8
Computer Accounts werden ungültig
Hallo zusammen,
vielleicht kann mir jemand weiterhelfen, hat ja bis jetzt immer gut geklappt.
Folgendes Problem:
Wir haben virtuelle Terminalserver unter VMware. Jeden Montag wird ein 1 woche zurückliegender Snaptshot automatisiert wiederhergestellt (PowerCLI).
Die Server fahren dann automatisch hoch, laufen 5 Minuten und fahren wieder automatisch runter. Anschließend wird ein neuer frischer Snaptshot erzeugt (das ist der oeben angesprochene Snapshot der 1 Woche alt ist) und dann fahren die Server wieder hoch.
Ich dachte eigentlich, so könnte ich das Problem vermeiden, daß das Computerkonto in der Domäne ungültig wird.
Jetzt hat es sich aber herausgestellt, daß das Computerkonto nach 3-4 Wochen trotzdem ungültig ist und die Server neu in die Domäne gehoben werden müssen.
Woran liegt es, reichen die 5 Minuten nicht aus um sich im AD abzugleichen ? Oder müßte sich in diesen 5 Minuten der Administrator anmelden (hoffentlich nicht) oder gibt es einfach einen Befehl den ich per Aufgabenplanung ausführen kann, damit das AD Konto wieder aktualisiert wird (danach würde ich die Server herunterfahren und einen frischen Snapshot erstellen und hätte das Problem gefixt).
Vielen Dank für Euere Hilfe
Viele Grüße
Stefan
vielleicht kann mir jemand weiterhelfen, hat ja bis jetzt immer gut geklappt.
Folgendes Problem:
Wir haben virtuelle Terminalserver unter VMware. Jeden Montag wird ein 1 woche zurückliegender Snaptshot automatisiert wiederhergestellt (PowerCLI).
Die Server fahren dann automatisch hoch, laufen 5 Minuten und fahren wieder automatisch runter. Anschließend wird ein neuer frischer Snaptshot erzeugt (das ist der oeben angesprochene Snapshot der 1 Woche alt ist) und dann fahren die Server wieder hoch.
Ich dachte eigentlich, so könnte ich das Problem vermeiden, daß das Computerkonto in der Domäne ungültig wird.
Jetzt hat es sich aber herausgestellt, daß das Computerkonto nach 3-4 Wochen trotzdem ungültig ist und die Server neu in die Domäne gehoben werden müssen.
Woran liegt es, reichen die 5 Minuten nicht aus um sich im AD abzugleichen ? Oder müßte sich in diesen 5 Minuten der Administrator anmelden (hoffentlich nicht) oder gibt es einfach einen Befehl den ich per Aufgabenplanung ausführen kann, damit das AD Konto wieder aktualisiert wird (danach würde ich die Server herunterfahren und einen frischen Snapshot erstellen und hätte das Problem gefixt).
Vielen Dank für Euere Hilfe
Viele Grüße
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215318
Url: https://administrator.de/contentid/215318
Ausgedruckt am: 05.11.2024 um 06:11 Uhr
8 Kommentare
Neuester Kommentar
Die Frage ist: WARUM stellt ihr den vTS wieder her?habt ihr darauf eine Demoversion einer Software, die ihr nicht kaufen wollt oder weshalb?
Ansonsten wird dieses recovern und backupen wohl den SSID Vergleich mit dem AD zerstören.
Ansonsten wird dieses recovern und backupen wohl den SSID Vergleich mit dem AD zerstören.
Wieso sollte das das Problem vermeiden?
Wenn er in der Woche ein neues Computerkennwort bekommt und Du es zurücksetzt, dann stimmen die nicht mehr überein und man kommt nicht mehr in die Domäne.
Man kann aber dfür sorgen, daß es keine neuen Computerkennwörter gibt:
HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters DisablePasswordChange REG_DWORD 1
Wenn er in der Woche ein neues Computerkennwort bekommt und Du es zurücksetzt, dann stimmen die nicht mehr überein und man kommt nicht mehr in die Domäne.
Man kann aber dfür sorgen, daß es keine neuen Computerkennwörter gibt:
HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters DisablePasswordChange REG_DWORD 1
Moin.
Du verstehst etwas falsch. Beim Anmelden am AD wird kein Konto "aktualisiert". Dies geschieht alle 30 Tage (genauer: das Kennwort des Computerkontos wird dann zwischen DC und Client neu ausgehandelt), ist man nach 30 Tagen gerade nicht mit dem AD verbunden geschieht es bei der nächsten Verbindung. Somit ist Deine Maßnahme wertlos.
Um Dein Problem zu lösen, forciere vor jedem Image einen Computerkennwortreset, somit kannst Du das Image dann 30 Tage benutzen. Geht so:
Du verstehst etwas falsch. Beim Anmelden am AD wird kein Konto "aktualisiert". Dies geschieht alle 30 Tage (genauer: das Kennwort des Computerkontos wird dann zwischen DC und Client neu ausgehandelt), ist man nach 30 Tagen gerade nicht mit dem AD verbunden geschieht es bei der nächsten Verbindung. Somit ist Deine Maßnahme wertlos.
Um Dein Problem zu lösen, forciere vor jedem Image einen Computerkennwortreset, somit kannst Du das Image dann 30 Tage benutzen. Geht so:
nltest.exe /sc_change_pwd:deineDomain.de
2
Damit die vTS "sauber" bleiben und nicht von den surfenden Usern zerstört wird 
ist ess ratsam, es so zu machen ?
Hey danke. Das ist ein sehr guter Tip von Dir. Das ist auf jeden Fall der richtige Weg. Kannst Du mir noch den Tip geben, wie ich das Commando remote absetzen kann, will es nicht per Aufgabenplanung auf jedem Server laufen lassen, sondern Zentral von einem Server alle bedienen...
Danke
Danke
mit psexec hab ich es, aber gehts auch irgendwie anders ?
Ich würde den zentralen Gedanken soweit "ausleben", als dass ich einen Task pewr GPO deployen würde.
