24
nach einer Workstation Systemimage wiederherstellenung ist der PC aus der Domäne ausgeloggt (zeigt die Domäne jedoch zur Auswahl an)
Nach einer Systemwiederherstellung ist die Workstation aus der Domäne raus (das Anmelden ist nicht möglich)
Wir haben folgendes Problem mit einem Systembackup (True Image oder Drive Image) und einer Windows NT4
Domäne:
Wenn ich meine Workstation sichere (Datum: 30.11.2004) und dieses
Image z.B. heute wiederherstelle, komme ich nicht mehr in die Domäne
rein. Er zeigt mir beim Windows XP / oder Windows 2000 den
Anmeldebildschirm unsere Domäne an, ein Anmelden an dieser ist
jedoch nicht möglich.
Ich habe nun mehrere Versuche gemacht, um dieses "Problem"
einzugrenzen. Vorneweg, es hängt nicht direkt mit True Image
zusammen, auch andere Backup-Lösungen haben dieses Problem (auch
getestet mit Drive Image 5)
Wenn ich während der Wiederherstellung das Netzwerkkabel am PC
ziehe, nach der Wiederherstellung mich am PC anmelde (Netzwerkkabel
noch immer abgezogen) komme ich 1x in die Domäne rein.
Ist während der Wiederherstellung das Netzwerkkabel angeschlossen,
so bin ich beim ersten Versuch (Neustart nach der Wiederherstellung)
mich anzumelden sofort "ausgeloggt". Ich komme erst wieder in die
Domäne, wenn ich in eine Arbeitsgruppe gehe und danach mich über
den Administrator neu in die Domäne am lokalen PC eintragen lasse.
Meine Vermutung ist, dass es mit einer speziellen ID, welche zeitlich
begrenzt ist, zusammenhängt. Erstelle ich heute ein Image und stelle es
morgen wieder her, habe ich dieses Problem nicht. Der Versuch, die
Session ID zu ändern (Winternals hat hier ein schönes Tool) und mich
dann anzumelden hat auch nicht funktioniert.
Der Versuch, das Image unter dem lokalen Account "Administrator" zu
erstellen, hat auch nicht geholfen.
Es muss vermutlich eine ID auf dem Domänecontroller mit dem PC
abgeglichen werden und wenn diese auf dem PC zu "alt" ist, wird der PC
aus der Domäne (lokal) ausgetragen.
Wie kann ich dieses "Ausloggen" aus der Domäne verhindern?
Domäne:
Wenn ich meine Workstation sichere (Datum: 30.11.2004) und dieses
Image z.B. heute wiederherstelle, komme ich nicht mehr in die Domäne
rein. Er zeigt mir beim Windows XP / oder Windows 2000 den
Anmeldebildschirm unsere Domäne an, ein Anmelden an dieser ist
jedoch nicht möglich.
Ich habe nun mehrere Versuche gemacht, um dieses "Problem"
einzugrenzen. Vorneweg, es hängt nicht direkt mit True Image
zusammen, auch andere Backup-Lösungen haben dieses Problem (auch
getestet mit Drive Image 5)
Wenn ich während der Wiederherstellung das Netzwerkkabel am PC
ziehe, nach der Wiederherstellung mich am PC anmelde (Netzwerkkabel
noch immer abgezogen) komme ich 1x in die Domäne rein.
Ist während der Wiederherstellung das Netzwerkkabel angeschlossen,
so bin ich beim ersten Versuch (Neustart nach der Wiederherstellung)
mich anzumelden sofort "ausgeloggt". Ich komme erst wieder in die
Domäne, wenn ich in eine Arbeitsgruppe gehe und danach mich über
den Administrator neu in die Domäne am lokalen PC eintragen lasse.
Meine Vermutung ist, dass es mit einer speziellen ID, welche zeitlich
begrenzt ist, zusammenhängt. Erstelle ich heute ein Image und stelle es
morgen wieder her, habe ich dieses Problem nicht. Der Versuch, die
Session ID zu ändern (Winternals hat hier ein schönes Tool) und mich
dann anzumelden hat auch nicht funktioniert.
Der Versuch, das Image unter dem lokalen Account "Administrator" zu
erstellen, hat auch nicht geholfen.
Es muss vermutlich eine ID auf dem Domänecontroller mit dem PC
abgeglichen werden und wenn diese auf dem PC zu "alt" ist, wird der PC
aus der Domäne (lokal) ausgetragen.
