Verhindern das ein Server der einen alten Prüfpunkt benutzt, die Vertrauensstellung zur Domäne verliert

tamelon
Goto Top
Hallo,

wir betreuen einen Kunden der zu Testzwecken einen virtuellen Server in einer Hyper-V Umgebung nutzt, auf dem diverse Software (Datenbanken - MSSQL und Oracle) getestet wird. Damit immer die gleiche Umgebung zur Verfügung steht, haben wir den Server installiert, einen Prüfpunkt erstellt und auf dem Desktop des Hyper-V Hosts eine Batchdatei abgelegt, die auf Knopfdruck den Server wieder auf den Prüfpunkt zurücksetzt. Das funktioniert auch so einwandfrei.

Nun kommt aber das Problem: Der Server muss auch Domänenmitglied sein. Wenn der Prüfpunkt aber ein bestimmtest Alter erreicht, kommt bei der Anmeldung am Server: "Die Vertrauensstellung zwischen Server und Domäne konnte nicht wiederhergestellt werden." (nicht unbedingt der genaue Wortlaut aus dem Gedächtnis aufgeschrieben). Wie man das behebt ist auch klar, mit lokalem Konto anmelden, Server aus der Domäne werfen und neu hinzufügen. Funktioniert auch problemlos.

Frage ist nun: Kann ich irgendwie verhindern das dieses Domänenproblem auftritt? Gibt es evtl eine Policy wo ich Ausnahmen definieren kann wie lange ein Server "weg" sein darf?

Googlen nach dieser frage war leider wenig erfolgreich, da ich immer nur Themen finde die Beschreiben wie man das Vertrauensstellungsproblem behebt. Und das weis ich ja.

Vielen Dank soweit.

MfG

Tamelon

Content-Key: 1057639787

Url: https://administrator.de/contentid/1057639787

Ausgedruckt am: 04.07.2022 um 04:07 Uhr

Mitglied: chgorges
chgorges 20.07.2021 um 10:49:04 Uhr
Goto Top
Moin,

per Default wird alle 30 Tage das Computerkontokennwort geändert https://docs.microsoft.com/de-de/windows/security/threat-protection/secu ...

VG
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 20.07.2021 um 11:09:48 Uhr
Goto Top
Mitglied: Franz-Josef-II
Franz-Josef-II 20.07.2021 um 11:25:04 Uhr
Goto Top
Servas

Frage: Alle wieviel Tage wird denn der Server zurückgesetzt?

Mögliche Lösung: Server aus der Domäne und ein
oder (Powershell)
in den Autostart

.... oder "raus und rein" mit einem Script.
Mitglied: 148656
148656 20.07.2021 um 12:46:39 Uhr
Goto Top
Moin Tamelon,

Datenbankserver mit einem Prüfpunkt laufen zu lassen, ist eine recht unsaubere Arbeitsweise.
Gerade wenn Performancewerte ermittelt werden sollen, kann man diese Tests unter Ulk verbuchen.
Das "Delta" der VHD wächst und wächst. Und das hat negative Auswirkungen.
Wenn ihr etwas Skripten wollt, dann die automatisierte Bereitstellung einer Testumgebung.

Gruß
C.C.
Mitglied: emeriks
emeriks 20.07.2021 aktualisiert um 13:51:16 Uhr
Goto Top
Hi,
eine vollständige, unabhängige Test-Umgebung einrichten?
1x DC
1x Testserver
Wenn, dann beide VMs zurücksetzen.

E,
Mitglied: canlot
canlot 20.07.2021 um 17:49:25 Uhr
Goto Top
Es reicht auch ein Reset-ComputerMachinePassword aus, vorausgesetzt man ist mit dem richtigen Benutzer drauf.
Ansonsten Reset-ComputerMachinePassword -Credential (Get-Credential).

Da muss der Computer nicht vorher gelöscht werden.
Mitglied: MysticFoxDE
MysticFoxDE 20.07.2021, aktualisiert am 21.07.2021 um 00:03:37 Uhr
Goto Top
Moin Tamelon,

Frage ist nun: Kann ich irgendwie verhindern das dieses Domänenproblem auftritt? Gibt es evtl eine Policy wo ich Ausnahmen definieren kann wie lange ein Server "weg" sein darf?

Klar, einfach auf ALLEN entsprechenden DC's die folgende Einstellung nach Gusto anpassen.
lokale sicherheitsrichtlinie

!!! Mach das aus Sicherheitsgründen aber bitte nur auf DC's die sich in einer Testumgebung und nicht in einer produktiven Domäne befinden. !!!

Beste Grüsse aus BaWü

Alex