UITDAGING-SSO+Cannot change password *

Oke hier zijn een paar leuke problemen die ik heb met twee w2k Forests in trust. Dus non-transitive trust of ook wel NT4 trusts genoemd.

Wij gebruiken SSO (Single Sign On) certificaten om aan te loggen. Ik heb een trust relatie tussen DomainA en DomainB. Nieuwe users in DomainB die een SSO certificaat hebben kunnen niet aanloggen op een pc in DomainA. De Kerberos melding is dat de CRL niet gevonden kan worden. De eventid zegt echter iets anders. KerberosID 0x6 Principal_Unknown. Nu zie ik wel dat hij probeerd het account te verieferen in DomainA, terwijl het SSO is aangemaakt voor het account in DomainB.

Server Realm: DomainA.NL
Server Name: krbtg/DomainA.NL
Taget Name: Host/servera.domainA.nl@domainA.nl

Zoals je ziet komt DomainB hier helemaal niet in voor, terwijl hij daar wel geverifieerd moet worden! Ik heb ksetup.exe gebruikt in DomainA om kerberos.domainB.nl toe te voegen. Dit werkt niet. Kerberos blijft problemen hebben met de trust relatie. Of moet ik in de richting van de CA zoeken? Het domain certificaat is op het werkstation geinstalleerd.

In domainB heb ik nieuwe users aangemaakt. Hier moet het wachtwoord direct bij aanmelding gewijzigd worden. Een gebruiker die achter een werkstation zit in DomainA en inlogt met zijn nieuw account van DomainB, krijgt de melding om zijn wachtwoord te wijzigen. Zodra hij dit doet, krijgt hij de melding dat hij niet genoeg rechten heeft om dit te wijzigen.
Er bestaat een artikel dat de Everyone groep - change password rechten moet hebben op het user object, maar dit werkt helaas niet.
Echter voer ik de aktie nu andersom uit (dus vanuit DomainB een wachtwoord wijzigen van een account in DomainA) dan werkt het wel. Het is dus zoeken naar een speld in een hooiberg.
Als ik het werkstation omzet van DomainA naar DomainB en de user logt in met zijn DomainB account, dan kan hij het wachtwoord wijzigen.

De vraag is dus,... hoe werkt exact de procedure van het wijzigen van het wachtwoord na CTRL+ALT+DEL? Welk verificatie account gebruikt hij hiervoor? Ik zit te denken aan het werkstation en dus het system account.

Kent iemand trouwens ook deze meldingen?
EventID 676 Failure code 0x17

[ Voor 5% gewijzigd door Verwijderd op 02-10-2003 14:57 ]

Je zou het zeggen, maar niks helpt. Er is letterlijk geen touw aan vast te knopen. De tijd staat natuurlijk goed. Het is mij bekend van dit probleem. Ik heb afgelopen week uitvoerig getest en hier is naar boven gekomen dat het bij de ene client wel werkt (veranderen van wachtwoord), maar bij de andere niet. Er zijn geen verschillen in de client. Ook heb ik gemerkt dat wanneer ik de Domain Controller Policy disable, dat het op sommige clients werkt. Maar andere weer niet. Het is echt heel vreemd, want elke User rights optie heb ik geprobeerd. Ik ben nu zo ver dat ik alle policies heb gedisabled, maar dit helpt nog niet. Is het een rechten probleem? Geen idee. Het enige wat ik mij kan bedenken is idd de trust en voorlopig werkt 1 client! yeah!

Oke het bleef bij 1 pc, want na een herstart werkte het niet meer. EN IK HEB GEEN VERANDERING aangebracht. Ik heb een two-way non-transitive trust. Dus twee forests zonder sub domain die elkaar vertrouwen. Geen poespas, gewoon standaard. Sjeez.. in NT4 was dit toch een stuk simpeler zonder problemen. Het is bekend dat Microsoft te weinig aandacht heeft besteed aan de trust relatie, maar dit gaat te ver. De clients zijn identiek en geen verschil.
Trouwens wat die ticket betreft. Die melding had ik ook gevonden, maar de Failure code 0x17 is nergens te vinden.

momania... ja sorry... ik zal er op letten.

Mutsje...
De trust is natuurlijk een trust relationship tussen de twee GC's die de infrastructure FSMO role houden. Dus ik hoef maar op 2 GC's de connectie aan te maken. (GC in DomainA en GC in DomainB).

Ik kan prima netwerk connecties maken, want een aantal services worden al in het nieuwe domain gehost. Daar ligt het probleem ook niet. DNS werkt ook netjes, nadat ik DomainA in de DNS server van DomainB had toegevoegd en visa versa.
Resolven gaat prima. Dit is de basis voor de trust relatie.

Kerberos zou het probleem kunnen zijn. Maar een directe oplossing heb ik niet. De account verificatie wordt namelijk prima in DomainB afgevangen.

Oke stel het is het kerberos protocol. (gezien de eventlog 0x17) Wat dan?

[ Voor 74% gewijzigd door Verwijderd op 07-10-2003 11:56 ]

Nope geen firewall. Ze hangen allen op dezelfde switch. Ik heb ook iets gevonden mbt. servicepack 4 (die ik op alle servers in DomainB heb geinstalleerd). Iemand kreeg dezelfde melding nadat hij SP4 had geinstalleerd. Ik denk dat ik een downgrade ga doen van SP4 naar SP3.

Mutsje... helaas geen event 676. Ik denk dat ik het moet zoeken in de EventID die ik boven heb beschreven.

Ja het probleem is dat het in de machine policy ingesteld staat. De servers van DomainA zitten nog op SP3 en hier hangen de clients. -> heb hier dus geen GPO met de loopback optie en Cross-forest instelling.
Ik heb zojuist SP4 van alle GC's in DomainB gedeinstalleerd. Ga nu ff testen wat het resultaat is. I'll let you know...Thanx....

---------------------------

Nou het werkt dus NIET. Heb een client meerdere keren herstart. De server gedowngrade naar SP3 en de clients naar SP4. Geen resultaat.
I'm lost.... Ga nu maar een andere zijstraat in en dat is de werkstations omzetten naar DomainB. Man... 160-200 clients omzetten in m'n eentje.... ff kijken of ik geen helpdeskmedewerkertje kan sturen.............

---------------------------
We zijn vandaag begonnen met het omzetten van de clients. Niet echt een mooie oplossing, maar noodzakelijk. Het is idd de trust relatie die het probleem gaf. Het ticket die Kerberos uitgeeft om over de trust relatie heen te gaan, wordt verkeerd afgegeven. Oplossing is er helaas niet, behalve dan alles in 1 keer te migreren.

[ Voor 61% gewijzigd door Verwijderd op 09-10-2003 11:15 ]