Wie kann ich dieses "Ausloggen" aus der Domäne verhindern?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5504
Url: https://administrator.de/contentid/5504
Printed on: April 18, 2024 at 10:04 o'clock
24 Comments
Latest comment
Dein Problem beruht auf der Domänen-SID für Deinen Computer, die meiner Meinung nach alle sieben Tage geändert wird. Ein Weg, wie man ohne den Schritt über die Arbeitsgruppe diesen Rechner wieder in die Domäne nehmen kann kenne ich leider nicht ...
Gruß
Atti
Gruß
Atti
Hmm, soweit ich gehört habe liegt das an einem Passwort was Windows unbenmerkt mitzieht und regelmässig ändert.
Zumindest in einer 2003 Domäne soll man durch zurücksetzen des Computerconto das Problem beheben können. Habs aber noch nicht testen können und in unserer 2000 Domäne hier hats nicht funktioniert.
Zumindest in einer 2003 Domäne soll man durch zurücksetzen des Computerconto das Problem beheben können. Habs aber noch nicht testen können und in unserer 2000 Domäne hier hats nicht funktioniert.
... Du meinst, damit hätte das "Zurücksetzen eines Computerkontos" endlich einen Sinn bekommen - bisher hat man der Computer ja nur aus der Domäne herausgeworfen 
...
Gruß
Atti
...Gruß
Atti
Microsoft behauptet es mal zumindest und fragt es sogar in seinen Prüfungen ab.. LOL
Ich denke, das Problem liegt nicht bei der Domäne, sondern bei PC Image-Wiederherstellung.
Beispiel: wir haben 14 neuen GLEICHEN PC gekauft. Ein PC habe ich vollständigt eingerichtet: Betriebssystem (2000 Pro), Office, Anwenderprogramme, Anbindung an der Domäne etc.. Danach image gezogen und auf die restlichen 13 PC übertragen. Bei diesen restlichen lief alles, außer Domäne-Anmeldung.
Dafür gibt es ein Programm SYSPREP.EXE, zufinden auf Windows Installations CD in Deployd.cap. Gültige Lizenz und die Eingabe von Key Cods sind Voraussetzungen.
Gruß
Sascha15
Beispiel: wir haben 14 neuen GLEICHEN PC gekauft. Ein PC habe ich vollständigt eingerichtet: Betriebssystem (2000 Pro), Office, Anwenderprogramme, Anbindung an der Domäne etc.. Danach image gezogen und auf die restlichen 13 PC übertragen. Bei diesen restlichen lief alles, außer Domäne-Anmeldung.
Dafür gibt es ein Programm SYSPREP.EXE, zufinden auf Windows Installations CD in Deployd.cap. Gültige Lizenz und die Eingabe von Key Cods sind Voraussetzungen.
Gruß
Sascha15
Du hattest ein anderes Problem.
sysprep ändert u.a. die SID des Rechners, die für jeden Rechner einmalig sein sollte.
sysprep ändert u.a. die SID des Rechners, die für jeden Rechner einmalig sein sollte.
... na ja, wie ich an anderer Stelle hier schon geschrieben habe, hättest Du den Ursprungs-PC nicht in die Domäne genommen, bevor Du das Image gezogen hast, wäre Dir das Einsetzen von "sysprep erspart geblieben ...
Gruß
Atti.
Gruß
Atti.
... zusammengefasst: 1. Image aufspielen (20min) 2. SYSPREP.EXE (15min - wird bei JEDEM Image-Aufspielung empfohlen!) 3.Domäneanbindung (5min.). Was braucht man denn noch?
Gruß
Sascha15
Gruß
Sascha15
Nein, die Reihenfolge ist falsch:
1. Muster-PC komplett fertig machen
2. "Sysprep" anwenden
3. Image ziehen
4. Image auf neue Rechner zurück spielen
Gruß
Atti
1. Muster-PC komplett fertig machen
2. "Sysprep" anwenden
3. Image ziehen
4. Image auf neue Rechner zurück spielen
Gruß
Atti
Wieso?
1."Muster-PC komplekt fertig machen" - braucht man ja weder SYSPREP noch was anders - PC ist ja eben "komplekt fertig".
2. Image von o.g. PC ziehen und auf neuen PC zurückspielen.
Hier und nur hier (also NUR auf diesen zweiten, neuen PC!) entstehen die Probleme mit SID, die mit SYSPREP beseitigen kann. Also
3. SYSPREP auf neuen Rechner anwenden.
Gruß
Sascha15
1."Muster-PC komplekt fertig machen" - braucht man ja weder SYSPREP noch was anders - PC ist ja eben "komplekt fertig".
