Domäne Vertrauensstellung v7 bei win10 1903

hallo leute,

nach einer imageerstellung war eine domänenanmeldung nicht mehr möglich.
gelten die tipps in diesem thread hier
[Domäne Vertrauensstellung]
auch noch für v7?

domänenaustritt und wiedeintritt blieben erfolglos (half bei win7)
tipps aus internet (habe einige varianten probiert):

Reset-ComputerMachinePassword -Server server -Credential schule\global-admin
oder
Test-ComputerSecureChannel -Repair -Server server -Credential schule\global-admin

brachten nur failed.

soll man vor der imageerstellung besser keiner domäne beitreten? das image war ursprünglich nur für pc A gedacht, dieser schaltet sich aber reproduzierbar aus, wenn das image aufgespielt wird. pc B lässt sich mit dem image bespielen, hat aber die probleme mit der domäne (und dass sich ein benutzer nicht mehr anmelden kann,)

ratlos und gruß,
hendrik

Hallo Hendrik,

domänenaustritt und wiedeintritt blieben erfolglos (half bei win7)
tipps aus internet (habe einige varianten probiert):

Reset-ComputerMachinePassword -Server server -Credential
schule\global-admin|
oder
Test-ComputerSecureChannel -Repair -Server server -Credential
schule\global-admin|

brachten nur failed.

… ich halte es auch für keien gute Idee vom Cleint aus am AD
rumzufuchteln…

war der Rechner, von dem das Image stammt, den schon in der Domäne?
Wurde der neue Rechner neu benannt oder bekam er den Namen des alten (in
der devices.csv)

LG
Holger

… ich halte es auch für keien gute Idee vom Cleint aus am AD
rumzufuchteln…

ok. würden die befehle aber prinzipiell so funktionieren?

ja, war integriert. wurde nicht neu benannt, name behalten.

ich habe folgendes probiert:
habe zwischendurch ein neues image mit neuem namen erstellt, ausgehend vom funktionierenden basis-image. firewalls aus. bin aus der domäne ausgetreten.
habe die erstellung und den upload beobachet, hier gab es keine fehler. trete der domäne bei, klappt.
kann mich als domänenuser nicht anmelden -> vertrauensstellung…

und folgendes:

  • funktionierendes basisimage aufgespielt
  • per linbo neue gruppe zugewiesen
  • nichts am image geändert
  • nach linbo-start neues image mit neuem namen erstellt
  • meldung start.conf wurde unvollständig geschrieben oder so (start.conf-client vervollständigt)
  • neues image aufgespielt: domänenanmeldung nicht möglich -> vertrauensstellung nicht gegeben.

so erneuere ich das maschinenpasswort (wenn ich das richtig verstanden habe und zwinge das system zurück in die domäne). gearbeitet wird auf dem client.

  • RSAT Tools von MS für win10 1803 herunterladen und als lokaler admin installieren
  • admin-cmd: > netdom.exe resetpwd /s:yourservername /ud:schule\yourdomainadmin /pd:*
    oben wird dann wegen dem * nach dem pw gefragt
  • admin-cmd: > nltest /SC_CHANGE_PWD:schule

ohne die ersten zwei punkte kommt ein Fehler bei I_NetLogonControl: Status = 5 0x5 ERROR_ACCESS_DENIED

Hallo Hendrik,

  • RSAT Tools von MS für win10 1803 herunterladen und als lokaler admin
    installieren
  • admin-cmd: > |netdom.exe resetpwd /s:yourservername
    /ud:schule\yourdomainadmin /pd:*|
    oben wird dann wegen dem * nach dem pw gefragt
  • admin-cmd: > |nltest /SC_CHANGE_PWD:schule|

ohne die ersten zwei punkte kommt ein Fehler bei I_NetLogonControl:
Status = 5 0x5 ERROR_ACCESS_DENIED

nochmal der Hinweis: bleib lieber bei den Mechanismen die wir verwenden
um die Domäne zu manipulieren.

Ist das Image irgendwie Wertvoll?
Steckt da viel Arbeit drin?

wenn nein: wegwerfen und neu installieren: bei Windows ist es immer gut
sehr sauber zu arbeiten.
Mit wegwerfen meine ich auch und unbedingt sowohl Rechnernamen in der
devices.csv UND Imagenamen.

Falls es wichtig ist, dann mach folgendes:

  1. Rechner in der devices.csv umbennen
  2. Rechner mit neu+start starten (damit der Rechnernamen stimmt:
    kontrollier auch oder Regpatch da ist: /srv/linbo/imagename.cloop.reg
    Rechte 644)
  3. Aus der Domäne austreten und ungesynct neu starten
  4. Der Domäne mit dem Nutzer global-admin beitreten
  5. Imagenamen in start.conf. ändern
  6. linuxmuster-import-devices laufen lassen
  7. nach reboot als global-admin an Dom anmelden und ccleaner mal laufen
    lassen (mach ich immer)
  8. reboot und also lokal admin anmelden: dann aktuelles defprof
    runterladen und
    defprof global-admin
    in einer „als Administrator“ gestarteten cmd laufen lassen
  9. Image erstellenund auf anderem Rechner testen.

