Toon posts:

[WinNT] Broken Trust probleem*

Pagina: 1
Acties:

Verwijderd

Topicstarter
Situatie: Domein
Servers: NT
Clients: 2000 en XP

Voor een aantal portables ben ik op zoek naar een makkelijkere manier om Broken Trusts tegen te gaan.
Deze machines worden regelmatig ge-restaged met een bootable dvd met een algemene image, via powerquest Drive Image. na het plaasen van de image word SIDCHNGR gebruikt van Powerquest zelf om op basis van de naam van de portable de nodige wijzigingen te doen.
Natuurlijk kan je al raden dat de volgende keer dat ik wil inloggen op het domain dat ik met een broken trust zit. Het gegenereerde paswoord voor de trust tussen de computer account en de domein controllers zijn namelijk niet meer hetzelfde.

De enige werkende oplossing die ik totnu toe heb is het verwijderen en opnieuw joinen van het domein, waarbij een nieuwe trust wordt gegenereerd.
Dit is veel te omslachtig aangezien de meeste thuiswerkers natuurlijk geen account met de nodige rechten hiertoe hebben, en het gemak van een easy restore vervalt dus ook onmiddelijk.

Daar gaat dus het hele plan van een bootable dvd, met auto-restore script van een algemene image, waarna een sid-change gebeurd naar de juiste computernaam.
De enige en laatste oplossing die ik dan nog heb is dus voor elke portable apart een image te nemen en die stap zou ik liever vermijden.

KB 154501 volgen, en automatic machine account password changes uitschakelen is eveneens geen optie.

Dus de vraag: Nieuwe image deploy, gevolgd door een SID-change. Hoe kan ik de broken trust vermijden?

  • GGS_206
  • Registratie: Juli 2001
  • Niet online

GGS_206

Oranje!

offtopic:
Je topictitel voldoet niet helemaal aan de eisen :)

T.net ID. Bekijk het maar es eem..
‹(◕‿◕)›


Verwijderd

Topicstarter
Damn, was inderdaad bezig met bedenken van een topic en ben deze vergeten af te maken
Kan er iemand deze wijzigen?

[NT] Broken Trust probleem

Excuses van mijentwege

  • Predator
  • Registratie: Januari 2001
  • Laatst online: 24-02 11:46

Predator

Suffers from split brain

Verwijderd schreef op 08 October 2003 @ 13:59:
[NT] Broken Trust probleem
Excuses van mijentwege
Done :*

en NT -> PNS

Everybody lies | BFD rocks ! | PC-specs


  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 18:34
je zou een domainuser kunnen maken die alleen het recht heeft een machine in het domein te hangen. en via een batch job de actie laten starten.

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


Verwijderd

Topicstarter
Probleem is dat deze portables op 3 mogelijke manieren connectie maken met het netwerk:
1: Via RAS
2: Via Citrix
3: Rechtstreeks

En de batch zou dan zelf alleen mogen lopen na een restore. Ik heb geen idee hoe ik dat dat script ga kunnen wijsmaken.
Is er geen mogelijkheid een backup te nemen van alle gegevens mbt de SID, en deze terug te plaatsen na een restore? Net even Newsid gechecked, maar kwam ook niet in aanmerking.
Waren het nu nieuwe roll-outs zou sysprep of eventueel een combinatie met sysdiff nog in aanmerking kunnen komen, maar dat is dus niet het geval. Zeker al niet omdat er buiten het OS nog een goede 6GB aan extra benodigde software op staat.

Leuke vastloper, net aan het einde van de volledige testperiode die nogal intensief is geweest :-) Nu zit je daar met een methode dat ze in geval van problemen alleen maar hun restore-dvd erin moeten proppen en laten lopen, struikelen we hier over.

Zijn er desnoods andere voorstellen voor zo een emergency-restore systeem, zonder rekening te moeten houden met aparte configiraties? Want de portables zijn dus identiek qua software en data. Het enige verschil is dus de naam en het ip-adres.

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 18:34
Verwijderd schreef op 08 October 2003 @ 14:55:En de batch zou dan zelf alleen mogen lopen na een restore. Ik heb geen idee hoe ik dat dat script ga kunnen wijsmaken.
Gewoon een custom registry entry aanmaken of een file en de aanwezigheid controleren. vervolgens wijzigen na in het domein hangen.

De gebruiker kan je 1x handmatig de actie laten starten (procedureel oplossen)

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


Verwijderd

Topicstarter
Dan zullen we eens gaan testen :-)
Pagina: 1