2. Image von o.g. PC ziehen und auf neuen PC zurückspielen.
Hier und nur hier (also NUR auf diesen zweiten, neuen PC!) entstehen die Probleme mit SID, die mit SYSPREP beseitigen kann. Also
3. SYSPREP auf neuen Rechner anwenden.
Gruß
Sascha15
... eben, und mit der Anwendung von SysPrep auf das Original vor dem Erstellen des Images werden diese Probleme mit der SID unterbunden ...
Gruß
Atti
Gruß
Atti
noch mal zur Ergänzung: durch Image-Handlung wird "original" SID von ersten auf zweiten PC übernommen. Daher SYSPREP auf letzten, zweiten PC durchziehen lassen, um ein eigenes, autorisierten SID zu generieren.
Sascha15
Sascha15
Auszug aus "Symantec Ghost?, Implementation Guide", Seite 129:
"4 On the Sysprep tab, click Run Microsoft Sysprep on this machine
before dumping the image.
Gruß
Atti
"4 On the Sysprep tab, click Run Microsoft Sysprep on this machine
before dumping the image.
Gruß
Atti
Wir reden über das selber, aber von verschiedenen Seiten:
Du wilst von vornerein ein "rohren", ohne SID, Image erstellen und den dann weiter auf PCs verteilen. Ich möchte, wie in unseren Fall, ein Image von "lebendigen", funktionierenden PC ziehen und erst bei neuen, gleichem, zweiten PC den neuen SID generieren. Das Ergebniss zum Schluß ist GLEICHE. Das ganze kommt auf die Situation an. Warum soll ich mein ersten PC durch SYSPREP "versauen"?
Gruß
Sascha15
Du wilst von vornerein ein "rohren", ohne SID, Image erstellen und den dann weiter auf PCs verteilen. Ich möchte, wie in unseren Fall, ein Image von "lebendigen", funktionierenden PC ziehen und erst bei neuen, gleichem, zweiten PC den neuen SID generieren. Das Ergebniss zum Schluß ist GLEICHE. Das ganze kommt auf die Situation an. Warum soll ich mein ersten PC durch SYSPREP "versauen"?
Gruß
Sascha15
... Du hast einen "Zeitplan" aufgestellt, der bei jedem zu installierenden Client 15 min für "SysPrep" ansetzt - das macht bei 14 Clients mal locker 3.5 Stunden Aufwand den Du Dir mit meiner Variante gespart hättest,
Gruß
Atti
PS: Du hättest ja das Original vor Sysprep clonen können ... na ja, egal nun ...
Gruß
Atti
PS: Du hättest ja das Original vor Sysprep clonen können ... na ja, egal nun
...
...gebe ich zu: das war ein bischen unglücklichen Beispiel.
Aber kehren wir uns zurück zur Ursprungsfrage: Sicherungs-Image ziehen und dann wieder auf den selben PC einspielen. (also keine klassische Software-Verteilung mit syspref.inf etc.).
Wofür, zum Teufel, soll ich vor diese Sicherung ein SYSPREP durchführen?
Das mache ich nur einmal nach den Image-Wiedereinspielung, um ein aktuellen SID zu generieren. Denn bei Rücksicherung über Image-Software, obwohl um den selben Rechner handelt, klappt mit den alten SID nicht immer alles so gut. (Bill Gate mit seine Lizenz-Manie lässt grüssen).
Gruss
Sascha15
Aber kehren wir uns zurück zur Ursprungsfrage: Sicherungs-Image ziehen und dann wieder auf den selben PC einspielen. (also keine klassische Software-Verteilung mit syspref.inf etc.).
Wofür, zum Teufel, soll ich vor diese Sicherung ein SYSPREP durchführen?
Das mache ich nur einmal nach den Image-Wiedereinspielung, um ein aktuellen SID zu generieren. Denn bei Rücksicherung über Image-Software, obwohl um den selben Rechner handelt, klappt mit den alten SID nicht immer alles so gut. (Bill Gate mit seine Lizenz-Manie lässt grüssen).
Gruss
Sascha15
... deswegen ja mein Vorschlag, den PC komplett ferig zu machen ohne ihn in die Domäne zu heben, bevor man das Image zieht - dann gibt's gar keine SID-Konflikte, wenn man den Rechner wiederhergestellt hat, egal ob ihn selber oder den zehten Clone - man muss ihn halt nur noch (ggf. nach der Namensvergage) in die Domäne heben,
Gruß
Atti
Gruß
Atti
...klar. Eine saubere Erst-Lösung.