LG

Holger

PS: hab ich den Regpatch und seine Rechte erwähnt?
Stimmt die Domäne die da drin steht den mit deiner überein?
Hast du den global.reg eingespielt gehabt?

hi holger,

zum ps: nach regpatch noch nie geguckt, mach ich. global.reg nicht selber eingespielt, dies sollte beim ur-image aber passiert sein.

meine gedanken: es ist doch gerade der sinn vom image-erstellen, dass ich dieses nach und nach aufbauen kann. es steckt im image schon einiges an arbeit. wenn ich jetzt ein neues programm installieren möchte, wäre es doch unsinnig, von vorne anzufangen. ich probierte ein paar tage herum bisher.
mir wäre gerne klar, an welcher stelle (nur vom unbenennen des images fällt der pc aus der domäne…) das maschinenpasswort geändert wird und warum.
die 9 schritte sind aufwendig, um mal schnell ein image anzupassen. sollte es da nicht eine automatisierte, schöne lösung geben? irgendwie kann man die änderung des maschinenpasswortes (wenn es überhaupt daran liegt) auch unterbinden.

nochmal der Hinweis: bleib lieber bei den Mechanismen die wir verwenden
um die Domäne zu manipulieren.

ich habe mich zuerst an die anleitung von dienstleister gehalten. der soll mir jetzt sagen, an welcher stelle ich falsch gehandelt habe.
wie kann ich den ein existierendes image auf „sauberkeit“ überprüfen? welche punkte müssen gecheckt werden? die docu müsste deine oben genannten punkte explizit aufnehmen, also wie gehe ich vor, wenn ich ein basis-image anpasse…

gruß
hendrik

Hallo Hendrik,

die Domänenaufnahme ist immer etwas kitzlig.
Nach all den Jahren weiß ich: wenn da am Anfang sauber gearbeitet wurde
(also z.B. der Regpatch global.reg zur rechten Zeit eingespielt wurde),
dann bekommt man auch keine Problmee später.
Mir ist in vielen Jahren schon kein Windwos mehr aus der Domäne
gefallen: ganz am Anfang ist es mir aber auch passiert (vor 15 Jahren).

Du hast natürlich recht: man sollte nicht andauernd ein neues Image
anfangen müssen: muß man auch nicht, wenn alles gut läuft.

Ich verstehe die Mechanismen im HIntergrund auch nicht alle: aber ich
will mal schreiben, was ich denke, dass da passiert:
der global.reg gewöhnt (unter anderem) dem Windwos ab andauernd ein
neues workstation Passwort mit dem AD aus zu handeln: das geht nämlich
beim klonen dann immer schief, weil der Server das erinnert, aber der
client nicht (wurde ja geklont).
Bis einschließlich 6.2 hatten wir als workstaionpasswort 12345678 und
das konnten wir mit mtaman auf dem Client setzen und mit
sophomorix-passwd auf dem Server.
Das geht, soweit ich weiß, nun nicht mehr.
Ich glaube, dass linbo beim Image erstellen nach dem Hochladen auf dem
Server das workstationspasswort aus dem AD (als Hash) zieht und in die
imagename.cloop.macct Datei schreibt.
Wir ein Client mit dem Image gesynct, dann schreibt linbo nach dem sync
den Hash ins Windows rein.
Läuft bei linux genau so.

Nun kann es passieren, dass du durch umnennen und nicht neu erstellen
die macct Datei verlierst (sie steht noch beim alten Image, aber nicht
beim neuen).
Oder die macct Datei hat die falschen Rechte und kann nicht neu
geschrieben werden oder oder oder… da gibt es mehrere Fehlerquellen.

Ich kan nur sagen: schau mal hin nach /srv/linbo/ ist deine macct Datei da?
Hat sie die Rechte 600

Es ist jetzt ganz schwer: der samba 4 ist ein reisen Ding: ich blick da
noch lange nicht mal ansatzweise durch und habe deswegen keine Ahnung,
was die Befehle von idr da gemacht haben.
Die interaktion von linbo mit samba ist nicht die einzige die wir im
server haben: Hoheit über die AD sollte bei uns immer sophomorix haben.
„Ich lasse an meinen Samba nur sophomorix … nicht mal wasser“ hab ich
mal gesagt: damit bin ich bisher immer gut gefahren.

