Fehlende Vertrauensstellung nach Änderung des Windows 10 Image

Hallo!

Wir haben ein Windows 10 Image erstellt, mit GenuineTicket.xml und win10.cloop.postsnyc aktiviert und mit mtaman.exe und sophomorix-passwd die Vertrauensstellung hergestellt. Nach einer Änderung des Image fehlt wieder die Vertrauensstellung. Was läuft da schief.

Gruß
Gerhard

Hallo,

Wir haben ein Windows 10 Image erstellt, mit GenuineTicket.xml und
win10.cloop.postsnyc aktiviert und mit mtaman.exe und sophomorix-passwd
die Vertrauensstellung hergestellt. Nach einer Änderung des Image fehlt
wieder die Vertrauensstellung. Was läuft da schief.

das passiert normalerweise, wenn die global.reg nicht (korrekt)
eingespielt wurde.
Vorgehen jetzt:

  • global.reg einspielen
  • image.reg auf dem server kontrollieren (imagename.cloop.reg)
  • workstationpasswort am Cleint mit mtaman wieder setzen
  • workstation Passwort am Server mittels sophomorix-passwd --force
    wieder setzen
  • neues Image erstellen
  • testen

LG

Holger

Hallo Zusammen,
ich habe das gleiche Problem: Es handelt sich um eine Gruppe von 30 identischen Notebooks unter Windows 10. Eines davon sagt, dass es die Vertrauenstellungen nicht herstellen kann.

Was ich kontrolliert habe:
Win 10 Global reg ist installiert: Wurde mit regedit Zeile für Zeile verglichen.
Image reg ist da. Der Rechner hat den richtigen Namen aus dem richtigen Adressbereich.
mtaman liefert kein 12345678, sondern ein längeres Kauderwelsch. Ich habe es gerade auf einem anderen Rechner einer anderen Hardwareklasse getestet: da kommt auch kein 12345678

Ich habe die Ausgabe von mtaman auf einem anderen Notebbok dieser Klasse verglichen, ist natürlich gleich. Die Rechner sind ja geklont.

Habe ich eine Möglichkeit nachzusehen, was auf dem Server für ein Passwort gespeichert ist und das evtl. zu kopieren. Ich habe gesehen, dass noch luma installiert ist, aber da finde ich bei den Rechnern keinen Eintrag für das Passwort. Muss ich überhaupt in ldap suchen?

Was ein Provblem ist: mal schnell ein neues Image erstellen. Da diese Notebooks nur über WLAN am Netz hängen, wäre das ein Job für einen Tag.

Hat jemand einen Tipp für mich: Könnte es so einfach sein, dass man das Passwort von einem Rechner der geht, über das Passwort von diesem Rechner kopiert?

Ich bin wie immer für Tipps dankbar,

Gruß,
Markus

Hallo Markus,

Image reg ist da. Der Rechner hat den richtigen Namen aus dem richtigen
Adressbereich.

Namen aus Adressbereich?
Du meinst, er hat den Richtigen Namen udn die IP ist im richtigen
Adressbereich, nehme ich an.
Kontrollier ob die IP auch wirklich die ist, die in der workstations steht.
Schreib uns, welche das ist (es gibt verbotete IPs).

Ansonsten: die Zeile des Rechners in der workstations mach
auskommentieren durch ein vorangestelltes # am Zeilenanfang.
Dann import_workstations
Dann den Lattenzaun wieder weg und nochmal
import_workstations

Danach den Rechner mit Rot syncen und nochmal Anmelden testen.

LG

Holger

Hallo Holger,
bei uns gibt es das folgende Namensschema.
10.2 Erste Ziffer des Raumes. Ziffer 2 und 3 vom Raum. Nummer des Rechners im Raum.

Dieser Rechner ist 201-pc08 und hat die IP 10.22.1.8. Das passt alles.

Ich hatte eine ähnliche Idee wie Du. Weil es in dem Raum 29 Rechner gibt, habe ich ein 201-pc30 und 10.22.1.30 daraus gemacht. Voila, man kann sich anmelden.

Das lässt doch nur einen Schluss zu: Irgendwie steht auf dem Server in der Datenbank ein falsches Passwort. Wie komme ich da ran, dass man das einmal testen könnte.

