in mehre Schulen haben wir noch einen Windows Server 2022 für bestimmte Diensten wie „KMS“ oder Lexware.
Leider haben wir festgestellt das diesen die „Vertrauensstellung“ verloren ging…
Was immer dann funktioniert hat war das man dies dann einmal aus der Domäne und wieder rein genommen hat.
Sobald man dies dann versucht kommt der Meldung: "In Active Directory ist ein Konto mit diesem Namen vorhanden. Die erneute Verwendung des Kontos wurde durch eine Sicherheitsrichtlinie blockiert. " Hierzu gibt es auf Windows Seite eine Lösung wie z.B. Windows Server 2012 | Active Directory Konto mit Namen vorhanden, Sicherheitsrichtlinie blockiert | ComputerBase Forum Hier sollte man das Computerkonto aus dem AD rausnehmen und wieder rein…
wurden bei den Servern die Regpatches eingespielt?
Vielleicht brauchen die nicht alle Angaben aus der global.reg, aber die
zum Domainjoin wären schon wichtig.
Das wären diese (wie ich meine).
Windows Registry Editor Version 5.00
; linuxmuster.net 7
; to be applied once before domain join and image creation
; machine account password may not expire
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000001
"MaximumPasswordAge"=dword:000f4240
"RefusePasswordChange"=dword:00000001
"RequireSignOrSeal"=dword:00000001
"RequireStrongKey"=dword:00000001
; needed for netlogon
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"
danke für dein schnelles Antwort.
ich habe die beide global.reg Dateien nochmals abgeglichen. Dies sind identisch.
eigespielt wurde diese auch nochmals, hatte leider nichts gebracht bis jetzt.
der Microsoft-Patch besagt, dass die Person (das Benutzerkonto), welche das Computerobjekt des Windows-Servers 2022 erstellt hat, auch die Person sein muss, welche den Server in die Domäne aufnimmt. Da findet jetzt zusätzlich eine Überprüfung statt. Früher durften das verschiedene (Admin-)Benutzerkonten sein. Bitte mal prüfen, welche Konten da benutzt wurden und ggf. das Computerobjekt neu anlegen. Das Ändern des Besitzers des Computerobjektes soll laut Microsoft-Doku nicht ausreichen.
Ansonsten: Ein Computerobjekt in der Domäne ist auch nur ein Benutzerobjekt, wo der Benutzername auf $ endet. Es hat genauso Benutzername und Passwort und wenn dies im Verzeichnisdienst und im Rechner übereinstimmt, dann spricht man von einer intakten Vertrauensstellung. Stimmt der Computername oder das Passwort nicht, ist die „Vertrauensstellung verloren“. Man muss also eigentlich nur das Passwort beiderseits korrigieren, wenn man keinen neuen Domänen-Join ausführen will oder kann.
Auf dem Windows-Server sollte reset-computermachinepassword weiterhelfen oder du kopierst dir c:\linuxmuster-win\lsaSecretStore.exe von einem Linbo-Windows-Client auf den Server und startest:
lsaSecretStore.exe $MACHINE.ACC 12345678
um das Passwort auf 12345678 zurückzusetzen.
Dann muss das Passwort noch in den Verzeichnisdienst rein mit:
samba-tool user setpassword --filter=samaccountname=Computername$
Ich habe das so noch nicht getestet, sollte aber nach diesen Quellen und verschiedener Suchmaschinentreffer von betroffenen Admins funktionieren:
ich wollte hier noch erweitern das bei einen Laptop neu aufgesetzt wurde mit Win 10 neuste Updates wurde installiert, auch hier lässt der sich nicht mehr in der Domäne aufnehmen siehe beigefügtem Bild
Hier wird auf einen Eintrag vom MS verwiesen wo in erklärt wird das bei der 22H2 Windows Update sicherheitslücken „geschlossen“ wurden (KB5020276 – Netjoin: Änderungen bei der Härtung des Domänenbeitritts - Microsoft-Support) allerdings scheint es erst mal so das es einen Lösung geben wird bei der Update (vorausgehend) von September. Geredet wird zwar von eine Lösung allerdings soll da der DC/AD auch auf MS Basis sein.
Vielleicht ist mittlerweile jemand anderen auch schon auf diesen Problematik gekommen wo einen Laptop oder Rechner zwar in der Domäne ist, allerdings ohne Imagelösung Anbindung.
Das interessante ist, ist der Rechner auf W10 22H2 und in eine Imagelösung, dann titt dieses Problem nicht auf.
ich habe jetzt einen Laptop genommen (diesen war noch nicht in eine Domäne ) und diesen erst mal auf Win10 22H2 hochgezogen.
Danach der global-reg eingespielt, und versucht die Domäne in unsere Testumgebung auf zu nehmen.
Wie in meine Beitrag vom 15.03.23 schon erwähnt: Hinweis Microsoft entfernt die Unterstützung für die Registrierungseinstellung NetJoinLegacyAccountReuse in einem zukünftigen Windows-Update. Diese Entfernung ist vorläufig für das Update vom 9. September 2023 geplant. Veröffentlichungsdaten können sich ändern.
ich habe noch eine Vermutung. Kann es sein, dass der Security Identifier (SID) für die Gruppe Domänen-Admins im Samba4 nicht dem Schema entspricht, dass Microsoft verwendet (siehe Sicherheitsbezeichner)? Das würde erklären, wieso man selbst mit Domänen-Admin-Benutzerkonto den Rechner nicht aufnehmen kann, da Microsoft-Produkte für Vergleiche letztlich immer nur die SID nutzen und keine Konto-/Gruppennamen.
Dazu passend ist im Microsoft-Artikel KB5020276 eine neue Möglichkeit hinzugekommen:
[14. März 2023 – Start]
Der Besitzer des Computerkontos, das wiederverwendet wird, ist Mitglied von „Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen“-Gruppenrichtlinien-Einstellung. Diese Einstellung erfordert die Installation von Windows-Updates, die am oder nach dem 14. März 2023 auf ALLEN Mitgliedscomputern und Domänencontrollern veröffentlicht wurden.
Weitere Schritte sind im Abschnitt Handeln Sie [14. März 2023 – Start] beschrieben. Ich verstehe es so, dass man sein Rechner erstmal das Windows-Update vom 14.03. verpasst und dann die dort beschriebene Gruppenrichtlinien-Einstellung setzt. Da Microsoft schreibt, dass das Update auch auf den Domänencontrollern installiert werden muss, weiß ich nicht wie es sich da mit Samba4 verhält. Es könnte sein, dass diese Gruppenrichtlinien-Einstellung keine Lösung ist, weil sie serverseitig von Samba4 nicht unterstützt wird.
Für die Fehlersuche wurde der Artikel an weiteren Stellen jeweils mit dem Kommentar „14. März 2023“ ergänzt.
danke für dein Antwort. Im Moment sind wir noch nicht auf der LML 7…
zur Zeit betreiben wir noch linbo 2.4 und LML 6.2
Alles hatte funktioniert bis man den Update entweder auf den Server oder auf den Win 10 Clients eingespielt hat. Diesen sind so zu sagen stand alone ohne image Lösung.
Samba 4 haben wir denn deswegen auch noch nicht.