Also: ein ganz neues Image mal zu installieren (mit neuem Rechnernamen,
neuer Gruppe ud neuem Imagenamen) könnte dazu dienen um festzustellen,
ob du überhaupt noch in die Domäne kommst, oder ob da was beschädigt
wurde …
Sorry: genauer weiß ich das auch nicht.

LG

Holger

Hallo Hendrik!

Was bei Holger seiner Antwort vielleicht nicht ganz klar raus kommt: Diese Schritte sind nur bei der Erstellung eines neuen (Master)-Image notwendig. Also beim Aufsetzen eines neuen Windows. Für darauf aufbauende Veränderungen (neue Software, Aktualisierungen) sind sie nicht notwendig.

Beste Grüße

Thorsten

vielen dank für die ausführliche antwort @baumhof und den hinweis nochmal von @MachtDochNix.
ich werde demnächst den vorgang von grund auf probieren („kleines“ zeitproblem), sauber arbeiten und bin gespannt, ob dann die images problemlos anpassbar sind. ich könnte mir vorstellen, dass pro hw-klasse ein master-pc sehr sinnvoll ist, an dem keiner rumspielt.

hallo holger,

habe ein paar fragen zu den punkten:
2. rechte 644 oder 600, was ist richtig? ich hatte hier mal so mal so und weiter unten schreibst du was von 600
4. schon als global-admin eintreten??? geht das, wenn man in keiner domäne ist? oder als lokaler admin?
5. also direkt in der startconf des clients? kann man die gruppe lassen und sich einen neuen basisimage-namen ausdenken? was ist besser, über die schulkonsole oder direkt in der csv?
9. hier muss doch dann zwangsläufig der name angegeben werden, den man bei schritt 5 vergeben hat, oder?

ich habe heute ein funktionierendes image anpassen wollen und keinen neuen name vergeben, war danach wieder aus der domäne draußen. ich werde jetzt akribisch die punkte abarbeiten, wenn meine fragen geklärt sind. hoffentlich klappt es, es braucht dringend eine anleitung, die 100% funktionert! als nächstes mache ich ein komplett neues image nach anleitung (stecke da erstemal keine arbeit rein, nur zum testen)

noch ein paar fragen:

  • wann braucht man ein slmgr /rearm?
  • wann muss ich den cache aktualisieren?

gruß,
hendrik

Hallo Hendrik,

2. rechte 644 oder 600, was ist richtig? ich hatte hier mal so mal so
und weiter unten schreibst du was von 600

600 ist richtig. Ich weiß nicht, wo ich von 644 geredet habe. 644 sind
die Rechte aller anderen Imagedateien auf dem Server: aber eben nicht
der macct.

Mit 600 kommt zwar ein Fehler im log von linbo, weil es nicht schafft
die Datei wegen fehlender Rechte auf den Cleint zu kopieren: aber das
macht nix: dort wird sie sowiso nicht gebraucht.
Sie wird auf dem Server erschaffen und dort auch verwendet.

4. schon als global-admin eintreten??? geht das, wenn man in keiner
domäne ist? oder als lokaler admin?

… das war ungenau. Genauer:
Als lokaler Admin anmelden und dann beim Domänenbeitritt den
global-admin mit seinem Passwort verwenden.
Da werden nämlich Domänenadministratorzugangsdaten abgefragt:
global-admin darf das.

5. also direkt in der startconf des clients? kann man die gruppe
lassen und sich einen neuen basisimage-namen ausdenken? was ist besser,
über die schulkonsole oder direkt in der csv?

ich meine damit die start.conf. auf dem Server.
Ob du die von Hand bearbeitest oder in der SchuKo sei dir überlassen.
Kleiner Tipp: ich würde Sonderzeichen aus dem Imagenamen rauslassen …

9. hier muss doch dann zwangsläufig der name angegeben werden, den man
bei schritt 5 vergeben hat, oder?

… nein: da muß man nix angeben.
Du mußt einfach einen Rechner der in der gleichen Gruppe ist booten,
partitionieren und dann syncen.
Hast du noch keinen, dann nimm einen auf.
Er muss halt in die gleiche Gruppe (Hardwareklasse).

ich habe heute ein funktionierendes image

was meinst du mit „funktionierend“?
Das war in der Domäne und du konntest es auf andere Rechner
zurückspielen und noch immer konnten sich Domänennutzer anmelden?

anpassen wollen und keinen
neuen name vergeben, war danach wieder aus der domäne draußen.

wonach?
„Anpassen“ ist schon ganz schön schwammig.
Und: ist der Client den du angepaßt hattest aus der Domäne gefallen oder
erst der Zielclient.

ich werde
jetzt akribisch die punkte abarbeiten, wenn meine fragen geklärt sind.
hoffentlich klappt es, es braucht dringend eine anleitung, die 100%
funktionert!

… ich glaube nicht, dass es die für deine Umgebung gibt …
Ich halte es für durchaus möglich, dass du mit den Befehlen den AD
beschädigt hast.
Es kann schon sein, dass da in der Umgebung nix mehr draus wird.