Wie kommt es eigentlich zu diesen Passwörtern: Ich habe geschrieben: Das mtaman liefert nicht 12345678, sondern einen kryptischen Buchstabensalat. Bei einem Rechner einer anderen Klasse kommt da etwas anderes. Woher weiß er, welcher Rechner welches Passwort hat. Man hat ja immer nur einen Domänenbeitritt pro Hardwareklasse.

Übringens: Das sind jetzt Notebooks mit Win 10. Nagelneu. Keine 2 Wochen alt. Ich hatte diesen Effekt schon einmal mit einem Desktop unter Win7. 40 oder 50 identische Rechner und einer ging erst ins Netz, nachdem er umbenannt wurde.

Sehr seltsam…

Gruß,
Markus

Hallo Markus,

Wie kommt es eigentlich zu diesen Passwörtern: Ich habe geschrieben: Das
mtaman liefert nicht 12345678, sondern einen kryptischen
Buchstabensalat. Bei einem Rechner einer anderen Klasse kommt da etwas
anderes. Woher weiß er, welcher Rechner welches Passwort hat. Man hat ja
immer nur einen Domänenbeitritt pro Hardwareklasse.

ich meine das mit dem ein Workstationpasswort für alle ist nicht mehr so
(also das 12345678).
Inzwischen schreibt linbo nach dem sync das aktuelle workstationpasswort
aus dem LDAP in die Registry des Clients.
Damit hat auch die .macct Datei auf dem Server zu tun.

Ich weiß nicht, wie man an die WS Passwörter im LDAP kommt.
Wenn so ein Problem wie bei dir auftritt, hab ich immer empfohlen:
Rechner auf dem Server löschen und neu anlegen.
KLappt normal auch mit dem alten Rechnernamen.

Schön ist das nicht, kommt aber auch selten vor (ist mir z.B. noch nie
passiert).

LG

Holger

Hallo Holger,
zunächst einmal vielen Dank für die Antwort. Ich wusste „noch“ nicht, dass das Maschinenpasswort in der macct Datei drin steht.

Du hast recht, wenn ich den Rechner aus der Workstations entferne, importieren, ihn wieder hinein schreibe und wieder importiere, dann geht der Rechner wieder.

Ich habe nun nochmals mein global.reg kontrolliert. Jeder Eintrag ist in der Registry vorhanden. Es ist sogar so, dass ich neben dem CurrentControlSet noch ein ControlSet001 habe und - für mich seltsamerweise - dort ist z. B. DisablePasswordChange genauso auf dword 1 gesetzt. Alles identisch.

Jetzt gab es schon wieder einen von diesen Notebbooks wo die Vertrauensstellung weg war.

An was kann das liegen, wenn der global.reg patch eingespielt ist?

Ich hänge ihn mal an, damit wir sehen, ob ich da den richtigen habe.

Nebenbei: Bisher verwenden wir Win7 pro. Dieser Satz mit 29 Notebooks sind unsere ersten Rechner mit Win10. Sie heißen z. B. 201-pc13 mit der LAN IP 10.22.1.13 (im Sinne von 10.22.01.13) und im wlan habe ich vor die Rechnernummer eine 1 gesetzt. Da ist es 10.22.1.113. Die Rechner gehen per WLAN ins Netz. LAN war nur zum klonen. In der workstations ist der Name für wland dann 201-pc13wlan

Hier ist meine Win10 Global reg
13:21/0 server /var/linbo/examples # more win10.global.reg
Windows Registry Editor Version 5.00

; linuxmuster.net 6.2 version

; notwendig, damit der Domaenenbeitritt klappt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
„DomainCompatibilityMode“=dword:00000001
„DNSNameResolutionRequired“=dword:00000000

; notwendig, damit der Domaenenbeitritt klappt
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\Netlogon\Parameters]
„DisablePasswordChange“=dword:00000001
„MaximumPasswordAge“=dword:000f4240
„RefusePasswordChange“=dword:00000001
„RequireSignOrSeal“=dword:00000001
„RequireStrongKey“=dword:00000001

; notwendig, damit Netlogon klappt
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
„\\*\netlogon“=„RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0“

; deaktiviert den Hiberboot Modus damit Linbo syncen kann
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Power]
„HiberbootEnabled“=dword:00000000

; deaktiviert den Hiberboot Modus damit Linbo syncen kann
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power]
„HiberbootEnabled“=dword:00000000

VG,
MArkus

Hallo,

ich hatte kürzlich das Problem, dass beim Anmeldeversuch die Rückmeldung kam, dass die Vertrauensstellung nicht hergestellt werden konnte. Das Setzen des Maschinenpasswortes auf dem Server brachte Abhilfe.