Also, wenn ich Dein letzten Vorschlag für Pat richtig verstanden habe:
im Zukunft soll er bei diesen Workstation-Sicherungen über Image folgendes machen: PC weg aus der Domäne> Sicherungsimage erstellen> Pc wieder in der Domäne. Denn dann bei Wiederherstellung des PC von diesen Image gibts keine SID-Konflikte, kein SYSPREP... (natürlich vorausgesetzt - wir wollen kein Usprungszustand diesen PC widerherstellen, sondern sein Zustand zum Zeitpunkt der vorherige Imagesicherung).
Gruß
Sascha15
Also, wenn ich Dein letzten Vorschlag für Pat richtig verstanden habe:
im Zukunft soll er bei diesen Workstation-Sicherungen über Image folgendes machen: PC weg aus der Domäne> Sicherungsimage erstellen> Pc wieder in der Domäne. Denn dann bei Wiederherstellung des PC von diesen Image gibts keine SID-Konflikte, kein SYSPREP... (natürlich vorausgesetzt - wir wollen kein Usprungszustand diesen PC widerherstellen, sondern sein Zustand zum Zeitpunkt der vorherige Imagesicherung).
Gruß
Sascha15
... drücke ich mich so sch... aus heute ... Der PC darf nie Mitglied der Domäne gewesen sein, wenn man das Image zieht, dann gibt es keine Probleme auch ohne "SysPrep",
Gruß
Atti
... Der PC darf nie Mitglied der Domäne gewesen sein, wenn man das Image zieht, dann gibt es keine Probleme auch ohne "SysPrep",Gruß
Atti
ist schon O.K.
So zur Info,
ich möchte NICHT Sysrep benutzen!
Jetzt ist jedenfalls ein Monat vergangen, und mein Problem sieht noch folgend aus:
mit Winternals WsgetSID Tool habe ich meine Lokale SID und meine Domöne SID wöchentlich abgerufen um zu sehen, ob sich diese ändert. Da dies nicht der Fall war, habe ich letzte Woche mein Image wiederhergestellt (die letzten 3 Wochen hat es funktioniert!) Diese mal jedoch nicht. Also habe ich die SAM und die SYSTEM Datei mit den alten SID's gesichert (mit der SID, wo ich aus der Domäne rausgeflogen bin) und habe mich neu mit dem Admin hier in die Domäne eintragen lassen. Jetzt dachte ich, muss meine SID theoretisch anderst sein. (die SID wird laut recherche im I-Net in der SAM Datei gesichert. Die SID ist jedoch NICHT anderst als die, bei der ich NICHT in die Domäne kam. Folglich ist es entweder eine Versteckte SID, die man nicht lokal "backupen" kann bzw. nicht "sehen" kann oder es wird irgendwie total anderst gemacht.
ich möchte NICHT Sysrep benutzen!
Jetzt ist jedenfalls ein Monat vergangen, und mein Problem sieht noch folgend aus:
mit Winternals WsgetSID Tool habe ich meine Lokale SID und meine Domöne SID wöchentlich abgerufen um zu sehen, ob sich diese ändert. Da dies nicht der Fall war, habe ich letzte Woche mein Image wiederhergestellt (die letzten 3 Wochen hat es funktioniert!) Diese mal jedoch nicht. Also habe ich die SAM und die SYSTEM Datei mit den alten SID's gesichert (mit der SID, wo ich aus der Domäne rausgeflogen bin) und habe mich neu mit dem Admin hier in die Domäne eintragen lassen. Jetzt dachte ich, muss meine SID theoretisch anderst sein. (die SID wird laut recherche im I-Net in der SAM Datei gesichert. Die SID ist jedoch NICHT anderst als die, bei der ich NICHT in die Domäne kam. Folglich ist es entweder eine Versteckte SID, die man nicht lokal "backupen" kann bzw. nicht "sehen" kann oder es wird irgendwie total anderst gemacht.
hallo, pat
ich denke, Dir kann ja niemand verbieten, mit Hilfe von Dritte - Tools mit Bil Gate anzulegen.
Mehr dazu: http://support.microsoft.com/default.aspx?scid=kb;de;314828
MfG
Sascha
ich denke, Dir kann ja niemand verbieten, mit Hilfe von Dritte - Tools mit Bil Gate anzulegen.
