsele. Komme ich damit über die 30 Tage oder nicht bzw. funktioniert das gar nicht? o.) Was passiert, wenn der Clione eine andere MAC - Adresse (weil anderer Rechner), und/oder eine andere IP - Adresse (weil DHCP) hat? Ach ja; Windows 2003 Domäne, SP1 (oder 2 wenns das schon gibt), Windows XP Pro auf den Clients. (Ich hoffe, ich hab den Ehrgeiz von Grizzly99 geweckt!) Dank und Gruß! Herbert Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. April 2006 Melden Teilen Geschrieben 3. April 2006 Nein das hat nichts mit einem Session Ticket zu tun (Kerberos), sondern mit dem Computerkennwort. Jedes Mitglied einer AD-Domäne hat so ein Kennwort, mit dem sich der Computer beim DC authentifiziert. Das Computerkennwort wird standardmäßig alle 30 Tage im Hintergrund geändert, also ohne Wissen und Zutun des Admins. Passiert dies nicht, weil zu lange offline, kann der Client keinen sicheren Kanal mehr zum DC aufbauen, Folge ist die von dir genannte Meldung bei der Benutzeranmeldung (Folge des Nichtaufbauen-Könnens eines sicheren Kanals zum DC). Es hilft dann nur noch, den Client in eine Arbeitsgruppe zu nehmen und neu in die Domäne aufzunehmen. Dabei wird ein neues Kennwort generiert, das wieder nur DC und der Computer kennen. Man kann diese Zeitspanne (30 Tage) über Gruppenrichtlinie (Computer .... -> Sicherheitsoptionen) einstellen oder dort auch ganz abschalten. Den KB-Link dazu habe ich erst neulich gepostet, auf Wunsch suche ich ihn nochmals raus. Das Ganze hat übrigens nichts mit der IP-Adresse oder MAC-Adresse zu tun, es ist eine reine AD-Geschichte. Wenn die Festplatte geklont wird , tritt spätestens dann das Problem auf, wenn die jetzt gerade aktive Platte mit dem DC ein neues Kennwort generiert. Dies hat der andere Klon nicht, weshalb dann wieder obige Fehlermeldung die Folge wäre. Das würde also nur funktionieren, wenn man das Ändern des Kennworts per Richtlinie abgeschaltet hat. Gruß grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. April 2006 Melden Teilen Geschrieben 3. April 2006 Nachtrag: hier ist der KB-Artikel: http://support.microsoft.com/kb/175468/en-us#XSLTH4138121123120121120120 grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.