none
Löschen von Computerkonten, Probleme beim Domain-Join

    Frage

  • Hallo zusammen,

    Erst einmal zum Umfeld, wir haben verschiedene Standorte (weltweit), an denen teilweise DCs zum Einsatz kommen.
    Um das Ganze zu vereinfachen, sagen wir einfach mal:

    DC01 = Hauptstandort
    DC02 = Hauptstandort
    DC03 = Niederlassung

    Die Intersite Replikation erfolgt alle 60 Min, teilweise auch später.

    Gibt es nun Rechner, die längere Zeit nicht am Netz waren, so ist es bei uns gängige
    Praxis, dass der jeweilige Admin den Rechner in eine Arbeitsgruppe nimmt, anschließend das Computerkonto löscht
    und anschließend den Computer wieder der Domäne hinzufügt.

    Nun zum Problem.
    Bekanntlich werden Objekte im AD ja nicht direkt gelöscht, sondern nur als "deleted" gekennzeichnet.

    Laut netsetup.log (habe leider gerade kein passendes da) scheint es so, dass der Client beim Join zuerst alle DCs abklappert, um ggf. ein noch vorhandenes Konto zu finden. (obwohl natürlich Sites im AD angelegt sind).

    Was im Endeffekt passiert, er findet ein Konto auf DC03 und verwendet dieses.
    Soweit so gut, es funktioniert.

    Beim nächsten Replikationszyklus jetzt das Problem:
    DC03 erhält die Information dass das Konto für Client01 gelöscht wurde und markiert es als "deleted".

    Beim nächsten Start des Client kann dieser sich nicht mehr anmelden.

    Nun also zu meinen Fragen:

    1. Ist diese Vorgehensweise nicht schon von Vorneherein falsch, sollte man nicht einfach das vorhandene Konto benutzen?
    2. Ist es normal, dass der Client wirklich auch an anderen DCs außerhalb seiner Site nach vorhandenen Konten (beim Domain-Join) sucht?
    3. Wie schaut es mit der Löschung des Kontos aus, wenn der Client seine SID ändert?
    (Beispiel alter Rechner (Client01) wird durch neue Hardware ersetzt, dieser wird in Client01 umbenannt. Vorher wurde ebenfalls das Konto gelöscht)

     



    Sonntag, 9. Oktober 2011 12:05

Antworten

  • Hallo Matthias,

    mal schauen, ob ich Dir mit meiner Meinung zu dem Thema helfen kann.

    Nun zu den Fragen:

    1. Ich würde einfach das bereits bestehende Konto (Reset computer Account) nutzen um mir die entsprechende Arbeit zu sparen (geringster Aufwand für den lokalen Admin), aber warum wird der Rechner überhaupt aus der Domäne entfernt und wieder hinzugefügt?

    Wenn der Grund darin liegt, dass der Zeitraum für den Kennwortwechsel des Computeraccounts überschritten wurde, so ist dieses unnötig. Die Änderung des Passworts wird durch den PC initialisiert, sobald die Verbindung zwischen PC und Domäne gewährleitet ist. (http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx)

    2. Sofern der Client nichts über seine Site weiß, ist es gut möglich, dass zum Domainjoin irgendein DC gewählt wird. Dieses wird bei Verwendung der GUI regelmäßig passieren, kann aber durch die Verwendung des Netdom Befehls umgangen werden, da dort die Möglichkeit besteht den gewünschten Domänencontroller mit anzugeben.(netdom join /d:<domain>\<DC>)

    3. Bei der Frage möchte ich Dich bitten, den Ablauf noch etwas genauer zu spezifizieren. Grundsätzlich ist es einfacher das Konto im AD zu resetten und dann den neuen Client mit dem gleichen Namen aufzunehmen.


    Martin Forch
    Sonntag, 9. Oktober 2011 14:25

Alle Antworten

  • Hallo Matthias,

    mal schauen, ob ich Dir mit meiner Meinung zu dem Thema helfen kann.

    Nun zu den Fragen:

    1. Ich würde einfach das bereits bestehende Konto (Reset computer Account) nutzen um mir die entsprechende Arbeit zu sparen (geringster Aufwand für den lokalen Admin), aber warum wird der Rechner überhaupt aus der Domäne entfernt und wieder hinzugefügt?

    Wenn der Grund darin liegt, dass der Zeitraum für den Kennwortwechsel des Computeraccounts überschritten wurde, so ist dieses unnötig. Die Änderung des Passworts wird durch den PC initialisiert, sobald die Verbindung zwischen PC und Domäne gewährleitet ist. (http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx)

    2. Sofern der Client nichts über seine Site weiß, ist es gut möglich, dass zum Domainjoin irgendein DC gewählt wird. Dieses wird bei Verwendung der GUI regelmäßig passieren, kann aber durch die Verwendung des Netdom Befehls umgangen werden, da dort die Möglichkeit besteht den gewünschten Domänencontroller mit anzugeben.(netdom join /d:<domain>\<DC>)

    3. Bei der Frage möchte ich Dich bitten, den Ablauf noch etwas genauer zu spezifizieren. Grundsätzlich ist es einfacher das Konto im AD zu resetten und dann den neuen Client mit dem gleichen Namen aufzunehmen.


    Martin Forch
    Sonntag, 9. Oktober 2011 14:25
  • Hallo Martin,

    deine Antwort bestätigt meine gedachte Vorgehensweise.

    Allerdings habe ich noch ein paar Fragen:

    >die Änderung des Passworts wird durch den PC initialisiert, sobald die Verbindung zwischen PC und Domäne gewährleitet ist

    Leider konnte ich unter dem Link keinen konkreten Befehl finden.

    Ich gehe davon aus, sobald der Secure Channel steht, kann ich am Client mittels netdom resetpwd das Kennwort zurücksetzen und
    erspare mir so das Herausnehmen aus der Domäne?

    Zur Frage 3:
    Es kommt hin und wieder vor, dass wir Hardware durch neue Hardware ersetzen, allerdings der Hostname gleich bleibt.

    Bisher war es so, das Computerkonto wurde vorher gelöscht.

    So wie ich das sehen, gibt es jedoch gar keinen Grund ein Konto zu löschen, außer es wird definitiv keinen Rechner mit diesem Hostnamen mehr geben.

    Sonntag, 9. Oktober 2011 19:40
  • Hallo,

    Du musst für die Änderung des Client Passworts auch nichts unternehmen, dass wird automatisch durch den Client initialisiert.

    "So if a computer is turned off for three months nothing expires. When the computer starts up, it will notice that its password is older than 30 days and will initiate action to change it. The Netlogon service on the client computer is responsible for doing this. This is only applicable if the machine is turned off for such a long time."

    Bei deiner Aussage zu deiner 3. Frage, kann ich Dich nur bestätigen, dass es nicht nötig ist das Computerkonto zu löschen, wenn es wieder einen Rechner mit dem gleichen Namen geben soll.


    Martin Forch
    Montag, 10. Oktober 2011 04:59
  • Hallo,

    vielen Dank für die Antworten.

    Ich habe noch einen schönen Blog gefunden, der das Verhalten ganz gut erklärt:

    http://blogs.technet.com/b/deds/archive/2009/01/23/wann-laeuft-ein-maschinenaccount-computerkonto-ab-gar-nicht.aspx


    Montag, 10. Oktober 2011 06:32
  • Hallo,

    immer wieder gerne.

    Ja, der Blogartikel auf dem deutschen AD Blog erklärt die Problematik wirklich gut.

    Gruß


    Martin Forch
    Montag, 10. Oktober 2011 06:39