Vertrauensstellung zwischen Computer und Domäne plötzlich nicht herstellbar

Liebe ForumBase,



Kurze Frage, für euch bestimmt keine schwierige: immer häufiger kommt es in der Firma dazu, dass gewisse Computer plötzlich die Vertrauensstellung zwischen sich selbst und der Domäne nicht mehr herstellen können. Oft passiert dies ja, wenn zwei gleiche Hostnames sich in der Domäne befinden. Dies ist hier aber auszuschließen. Was gibt es sonst für Gründe, dass dies so plötzlich auftritt?

Ist ein bisschen blöd, da sich dann plötzlich nicht mehr an dem PC angemeldet werden kann.
Ich handhabe das dann immer so, dass ich den PC aus der Domäne nehme, den Hostname ändere, und den PC wieder in die Domäne packe. Leider muss dann aber der User auch wieder neu konfiguriert werden. Gibt es hierfür eine elegantere Lösung?


Es handelt sich um eine Domäne mit einem Windows Server 2008 R2 als Domaincontroller.

Freue mich auf Eure Antworten und bedanke mich im Voraus!

Liebe Grüße
Sebastian

Servus,


sehr interessant. Wir haben das gleiche Problem auch in unserer Domäne. Scheint wohl was "Microsoftiges" zu sein.
Da bin ich ja auch mal gespannt.

Wieso benennst du die eigentlich um bevor du sie wieder aufnimmst ? Ich steck die einfach in eine Temp Arbeitsgruppe, lösche sie aus der AD und dann wieder ab in die Domäne. User und Co müssen nicht neu eingerichtet werden, funktionierte immer problemlos.



Gruß Marco


P.S. nutzt ihr SCCM oder sowas ? Und wie viele Clients ca ?

könnte auch eine falsche Zeit sein, mit einer Zeitsynchro hatte ich das Problem schonmal behoben.

Aber der Zeitgeber führt doch nicht dazu, dass die Vertrauensstellung flöten geht. Bei einer zugroßen Differenz wird man lediglich "ausgesperrt", erhält aber die Meldung, dass die Systemzeit nicht stimmt.
Außerdem sollte der Client sich die Zeit ja vom DC oder was auch immer man eingerichtet hat holen.

Gründe dass die Vertrauensstellung flöten geht:
- Systemwiederherstellung
- Backup/Restore (beliebige Sicherungslösung)
- Uhrzeit
- Anderer Computer übernehmen das Computerkonto
- Kioskmodus und Änderung des Computerkennworts nicht deaktiviert
- Rechner länger als 90 tage (oder warens 30?) nicht korrekt am Netzwerk angemeldet (Firewall?)
-> mal im ereignislog schauen ob bei jeder Anmeldung steht "anmeldeserver nicht erreichbar" und am dc schauen mit dsquery Computer -stalepwd 30 schauen ob da genau die konten kommen die Probleme machen (wenn sie Probleme machen)
- Replikationsprobleme mehrere DCs
- Rechner halten sich alle für dieselben (im wesentlich dadurch verursacht dass sysprep beim Abbild erstellen nicht gemacht wurde bzw sysprep gemacht wurde wärend der Client in der Domäne war)
-> zwar untypisch aber auch schon erlebt (lösung, sysprep korrekt machen)

speedcOre schrieb:

Ich handhabe das dann immer so, dass ich den PC aus der Domäne nehme, den Hostname ändere, und den PC wieder in die Domäne packe. Leider muss dann aber der User auch wieder neu konfiguriert werden. Gibt es hierfür eine elegantere Lösung?

Zum Vergrößern anklicken....

Das ist sehr merkwürdig (user neu einrichten) denn das sollte definitiv nicht nötig sein, denn auch wenn du den Rechner umbenennst und dann wieder aufnimmst hat der anmeldende User immernoch die gleiche SID (ich gehe von Domänenbenutzern aus).

Der meiner Meinung nach einfachste weg einen solchen Rechner wieder in die Domäne zu bringen
In das Domänenfeld am PC entweder den Kurznamen der Domäne eintragen (wenn der FQDN drinsteht) oder genau umgekehrt

zEtTlAh schrieb:

sehr interessant. Wir haben das gleiche Problem auch in unserer Domäne. Scheint wohl was "Microsoftiges" zu sein.
Da bin ich ja auch mal gespannt.

Zum Vergrößern anklicken....

Eigentlich ist das eine sehr solide Sache

Hallo!

Vielen Dank für Eure schnellen Antworten und Eure Mühe!
Leider ist die zündende Idee bisher nicht dabei gewesen. Im Endeffekt ist es ja auch kein Weltuntergang, wäre bloß schön bzw. Luxus, es irgendwann ausmerzen zu können. Bis dahin werde ich davon aber auch nicht sterben. ;-)

zEtTIAh, SCCM benutzen wir nicht. In etwa 70 Clients. Vorkommen tut es aber eher selten. Grob geschätzt bei ein, zwei PCs pro Monat.

Lieben Dank an alle!

Grüße
Sebastian

Ich leg mir diesen Threat mal in den Favs ab, wenn ich was finden sollte melde ich mich natürlich. Bei uns sind es nicht ganz 3500 Clients, naja, evtl. auch mehr. Da werden jeden Monat so viele Kisten getauscht, dass es schon fast unmenschlich ist. Bei uns fliegen auch nur 1 bis 2 Kisten im Monat raus, also auch nicht weltbewegend aber trotzdem irgendwie auffällig

Danke auch an 0711, mal sehen ob ich etwas davon ausschließen kann.

Manche der Ursachen lassen sich aber durch einen Neustart des Client beheben. Ein Computerkonto erneuert alle 30 Tage das PW für den Secure Channnel. Ist ein Client auch länger als 30 Tage nicht am Netz, erneuert er trotzdem sein Kennwort. Die Meldung kann zwar kommen, spätestens nach dem nächsten Neustart hat das das Kennwort erneuert.

Mit dem User hat das natürlich nichts zu tun. Auch das Computerkonto sollte nicht gelöscht werden, da dadurch die Gruppenmitgliedschaften verloren gehen. Computer aus der Domäne nehmen (Arbeitsgruppe), Computerkonto über ADUC zurücksetzen, Computer wieder in die Domäne aufnehmen.

Hallo zusammen
Bei uns tritt das Prob auch von Zeit zu Zeit auf. Eine temp. Lösung, Netzwerkkabel ausstecken, anmelden, Netzwerkkabel wieder rein.
Gruss René