Da Maschinenpasswort wird mit

sophomorix-passwd --force -u hostname$ --passwd 12345678

auf dem Server ausgeführt gesetzt.

Gruß

Alois

Hallo Markus,

das habe ich bei Win 10 auch beobachtet. Das Passwort schien aber nach dem Setzen zu stimmen, denn das Anmelden funktionierte wieder.

Gruß

Alois

Hallo Alois,
weiter oben hat Holger geschrieben, dass es 12345678 nicht mehr gibt. Das wusste ich auch nicht.

win10-hp201.cloop.macct 
dn: uid=@@compname@@$,ou=machines,dc=srf,dc=lokal
changetype: modify
replace: sambaNTPassword
sambaNTPassword: E0CE44F4E6E00C1D20B1FA54350D8A0A
-

Nochmal aufgerollt: Das Problem entsteht, wenn der Rechner mit dem Server ein neues Maschinepasswort aushandelt. Nach dem sync hat der Rechner wieder das alte Passwort, der Server noch das neue. Sehe ich das so richtig?

Jetzt schreibst Du, das war bei Dir auch. Hast Du den global. reg, der ja genau dies verhindern soll, installiert?

Ich frage mich: Liegt das irgendwie daran, dass es Notebooks sind? Oder liegt es daran, dass es Windows 10 ist?

Gruß,
Markus

Hallo Markus,

Nochmal aufgerollt: Das Problem entsteht, wenn der Rechner mit dem
Server ein neues Maschinepasswort aushandelt. Nach dem sync hat der
Rechner wieder das alte Passwort, der Server noch das neue. Sehe ich das
so richtig?

damit hast du das Problem genau beschrieben: und auch die Lösung
aufgezeigt: ordentliches Einspielen der global.reg im Image.

Ich frage mich: Liegt das irgendwie daran, dass es Notebooks sind? Oder
liegt es daran, dass es Windows 10 ist?

nein, das glaube ich nicht.
Beides habe ich seit Jahren und die beschriebenen Probleme habe ich nicht.

Es klingt so trivial: den Regpatch einspielen.
Die meisten sagen natürlich: hab ich doch gemacht …
Aber dann ist da wohl was schief gelaufen.
Nicht „als Administrator“ ausgeführt zum Beispiel…
Ich weiß nicht, was man da falsch machen kann.
Bei mir klappt es immer und ich mache es imer so:

  1. reg Patch auf den Client bewegen (nicht vom USB Stick aus ausführen)
  2. rechte Maustaste -> als administraot ausführen
  3. der Domäne beitreten
  4. reboot und als pgmadmin (lmn62) bzw. global-admin (lmn7) anmelden
  5. reboot und Image erstellen
  6. image.reg auf Server bereit stellen
  7. kontrollieren ob die Domäne, die in der image.reg steht, korrekt ist

LG

Holger

Hallo,

Jetzt gab es schon wieder einen von diesen Notebbooks wo die
Vertrauensstellung weg war.

An was kann das liegen, wenn der global.reg patch eingespielt ist?

  1. der Client hat die falsche IP
  2. der Client hat die Falsche Uhrzeit/das falsche Datum

LG

Holger

Lieber Holger,
ich weiß jetzt natürlich nicht mehr, ob der global.reg auf dem Stick war oder nicht. Aber: Ich habe mich als lokaler admin und als pgmadmin angemeldet und in der registry nach jeder einzelnen Zeile aus dem global.reg gesucht und sie ist genau so da.

Da kann doch dann nichts falsch sein …

Was die IP angeht: Ehrlich gesagt, wundert es mich, dass das geht, weil der Computername ja nicht stimmt. Der Rechner heisst 201-pc23 aber weil er über wlan ins Netz geht, hat er eine andere IP und heisst dann in der workstations 201-pc23wlan. Lokal hiesst er aber 201-pc23 Aber: Bei der Masse der Rechner klappt das.