Und zu der Anleitung: die ist genau gleich, wie wir sie seit über 7
Jahren schon mit Windows 7 verwenden.

Ja: man kann bei der Domänenaufnahme Dinge falsch machen: es ist nicht
trivial.
Aber ein riesen Hexenwerk ist es nun auch nicht: daher auch mein
Mißtrauen gegen deine INstallation: da geht irgendwie zu viel schief.

noch ein paar fragen:

  • wann braucht man ein slmgr /rearm?

garnicht.

  • wann muss ich den cache aktualisieren?

garnie: das macht linbo selber.
Bei jedem sync schaut linbo erstmal auf dem Server, ob es ein neueres
Image gibt: gibt es? dann läd es dieses runter in den Cache und dann
wird erst gesynct.

Ich verwende initcache unter linbo nur, wenn ich will, dass ein Client
Images zieht und nicht synct: damit er im „seedermodus“ bleibt und so
ein Gebäudetrakt mit Images mitbeliefert.
Meine Einrichtungen haben 2 bis 4 verschiedene Gebäude.
Da hat man schon mal gerne einen Seeder im Gebäude.

LG

Holger

Hi. Neulich habe ich diese Übersicht entdeckt … könnte evtl hilfreich sein:

hth,
Michael

so leute, jetzt kommt’s ich probiere seit tagen die anmeldung mit einem nutzer, den es nicht mehr gibt im system… wenn ich herausgefunden habe, warum dies passiert ist, bekomme ich einen wutanfall, entweder ggü. mir oder jemand anderem…

Hallo,

Linuxmuster.net (zumindest Version 6.2) lässt abgemeldete Benutzer noch eine einstellbare Zeit anmelden bevor sie deaktiviert werden. Vielleicht ist das Dein „Problem“.

Gruß

Alois

böse vermutung, windows „updating store app“ im hintergrund verhunzt anmeldung in domäne:
dieses problem hatte ich schonmal: habe meinem echten nutzerprofil immer getestet, beim neustartet macht windows im hintergrund updates (hinweis: domänen-anmeldung dauert zu lange), das merkt man nur, wenn man den task-manager aufruft. dann kann man sich mit genau diesem profil nicht mehr anmelden.
mit einem anderen nutzer ging es dann noch.
kann dieses verhalten jemand bestätigen?
wie repariere ich mein profil? -> lokal löschen?
gibt es sowas wie einen domänen-timeout, der erhöhrt werden kann?
gruß,
hz

Hallo Hendrik,

wie repariere ich mein profil? → lokal löschen?

…schwierig.
Es sollte nie ein Profil, außer dem des Vorlagenbenutzers (derzeit
global-admin) im Image landen.

gibt es sowas wie einen domänen-timeout, der erhöhrt werden kann?

normal nicht nötig, weil es keine Storeupdates gibt für Profile, die es
noch nciht auf dem Client gibt.

Das Konzept sieht so aus:
wenn du ein Image machen willst, so melde dich immer nur mit dem
global-admin an, installier dein Zeug, richte den Desktop ein usw.
Dann ungesynct neustarten (damit Windows das Profil ordentlich los läßt)
und mit dem lokalen admin anmedeln.
Dann machst du
defprof global-admin
(DefProf vorher herunterladen und nach z.B. C:\windwos\system32 entpaken).
und danach neubooten und ein Image erstellen.
Dieses Image spiele ich nochmal auf einen anderne Cleint zurück und
prüfe die Domänenanmeldung mit meinem Benutzer.

Mehr zu Win10 und dessen Anpassung (z.B. 80% der Apps entfernen) findest
du hier:

https://wiki.linuxmuster.net/community/anwenderwiki:windowsclient:windows10:start

LG

Holger

Hallo,

ich antworte mal zu den Fragen oben:

Das funktionierende Image ist in der Domäne und bleibt es auch, wenn es auf einem anderem Rechner installiert wird.

Der Zielclient ist nicht in der Domäne und der Client, der angepasst wurde (Software Installation und Deinstallation), bleibt in der Domäne. Z.B. ist die Anmeldung mit neu erstelltem Benutzer i.O.
Beim ‚Entfernen der Bereitstellung der Standard-Apps‘ (via Befehl aus deinem Link) kam aber einen Fehler bzgl. Vertrauensstellung/Domäne zurück.

LG
Xandra

Die Lösung ist in einem anderen Thread versteckt:

Warum das passiert, konnte mir bisher keiner beantworten. Die alte Datei ersetzt die neue. Selbst bei einem Image von Grund auf, muss ich auch so verfahren, damit Vertrauensstellung gewährleistet ist.
Auch das nicht empfohlene

netdom.exe ...

von oben klappt.