[SBS2003] Importeren computeraccounts - Serversoftware en clouddiensten

dinsdag 18 juli 2006 17:33

Acties:

Verwijderd

Topicstarter

Beste mensen,

Ik heb het volgende probleem met mijn netwerk.

Ik heb de system state van mijn SBS2003 moeten restoren en dit is zonder problemen verlopen. Tenminste dat dacht ik!!!

De volgende dag gingen de gebruikers zich proberen aan te melden op het netwerk, maar de wachtwoorden kwamen niet overheen. Dit is natuurlijk logisch doordat de wachtwoorden na de system state backup waren veranderd. Ik had alle wachtwoorden veranderd, maar evengoed kwamen de gebruikers niet op het netwerk.

Ze kregen de melding dat de computeraccount niet gevonden kon worden. Dit vind ik erg vreemd, doordat alle computeraccounts in AD stonden. Ik heb de computeraccounts in AD gereset, maar evengoed kwamen ze er niet in. De computers waren voor de system state backup al aanwezig in AD en ik neem aan dat het restoren van de system state geen invloed heeft op de SSID van de computeraccounts.

Nu is het natuurlijk erg gemakkelijk om de computers even uit het netwerk te halen en weer toe te voegen aan het domein, maar dat kan natuurlijk alleen als je het administrator wachtwoord weet van de clients en deze heb ik niet in mijn bezit. Een bedrijfje voor mij heeft het netwerk toen aangelegd en die weten het wachtwoord ook niet meer (lang leve netwerkdocumentatie).

Dus die oplossing kan ik niet gebruiken.

Het vreemde is als de DC uit staat dan kunnen de gebruikers zich wel aanmelden op de computer met hun domein user credentials. Wanneer ik de DC dan weer aanzet kunnen ze gewoon alle activiteiten op het netwerk uitvoeren die ze voorheen ook deden. Kortom, ik dacht dat het probleem toen verholpen was, maar het mocht niet baten, als de gebruikers zich weer probeerde aan te melden op het netwerk als de DC aan stond dan kregen ze weer dezelfde fout melding.

Bestaat er misschien een run commando waarmee je een computer opnieuw kan laten importeren in AD vanaf de client? en dan is het ook belangrijk mee te nemen dat het users zijn met beperkte rechten.

Of heeft iemand dit eerder mee gemaakt en weet hoe dit probleem opgelost kan worden!

Ik heb zelf al veel gekeken op google, maar ik kon niets over mijn probleem vinden.

dinsdag 18 juli 2006 20:44

Acties:

hstuivenberg

Je schrijft dat je de computer accounts gereset hebt. Dit is absoluut geen handige zet geweest. De machines zullen nu opnieuw aan het domein toegevoegd moeten worden.

En de reden dat clients wel kunnen aanmelden als de dc uit staat is simpel:

Cached credentials.

Dit is een default policy, die de (reeds opgeslagen) credentials vanaf het werkstation gebruikt om aan te melden, als de DC niet beschikbaar is.

Quote vanaf de volgende site :

http://www.quepublishing.com/articles/article.asp?p=102278&seqNum=4&rl=1

Troubleshooting Issues Related to Computer Accounts by Using the Active Directory Users and Computers Console

When a computer account is operating incorrectly, it may be impossible to log on to the domain from the computer. You can see how, if the computer cannot authenticate to the domain controller, it will be impossible for the user to log on. In this case it is necessary to reset the computer's account and rejoin the computer to the domain. This process reestablishes the secure relationship between the computer and the domain it is a member of.

To reset a computer's account using Active Directory Users and Computers, select the folder containing the computer account and right-click the computer object. Choose Reset Account from the context menu, and click Yes from the confirmation dialog box. Reboot the workstation and then rejoin the domain as described earlier.