Das mit der Uhrzeit kann ich prüfen. Es würde mich aber überraschen, wenn da plötzlich bei nagelneuen Notebooks eine BIOS BAtterie leer wäre und das Datum auf 1987 steht.

Wenn jetzt das Problem weiter besteht und immer wieder ein belieber Rechner die Vertrauensstellung verliert: Was soll ich tun?

Gruß,
Markus

Hallo Markus,

ich weiß jetzt natürlich nicht mehr, ob der global.reg auf dem Stick war
oder nicht. Aber: Ich habe mich als lokaler admin und als pgmadmin
angemeldet und in der registry nach jeder einzelnen Zeile aus dem
global.reg gesucht und sie ist genau so da.

Da kann doch dann nichts falsch sein …

das stimmt.

Was die IP angeht: Ehrlich gesagt, wundert es mich, dass das geht, weil
der Computername ja nicht stimmt. Der Rechner heisst 201-pc23 aber weil
er über wlan ins Netz geht, hat er eine andere IP und heisst dann in der
workstations 201-pc23wlan. Lokal hiesst er aber 201-pc23 Aber: Bei der
Masse der Rechner klappt das.

ach so: das erklärt einiges.
Für mich ist dann eigentlich eher der Fehler bei den Clients, bei denen
der Login in der Domäne trotzdem klappt und nciht bei denen bei denen er
nicht klappt.

Das mit der Uhrzeit kann ich prüfen. Es würde mich aber überraschen,
wenn da plötzlich bei nagelneuen Notebooks eine BIOS BAtterie leer wäre
und das Datum auf 1987 steht.

das braucht es nicht dafür: es reicht wenn die Systemzeit um mehr als 5
oder 10 Minuten differenz zum Server hat: dann ist schon Schluss mit dem
Vertrauen.
Und die Systemzeit korrekt im Netz vom ntp zu holen ist bei Windows
nicht einfach.
Hast du da automatismen eingrichtet?

LG

Holger

Hi,

Naja, dann schreib doch mal, wie Du es machst. Man hat ja nunmal 2 MAC Adressen (LAN und WLAN) und das führt zu zwei Namen in der /etc/linuxmuster/workstations.

Wenn Du das anders machst, bin ich für jeden Tipp dankbar.

Nein habe ich nicht. Mir war nicht klar, dass man da etwas machen muss. Ich war jetzt ziemlich im Stress, weil wir 8 Smartboards mir zusätzlichem Win10 Rechner bekommen haben. Wieder: Bei einem sporadische Anmeldeprobleme an der Domäne. Heute war es : Domäne nicht verfügbar. Habe auber auch die Vertrauenstellung schon gesehen.

Zur Zeit: Ich habe Rechner gesehen, die liegen 12 Stunden neben der Zeit und man meldet sich problemlos an (Win 10!) Die 10 Minuten sind es imho nicht.

Was mir heute aufgefallen ist: Eine Kollegin kam bei Win 10 nicht rein. Domäne nicht verfügbar. Dann habe ich den pgmadmin probiert und war sofort drin. Mit Netzwerklaufwerken. Alles ok. Dann habe ich gesehen, dass die Kollegin noch im selben Raum an einem anderen Rechner unter WIn 7 angemeldet war. Also sie sich dort abgemeldet hat, kam sie rein. Kann das ein Zufall sein?

Gruß,
Markus

Hallo Markus,

Was die IP angeht: Ehrlich gesagt, wundert es mich, dass das geht, weil
der Computername ja nicht stimmt. Der Rechner heisst 201-pc23 aber weil
er über wlan ins Netz geht, hat er eine andere IP und heisst dann in der
workstations 201-pc23wlan. Lokal hiesst er aber 201-pc23 Aber: Bei der
Masse der Rechner klappt das.

Naja, dann schreib doch mal, wie Du es machst. Man hat ja nunmal 2 MAC
Adressen (LAN und WLAN) und das führt zu zwei Namen in der
/etc/linuxmuster/workstations.

