Netlogon-Fehler bei RODCs

Viele Kunden setzen auf RODCs (Read Only Domain Controller), um DC-Redundanz im Netzwerk aufzubauen oder Niederlassungen ohne abgesicherten Serverraum Authentifizierungsmöglichkeiten zu geben. RODCs speichern per Default keine Kennwörter von Computer- und Benutzerkonten ab. Sofern sie z.B. aus einer Niederlassung entwendet werden, bleibt der Schaden verhältnismäßig gering.

Um Benutzer und Computer zu authentifizieren, schickt der RODC die Authentifizierungsanfrage an einen beschreibbaren DC. Sofern der Benutzer- oder Computer-Account in der Kennwortreplikationsrichtlinie enthalten ist, wird das Kennwort auf dem RODC zwischengespeichert.

Problem:
Nun stand ich neulich bei einem Kunden vor dem Problem, dass beim Authentifizierungsprozess von bestimmten Computerkonten Netlogon-Fehler generiert wurden. Normalerweise ist das ein Hinweis darauf, dass diese Konten nicht in der Kennwortreplikationsrichtlinie enthalten sind. Waren sie aber! Die generierten Netlogon-IDs waren u.a. 5723 und 5805.

Lösung:
Im Normalfall können Clients ab Windows 2000 mit RODCs arbeiten. Sofern besagte Fehler auftreten und verifiziert werden kann, dass es sich um Windows Server 2003- oder Windows XP-Clients handelt, kann ein Hotfix installiert werden, welches nicht über WSUS angeboten wird: http://support.microsoft.com/kb/944043
Was ich ebenfalls nicht vorenthalten möchte, ist folgender Link, hinter welchem die „Known Issues“ aufgezeigt werden: http://technet.microsoft.com/en-us/library/cc772006(v=ws.10).aspx

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.