To reset a computer's account from the command line, you use the dsmod command with the -reset switch:

dsmod computer <dn of computer> -resetAs

in the case where the computer account was reset using Active Directory Users and Computers, you will have to rejoin the computer to the domain.
Case Study: T Foster

[ Voor 66% gewijzigd door hstuivenberg op 18-07-2006 20:50 . Reden: Stukje onderbouwing toegevoegd vanaf een website. ]

dinsdag 18 juli 2006 21:08

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op dinsdag 18 juli 2006 @ 17:33:
De computers waren voor de system state backup al aanwezig in AD en ik neem aan dat het restoren van de system state geen invloed heeft op de SSID van de computeraccounts.

Ligt eraan hoe oud je backup van je systemstate is. Onder W2K domains worden ook de passwords van computeraccounts standaard om de dertig dagen aangepast. (Deze tijd is middels een policy te tunen).

By default computers have a password (which originally is the name of the computer account!) that's changed every 30 days. If a computer's password isn't changed (e.g., its been offline), then 60 days after its last password change the computer account won't be able to authenticate to the domain until its password is reset.

You can check for computers that haven't changed their password for more than 60 days (and could therefore be considered "stale") using the dsquery command on Windows Server 2003 and later systems. Here's a sample command execution:

C:\dsquery computer -stalepwd 60

Als de systemstate die je teruggezet hebt, ouder is dan zestig dagen, dan heb je hier je probleem. Aangezien je al meld dat ook je users tussentijds wachtwoorden gewijzigd hebben, vermoed ik dat er al een redelijk oude systemstate teruggezet is.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 18 juli 2006 21:15

Acties:

hstuivenberg

Voor de volgende keer:

Dagelijks een scheduled asr maken door middel van een scheduled task die een batch file uitvoert, waar het volgende instaat:

%systemroot%\system32\ntbackup.exe asrbackup /n "ASR for %COMPUTERNAME%" /d "ASR for %COMPUTERNAME%" /v:yes /r:no /rs:no /hc:off /m normal /j "SystemBackup" /l:s /f "D:\ASR\ASR_%COMPUTERNAME%.bkf"

Copy %systemroot%\repair\*.sif "D:\ASR"

(en deze uiteraard dagelijks meenemen in je backup strategie)

[ Voor 23% gewijzigd door hstuivenberg op 18-07-2006 21:23 ]

woensdag 19 juli 2006 17:16

Acties:

Verwijderd

Topicstarter

Bedankt in ieder geval voor de reacties, maar bestaat er een mogelijkheid dat dit probleem opgelost kan worden? zonder dat de computers opnieuw aan het domein moeten worden gehangen?

woensdag 19 juli 2006 18:42

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Je zou een truc uit kunnen proberen (geen idee of het werkt). Pak "nltest.exe" uit de resource kit.
Log met Admin rights aan op een 'probleem' werkstation en maak via "net use" een mapping naar een Domain Controller met Administrator credentials (Domain admin).

Geef vervolgens het volgende commando:

nltest.exe /sc_reset:domainname

Dit commando zou het secure channel moeten resetten.

Overigens kun je met DSadd hele mooie scripts schrijven om automatisch computer-objecten aan een domein toe te voegen. Heel veel werk hoeft het dus niet te zijn...

[ Voor 23% gewijzigd door Question Mark op 19-07-2006 18:45 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 20 juli 2006 17:11

Acties:

Verwijderd

Topicstarter

Question Mark schreef op woensdag 19 juli 2006 @ 18:42:
Je zou een truc uit kunnen proberen (geen idee of het werkt). Pak "nltest.exe" uit de resource kit.
Log met Admin rights aan op een 'probleem' werkstation en maak via "net use" een mapping naar een Domain Controller met Administrator credentials (Domain admin).

Geef vervolgens het volgende commando:

nltest.exe /sc_reset:domainname

Dit commando zou het secure channel moeten resetten.

Overigens kun je met DSadd hele mooie scripts schrijven om automatisch computer-objecten aan een domein toe te voegen. Heel veel werk hoeft het dus niet te zijn...

Oke top! ik ga dat even proberen!