… eigentlich kann das mit den zwei Namen doch kein Problem sein, da der
Rechner ja nie die IP des WLAN Eintrags hat, wenn er gesynct wird: also
wimmer den „richtigen“ Namen beim syncen/patchen bekommt.

Und beim Anmelden hat er ja dann auch immer die richtige IP und den
passenden Namen, da man sich ja nciht im WLAN an der Domäne anmeldet.

das braucht es nicht dafür: es reicht wenn die Systemzeit um mehr als 5
oder 10 Minuten differenz zum Server hat: dann ist schon Schluss mit dem
Vertrauen.
Und die Systemzeit korrekt im Netz vom ntp zu holen ist bei Windows
nicht einfach.
Hast du da automatismen eingrichtet?

Das mit der Uhrzeit kann ich prüfen. Es würde mich aber überraschen,
wenn da plötzlich bei nagelneuen Notebooks eine BIOS BAtterie leer wäre
und das Datum auf 1987 steht.

Nein habe ich nicht. Mir war nicht klar, dass man da etwas machen muss.
Ich war jetzt ziemlich im Stress, weil wir 8 Smartboards mir
zusätzlichem Win10 Rechner bekommen haben. Wieder: Bei einem sporadische
Anmeldeprobleme an der Domäne. Heute war es : Domäne nicht verfügbar.
Habe auber auch die Vertrauenstellung schon gesehen.

Zur Zeit: Ich habe Rechner gesehen, die liegen 12 Stunden neben der Zeit
und man meldet sich problemlos an (Win 10!) Die 10 Minuten sind es imho
nicht.

… meine Aussage bezog sich auf die AD und samba4: da ist es zeitkritischer.
In der lmn62 ist das nicht so kritisch.

Was mir heute aufgefallen ist: Eine Kollegin kam bei Win 10 nicht rein.
Domäne nicht verfügbar. Dann habe ich den pgmadmin probiert und war
sofort drin. Mit Netzwerklaufwerken. Alles ok. Dann habe ich gesehen,
dass die Kollegin noch im selben Raum an einem anderen Rechner unter WIn
7 angemeldet war. Also sie sich dort abgemeldet hat, kam sie rein. Kann
das ein Zufall sein?

es gibt mechanismen die man einsetzen kann, damit eine Mehrfachanmeldung
verhindert wird: aber die Meldungen sind dann icht „fehlende
Vertrauensstellung“ oder „Domäne nciht verfügbar“: also ich würde sagen,
dass die da angemeldet war hat eher nichts mit den anmeldeproblemen an
einem anderen Rechner zu tun.

LG

Holger

„… Domäne nicht verfügbar …“ brachte auch mich auf die Palme. Desktiops die gerstern noch liefen steigen plötzlich aus… Meine derzeitige Lösung:

  • mtaman als Aufgabe beim Start, beim Anmelden und alle 10 Minuten wiederholen
  • sophomorix-passwd … alle 10 Minuten als cronjob. Dazu alle PC-Namen aus der workstations-Liste in ein script gepackt (kann sicher jedmand eleganter mit grep)
  • gruppenrichtlinie… „anmelden auf Netz warten“ geht nicht sicher! (oft hilft 20 Sekunden warten)

Gruß Claus

Hallo Claus,

„… Domäne nicht verfügbar …“ brachte auch mich auf die Palme. Desktiops
die gerstern noch liefen steigen plötzlich aus… Meine derzeitige Lösung:

  • mtaman als Aufgabe beim Start, beim Anmelden und alle 10 Minuten
    wiederholen
  • sophomorix-passwd … alle 10 Minuten als cronjob. Dazu alle PC-Namen
    aus der workstations-Liste in ein script gepackt (kann sicher
    jedmand eleganter mit grep)
  • gruppenrichtlinie… „anmelden auf Netz warten“ geht nicht sicher!
    (oft hilft 20 Sekunden warten)

das sieht schwer danach aus, dass der global-patch an dem Windwos
Rechner nicht vor der Domänenaufnahme eingespielt wurde.
Also wurde das „Passwortneuaushandeln mit dem DC“ nicht abgestellt: also
handelt der Client immer mal wieder ein neues Passwort aus.

Zuerst würde ich den global.reg nochmal einspielen und ein Image
erstellen und beobachten.

LG

Holger