Kennwortänderung und die Folgen - Agent to Server communication / DomainJoin

[Bantha]

Hallo Zusammen,

wir haben aus Sicherheitsgründen die Domänen Kennwörter der Benutzer: EmpService, EmpInst , EmpAdmin und EmpAgent ändern müssen. So toll wie wir sind, haben wir natürlich alle gleichzeit geändert...


Wir haben so ziemlich an allen Stellen, an denen ein „Benutzer/Kennwort“ Feld zu sehen war, die entsprechenden Daten angepasst.

Dennoch glaube ich, gibt es 1-2 stellen, die wir nicht berücksichtigt haben.

Aktuell haben wir dadurch folgendes Problem:

Einige Clients bekommen keine neue MachineValue.ini vom Server und haben dadurch noch Lokal das alte EmpAgent Kennwort und können sich somit nicht mit dem Server verbinden. Das betrifft vermutlich alle Clients mit dem Agent-Template: AGENT_MIT_KIOSK.

Nahezu alle Clients mit dem Agent-Template: AGENT_OHNE_KIOSK, kommunizieren mittlerweile wieder.

Zudem haben wir das Problem, dass wir nun keine neuen Clients via. WinPE / PXE Boot installieren können. Wir vermuten, dass es am DomainJoin liegt.

Gibt es eine Anleitung zum Kennwortwechsel, an welchen Stellen etc. das neue Kennwort eingetragen werden muss?

Anbei ein paar Infos, an welchen Stellen bereits das Kennwort geändert wurde, die Dienste wurden bereits mit dem neuen User installiert.

Empirumserver -> Matrix42 DBUtil -> Allgemein -> Installationsanmeldung und Dienstanmelden (EmpService)
Empirumserver -> Matrix42 DBUtil -> Empiurm-LDAPSync -> LDAP Server -> Anmeldung am DC
Empirumserver -> Matrix42 DBUtil -> Empirum-PXE -> unsere div. Server -> Installationsanmeldung
EMC -> Management -> Konfigurationsgruppen -> Rechtsklick -> Variablen -> SUBDEPOT -> USER_1/PASSWORD_1
EMC -> Management -> Konfigurationsgruppen -> Empirum-Server -> Subdepots -> Variablen -> SYNC_SERVER1
EMC -> Konfiguration -> Variablen Konfigurationen -> Win10Variablen mit KMS Key -> Reiter: DomainJoin

Von unserem Dienstleister haben wir nun die Info erhalten, dass man die User bloß nicht ändern soll, sondern lieber einen Neuen User hinzufügen soll.

Nun ist es hierfür leider schon zu Spät und das setzen des alten Kennworters ist ebenfalls nicht mehr möglich. Sicherheit sei dank.

Allerdings gibt es ja bereits Clients die normal kommunizieren können. D.h. es müsste ja prinzipiell möglich sein.

Habt ihr noch Ideen, an welchen Stellen ich die Kennwörter noch überprüfen muss?

Als Notlösung könnten wir manuell die MachineValue.Ini's vom Server auf die Clients kopieren lassen.

Hier im Forum habe ich nur einen alten Eintrag von 2008 gefunden, mit dem ich leider nicht wirklich weiter komme.

viewtopic.php?t=7280



Vielen Dank schon einmal im Voraus.

[munzur]

Hi Bantha,

das Problem hierbei wird sein, dass Clients welche eine veraltete AgentConfig nutzen, den User immer wieder sperren, daher immer die Empfehlung einen neuen User zu verwenden.

Die Agenten-Templates müssen, nach der Änderungen der User1-3, einmal abgespeichert werden.

Nutzt ihr DHCP Optionen? Falls ja, kann man die User ggf. hierüber (temporär) mitgeben. Ansonsten das Template per GPO ersetzen lassen bsp.

Wegen der OS Installation wäre ein PXE Log ganz hilfreich.

[munzur]

Achja, nach der Änderung des Passworts und Aktualisierung des Templates muss das WinPE Bootimage natürlich auch aktualisiert werden!

[Bantha]

Hi Munzur,

danke für die schnelle Rückinfo.

Also einen PXE Log erhalte ich leider gar nicht. Ich kann den client via. PXE booten, kann den auch Qualifizieren und zur Neuinstallation reaktivieren, allerdings bricht er irgendwann ab und die Logs sind leer.


Zu unserem Agent Thema hätte ich noch eine Frage: Variablen bei Konfigurationsgruppen:

Kann ich hier bei User_1 die Haken: Zwangsvererbung und "Für alle übernehmen" setzen? Oder sollte ich das lieber nicht tun?

[Bantha]

Thema OS Installer:

Funktioniert wieder.

Für die WinPE installation wurde ein separates Agent Template genutzt, bei dem das Kennwort noch nicht angepasst wurde.

Bleibt nur noch das Thema mit der Agent <> Server Kommunikation nach Kennwort änderung.

DHCP Option haben wir Aktiv.

Ich habe nun die User: EmpService, EmpAgent und EmpInst als User_1 - User_3 hinterlegt.

In der Hoffnung, dass die Kommunikation über einen der User funktioniert.


Sollte das nicht helfen, werden wir wohl via. Logonscript die MachineValue.ini vom Server auf den Computer lokal kopieren lassen.

Das hat bei 2-3 Tests aktuell funktoniert.

Ist zwar nicht schön, aber eine Option.

[munzur]

Hi Munzur,

danke für die schnelle Rückinfo.

Also einen PXE Log erhalte ich leider gar nicht. Ich kann den client via. PXE booten, kann den auch Qualifizieren und zur Neuinstallation reaktivieren, allerdings bricht er irgendwann ab und die Logs sind leer.


Zu unserem Agent Thema hätte ich noch eine Frage: Variablen bei Konfigurationsgruppen:

Kann ich hier bei User_1 die Haken: Zwangsvererbung und "Für alle übernehmen" setzen? Oder sollte ich das lieber nicht tun?

Die Variablen solltest du nur auf den EmpirumServer(n) setzen, nicht auf den Clients! Danach das Template öffnen, eine Änderung provozieren und abspeichern.

[Bantha]

Okay. Habe die werte nochmal Zurückgesetzt und nur bei den Empirumservern gesetzt.