none
mobile Notebookbenutzer, VPN und Computerkonten (Tombstone) RRS feed

  • Frage

  • Hallo,

    wir hatten jetzt das Problem mit einigen mobilen Mitarbeitern, dass deren Computerobjekte aus dem AD geflogen sind (Tombstone Zeit). Die Benutzer verbinden sich per Client VPN Verbindung und haben die Möglichkeit den Verbindungsaufbau vor der Anmeldung oder nach der Anmeldung (Cached Credentials) durchzuführen. Als Client Betriebssystem kommt Windows 7 zum Einsatz und als VPN Client wird der Windowseigene verwendet. Manche Mitarbeiter sind sehr lange nicht im Unternehmen und somit direkt im LAN, sodass das mit den 90 Tagen passen könnte.

    Meine Frage wäre jetzt Folgende:

    - müssen die Benutzer sich zwangsweise vor der Anmeldung per VPN verbinden damit die Tombstone Zeit nicht abläuft? Oder muss schon vor der Anmeldung wenn sich das Computerobjekt authentifiziert eine Verbindung bestehen? Dann wäre das "Problem" ja für die Benutzer die nur über den Weg arbeiten nicht zu lösen...ich hätte jetzt gedacht, dass sobald ein Computer Kontakt mit dem AD aufnimmt, "alles in Butter ist" und das auch während einer Benutzersitzung stattfinden kann.

     

    Gruß und Danke

    Manuel

    Montag, 22. November 2010 15:44

Antworten

  • Servus,

    > wir hatten jetzt das Problem mit einigen mobilen Mitarbeitern, dass deren Computerobjekte aus dem AD geflogen sind (Tombstone Zeit).

    du meinst mit der "Tombstone Zeit" die Tombstone Lifetime? Dann bist du auf dem falschen Weg.
    Denn die Tombstone Lifetime (TSL) gibt vor, wie lange ein gelöschtes Objekt noch in der Active Directory-Datenbank (NTDS.dit) gespeichert wird, bevor es vom Garbage Collection Prozess endgültig aus der AD-Datenbank entfernt wird.

    Siehe:

    [LDAP://Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
    http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx

    Die TSL trifft aber auf dein Szenario gar nicht zu.

    > müssen die Benutzer sich zwangsweise vor der Anmeldung per VPN verbinden damit die Tombstone Zeit nicht abläuft?

    Wie bereits geschreieben, du verwechselst das. Lies dir den o.g. Link durch, dann sollte es klarer werden.

    Prinzipiell ist es so, dass der Client ewig unterwegs sein kann und dabei sein Client *nicht* aus der Domäne fliegt (das wäre ja noch schöner).
    Die Ursache liegt wo anders. Wie wurden denn die Clients installiert, zufällig geimaget bzw. geclonet? Und wurde dabei SYSPREP angewendet?


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Dienstag, 23. November 2010 13:31
    Moderator

Alle Antworten

  • Sorry, falsches Forum. Bitte in Active Directory verschieben, Danke!
    Montag, 22. November 2010 16:57
  • Servus,

    > wir hatten jetzt das Problem mit einigen mobilen Mitarbeitern, dass deren Computerobjekte aus dem AD geflogen sind (Tombstone Zeit).

    du meinst mit der "Tombstone Zeit" die Tombstone Lifetime? Dann bist du auf dem falschen Weg.
    Denn die Tombstone Lifetime (TSL) gibt vor, wie lange ein gelöschtes Objekt noch in der Active Directory-Datenbank (NTDS.dit) gespeichert wird, bevor es vom Garbage Collection Prozess endgültig aus der AD-Datenbank entfernt wird.

    Siehe:

    [LDAP://Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
    http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx

    Die TSL trifft aber auf dein Szenario gar nicht zu.

    > müssen die Benutzer sich zwangsweise vor der Anmeldung per VPN verbinden damit die Tombstone Zeit nicht abläuft?

    Wie bereits geschreieben, du verwechselst das. Lies dir den o.g. Link durch, dann sollte es klarer werden.

    Prinzipiell ist es so, dass der Client ewig unterwegs sein kann und dabei sein Client *nicht* aus der Domäne fliegt (das wäre ja noch schöner).
    Die Ursache liegt wo anders. Wie wurden denn die Clients installiert, zufällig geimaget bzw. geclonet? Und wurde dabei SYSPREP angewendet?


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Dienstag, 23. November 2010 13:31
    Moderator
  • Hi,

    irgendwie ist mein Antwort Post verschwunden. Deswegen nochmal kurz die Zusammenfassung:

    Die Clients wurden alle automatisiert "frisch installiert", es ist kein Cloning zum Einsatz gekommen und somit auch kein sysprep.

    Mir ist aber noch was eingefallen: Wir haben einen Task auf dem DC laufen, der per "dsquery computer -inactive" inaktive Computerkonten nach 13 Wochen aus dem AD entfernt. Das könnte noch was sein. Meine Frage wäre noch, wann genau das Computerobjekt für dsquery inaktiv ist? Nicht das das uns hier Probleme macht.

     

    Gruß

    Manuel

    Montag, 29. November 2010 08:55
  • Howdie!
     
    Am 29.11.2010 09:55, schrieb BehnerMa:
    > Die Clients wurden alle automatisiert "frisch installiert", es ist kein
    > Cloning zum Einsatz gekommen und somit auch kein sysprep.
     
    Also etwa mit RIS oder WDS?
     
    > Mir ist aber noch was eingefallen: Wir haben einen Task auf dem DC
    > laufen, der per "dsquery computer -inactive" inaktive Computerkonten
    > nach 13 Wochen aus dem AD entfernt. Das könnte noch was sein. Meine
    > Frage wäre noch, wann genau das Computerobjekt für dsquery inaktiv ist?
    > Nicht das das uns hier Probleme macht.
     
    Interaktive Anmeldungen sind primär Anmeldung per STRG+ALT+ENTF mit
    DC-Verbindung, Remote Desktops und solche "Anmelden als..."-Geschichten.
    In wie weit VPN-Anmeldungen als interaktive Logons gelten, weiß ich
    nicht. Solange es aber nicht via NTLM läuft (wovon auszugehen ist),
    sollte VPN auch "interaktiv" laufen. Dsquery liest das Attribut
    "lastLogonTimestamp", das (mehr oder) weniger genau den letzten Logon
    eines Benutzers nachführt.
     
    Cheers,
    Florian
     

    Blog: http://www.frickelsoft.net/blog
    Montag, 29. November 2010 18:41
  • Moin!

    Weder noch, per einfacher Automatisierung per nLite und WPI.

     

    Also liest es in dem Fall ja den letzten Logon des Computerobjekts aus. Und der findet bei der von dir beschriebenen interaktiven Anmeldung statt? Das heißt jede interaktive Anmeldung stellt auch eine Aktivität des Computerobjekts dar, was dann anhand vom Attribut "lastLogonTimestamp" nachvollzogen werden kann, richtig? Dann schaue ich mal ob ich im Netz Infos dazu finde, ob eine VPN Anmeldung während einer Windows Sitzung auch als interaktive Anmeldung gilt.

     

    Danke und Gruß

    Manuel

    Dienstag, 30. November 2010 07:12