CertBase Community
Die Lernplattform für Ihren Erfolg

70-697 Frage 152

rated by 0 users
This post has 2 Replies | 2 Followers

Top 10 Mitwirkender
Beiträge 176
mongo Posted: Sat, 01. Apr 2017 17:17 | IP-Adresse ist Registriert

Arbeitsstation hat durch Einspielen einer 45 Tage alten Sicherung die Vertrauensstellung zur Domäne verloren → angebliche Lösung: netdom resetpdw

Das kann nicht richtig sein, da dieses Kommando nur zum Zurücksetzen eines Kennwort eines Domänencontrollers verwendet werden kann.

Resets the computer account password for a domain controller.

Quelle: Netdom resetpwd

Auf anderen Computern, als DCs, ist das Kommando gar nicht vorhanden. Ausnahme: RSAT wurden installiert.

Zu den anderen möglichen Lösungen:

  • Erneuerung des Zertifikats kann nicht richtig sein, da der Computer sich per Kerberos authentifiziert.
  • Die Kennwörter der Domänenbenutzer sind irrelevant, das Computerkonto kann sich nicht authentifizieren.
  • Eine noch ältere Sicherung ändert nichts an dem Problem.

Fazit: Keine der angegeben Lösungen ist richtig.

Nicht gereiht
Beiträge 5
FourNiner Antwort zu Sun, 02. Apr 2017 7:44 | IP-Adresse ist Registriert

Die Möglichkeit den trusted channel mit netdom resetpwd zu reparieren gibt es schon sehr lange. Funktioniert aber nicht immer wirklich.

Auf das Kennwort oder Computerkonto des DCs hat das keinen Einfluss. Der DC, der in der Befehlszeile angegeben wird, wird für die Verbindung zum AD benutzt.

Das Tool "Netdom.exe" setzt das Kontokennwort lokal auf dem Computer zurück (auch als "lokales Geheimnis" bekannt) und schreibt diese Änderung in das Computerkontoobjekt des Computers auf einem Windows-Domänencontroller, der sich in der gleichen Domäne befindet. Durch die gleichzeitige Eintragung des Kennworts auf beiden Computern wird sichergestellt, dass zumindest die beiden am Vorgang beteiligten Computer synchronisiert werden. Hierdurch wird außerdem die Active Directory-Replikation gestartet, damit die anderen Domänencontroller mit der Änderung aktualisiert werden.

Quelle: https://support.microsoft.com/de-de/help/325850/how-to-use-netdom.exe-to-reset-machine-account-passwords-of-a-windows-server-domain-controller

Top 10 Mitwirkender
Beiträge 176
mongo Antwort zu Sun, 02. Apr 2017 8:52 | IP-Adresse ist Registriert

Das ist ja fies!

Der von dir verlinkte Artikel beschreibt genauso wie der von mir verlinkte das Zurücksetzen des Kennwortes eines Domänencontrollers. "Dein" Artikel ist sogar mit Zurücksetzen von Computerkontokennwörtern eines Windows Server 2003-Domänencontrollers mit "Netdom.exe" überschrieben.

Nun habe ich es ausprobiert:

  1. auf Windows 10 (Version 1607) die RSAT installiert
  2. Hilfe für netdom resetpwd aufgerufen -> es kann nicht funktionieren, siehe unten
  3. Konto des Windows 10-Computers auf dem Domänencontroller in dsa.msc zurückgesetzt
  4. versucht als Domänenbenutzer anzumelden, der vorher nie auf dem Windows 10-Computer angemeldet war -> Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.
  5. als lokaler Administrator an Windows 10 angemeldet
  6. netdom resetpwd /s:dc1 /ud:Administrator /pd:* -> Das Computerkonto-Kennwort für den lokalen Computer wurde zurückgesetzt. Der Befehl wurde ausgeführt.
  7. Restart-Computer
  8. Schritt 4 wiederholt -> erfolgreich

In "deinem" Artikel steht jedoch:

Dieses Verfahren wird üblicherweise auf Domänencontroller angewendet, es ist jedoch auch auf beliebige Windows-Computerkonten anwendbar.

Die Hilfe zu netdom resetpwd gibt jedoch aus (rote Markierungen von mir):

C:\>netdom resetpwd /help
Die Syntax dieses Befehls lautet folgendermaßen:

NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]
                [/SecurePasswordPrompt]

NETDOM RESETPWD Setzt das Kennwort des Computerkontos für den Domänencontroller
zurück, auf dem dieser Befehl ausgeführt wird. Derzeit wird das Zurücksetzen
des Computerkennworts eines Remotecomputers oder eines Mitgliedsservers nicht
unterstützt.
Alle Parameter müssen angegeben werden.

/Server         Name eines bestimmten Domänencontrollers, für den das Kennwort
                des Computerkontos zurückgesetzt werden sollte.

/UserD          Benutzerkonto zum Herstellen der Verbindung zum
                Domänencontroller, der durch das Argument "/Server" angegeben
                ist.

/PasswordD      Kennwort des durch "/UserD" angegebenen Benutzerkontos. Ein *
                bedeutet, dass eine Kennwortabfrage erfolgt

/SecurePasswordPrompt
                Verwendung eines sicheren Popups zur Angabe von
                Anmeldeinformationen. Die Verwendung dieser Option wird
                empfohlen, wenn Smartcard-Anmeldeinformationen angegeben werden
                müssen. Diese Option ist nur verfügbar, wenn der Kennwortwert
                als * angegeben wird


NETDOM HELP-Befehl "| MORE" zeigt Hilfe an (jeweils ein Bildschirm).

Der Befehl wurde ausgeführt.

Ich hoffe, nun ist klar, warum ich anfangs behauptet habe, dass die Lösung falsch sei. Alle Dokumentationen und sogar die Hilfe weisen darauf hin, dass das Kommando nur für Domänencontroller gilt. (Und wenn ich etwas zu Windows 10 wissen will, lese ich mir nicht Artikel zu Windows Server 2003 durch.)

Dazu kommt noch, dass in der Aufgabe nichts davon steht, dass auf dem Windows 10-Computern die RSAT installiert sind. Und ohne die gibt es das Kommando netdom gar nicht.

Danke für deine Antwort. Ohne sie hätte ich es nicht ausprobiert, sondern dem TechNet vertraut.

Seite 1 von 1 (3 Treffer) | RSS
CertBase - IT-Prüfungsvorbereitung Online