Mehr dazu: http://support.microsoft.com/default.aspx?scid=kb;de;314828
MfG
Sascha
Hallo allerseits,
Auf der Suche nach einer Antwort fuer oben beschriebenes Problem bin ich auch hier gelandet. Soweit habe ich die gleichen Erfahrungen gemacht und die gleichen Erkenntnisse erhalten bei meinem Probieren wie oben in versch. Antworten erklaert.
Mein Problem ist im Prinzip das Gleiche, nur muss ich eine Moeglichkeit finden, ein Image (welches zuvor an die Domaene gehaengt war), auch nach laengerer Zeit zurueckzuspielen, ohne den Rechner gleich wieder an die Domaene haengen zu muessen.
Grund: Wir haben fuer Kundenschulungen einen Schulungsraum mit vorinstallierten PCs die an einer Domaene haengen. Damit wir nach jeder Schulung wieder reinen Tisch machen koennen, spielen wir jeweils das Image wieder zurueck. Dies ist sehr praktisch und spart enorm Zeit. Zudem kann davon ausgegangen werden, dass das System fehlerfrei ist, waere da nicht dieses Problem mit der Domaene. Es ist ziemlich muehsam jedesmal wenn wir das Image zurueckspielen den Administrator zu rufen, nur um alle PCs wieder ans Netz zu haengen.
Soweit zu meinem Problem. Frage in die Runde: Hat jemand mittlerweile eine Loesung, damit auch aeltere Images noch an der Domain laufen, z.B. durch eine Einstellung beim Domaenencontroller o.ä.? Ich koennte mir vorstellen, dass es da evt. fuer jeden Rechner in der Domaene eine Einstellung gibt wie z.B. 'SID never expires'.
Bin gespannt auf den Feedback
Gruss Dani
Auf der Suche nach einer Antwort fuer oben beschriebenes Problem bin ich auch hier gelandet. Soweit habe ich die gleichen Erfahrungen gemacht und die gleichen Erkenntnisse erhalten bei meinem Probieren wie oben in versch. Antworten erklaert.
Mein Problem ist im Prinzip das Gleiche, nur muss ich eine Moeglichkeit finden, ein Image (welches zuvor an die Domaene gehaengt war), auch nach laengerer Zeit zurueckzuspielen, ohne den Rechner gleich wieder an die Domaene haengen zu muessen.
Grund: Wir haben fuer Kundenschulungen einen Schulungsraum mit vorinstallierten PCs die an einer Domaene haengen. Damit wir nach jeder Schulung wieder reinen Tisch machen koennen, spielen wir jeweils das Image wieder zurueck. Dies ist sehr praktisch und spart enorm Zeit. Zudem kann davon ausgegangen werden, dass das System fehlerfrei ist, waere da nicht dieses Problem mit der Domaene. Es ist ziemlich muehsam jedesmal wenn wir das Image zurueckspielen den Administrator zu rufen, nur um alle PCs wieder ans Netz zu haengen.
Soweit zu meinem Problem. Frage in die Runde: Hat jemand mittlerweile eine Loesung, damit auch aeltere Images noch an der Domain laufen, z.B. durch eine Einstellung beim Domaenencontroller o.ä.? Ich koennte mir vorstellen, dass es da evt. fuer jeden Rechner in der Domaene eine Einstellung gibt wie z.B. 'SID never expires'.
Bin gespannt auf den Feedback
Gruss Dani
es muß doch dafür einem Reg-Key geben, da ja in bestimmten Intervallen der ( irgendein ) Key geändert wird. Kann das hier damit zusammen hängen ?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000001
"maximumpasswordage"=dword:0000001e
"requiresignorseal"=dword:00000001
"requirestrongkey"=dword:00000000
"sealsecurechannel"=dword:00000001
"signsecurechannel"=dword:00000001
"Update"="no"
Das Dömänenkonto des Clients holt sich doch Intervallweise immer eine andere Sicherheitskennung, womit Images aus Mitgliedschaften eines Clients an einer Domäne nach ca. 4 Monaten sich nicht mehr anmelden können, weil das Image eine alte Kennung hat ( was nicht die SID sein kann ? ).
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000001
"maximumpasswordage"=dword:0000001e
"requiresignorseal"=dword:00000001
"requirestrongkey"=dword:00000000
"sealsecurechannel"=dword:00000001
"signsecurechannel"=dword:00000001
"Update"="no"
Das Dömänenkonto des Clients holt sich doch Intervallweise immer eine andere Sicherheitskennung, womit Images aus Mitgliedschaften eines Clients an einer Domäne nach ca. 4 Monaten sich nicht mehr anmelden können, weil das Image eine alte Kennung hat ( was nicht die SID sein kann ? ).
