Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird ein Problem behoben, bei dem RODC Kennwörter repliziert, wenn in Windows Server falsche Berechtigungen erteilt werden.
Ursprüngliche KB-Nummer: 4050867
Symptom
Normalerweise replizieren Read Only Domänencontroller (RODCs) nur Benutzerkennwörter für Benutzerkonten, die Mitglied der Zulässigen RODC-Kennwortreplikationsgruppe sind oder im MSDS-RevealOnDemandGroup-Attribut des RODC-Kontos aufgeführt sind.
Bei einigen Benutzerkonten, die keine Mitglieder der Zulässigen RODC-Kennwortreplikationsgruppe sind oder nicht im MSDS-RevealOnDemandGroup-Attribut des RODC-Kontos aufgeführt sind, stellen Sie möglicherweise fest, dass Kennwörter für diese Konten, die von rodC authentifiziert werden, vom RODC zwischengespeichert werden.
Wenn Sie beispielsweise die Ausgabe der Advanced Password Replication Policy-Eigenschaft mithilfe von Active Directory-Benutzer und -Computer und der Ausgabe von repadmin /prp view RODC_name reveal" vergleichen, unterscheiden sich die aufgelisteten Einträge zwischen den beiden.
Ursache
Dieses Problem wird durch falsche Berechtigungskonfiguration verursacht.
Standardmäßig verfügt die Gruppe "Unternehmensdomänencontroller", die nur schreibbare DCs enthält, über die Berechtigung zum Replizieren von Verzeichnisänderungen in der Domänenpartition. Beispiel: auf "DC=contoso,DC=com" in Active Directory.
Wenn das Problem auftritt, verfügt rodc jedoch auch über die Berechtigung "Verzeichnisänderungen replizieren" in der Domäne, da es von einem Administrator entweder der Gruppe "Schreibgeschützte Domänencontroller" des Unternehmens oder dem RODC-Objekt direkt oder indirekt über eine andere Gruppenmitgliedschaft gewährt wurde.
Normalerweise repliziert RODCs nur Benutzerkennwörter, wenn die Benutzerkonten Mitglied der Zulässigen RODC-Kennwortreplikationsgruppe sind oder im MSDS-RevealOnDemandGroup-Attribut des RODC-Kontos aufgeführt sind.
Mit der Berechtigung " Verzeichnisänderungen replizieren" werden alle Benutzerattribute, einschließlich Kennwörtern, von der Quell-DC in das RODC repliziert, als wäre das RODC ein normaler Lese-/Schreibzugriff DC (RWDC).
Lösung
Um dieses Problem zu beheben, ändern Sie die Berechtigung zum Replizieren von Verzeichnisänderungen, die dem Schreibgeschützten Domänencontrollerobjekt des Unternehmens gewährt wird, in replizierte Verzeichnisänderungen.
Weitere Informationen
Führen Sie die folgenden Schritte aus, um die Berechtigungen zu überprüfen und zu bestimmen, wo die falschen Berechtigungen stammen.
Schritt 1
Verwenden Sie LDP, um die Berechtigungen "Zugriff steuern" für die Domäne anzuzeigen. Führen Sie dazu die folgenden Schritte aus:
- Führen Sie den Befehl LDP.exe auf einem Domänencontroller aus.
- Stellen Sie eine Verbindung mit der Struktur her (z. B. DC=contoso,DC=com).
- Klicken Sie mit der rechten Maustaste auf den Knoten DC=contoso,DC=com , wählen Sie "Erweitert" aus, und wählen Sie dann "Sicherheitsdeskriptor" aus.
- Wählen Sie die Option "Textabbild " für eine Textansicht der Berechtigungen aus, oder lassen Sie sie deaktiviert, um einen GUI-Sicherheits-Editor abzurufen.
- Überprüfen Sie die Berechtigungen, um sicherzustellen, dass die Gruppe " Unternehmenslesegeschützte Domänencontroller " nur über die Berechtigung zum Replizieren von Verzeichnisänderungen verfügt.
Schritt 2
Überprüfen Sie die Gruppenmitgliedschaften des RODC, um zu ermitteln, ob die Replikation von Verzeichnisänderungen alle über eine andere Gruppe gewährt wird.
Um die wahre Mitgliedschaft des RODC abzurufen, können Sie mithilfe des LDP-Tools eine Abfrage für das TokenGroups-Attribut verwenden, um die effektive Gruppenliste des Benutzers abzurufen.
Stellen Sie sicher, dass Sie den Basisbereich auswählen und das erforderliche Attribut hinzufügen. Wenn Sie die Suche für einen einzelnen Benutzer festlegen, erhalten Sie die Liste für diesen Benutzer. Wenn sich der Benutzer in vielen Gruppen befindet, müssen Sie die Datenmenge erweitern, die LDP im Fenster auf der rechten Seite druckt, "Optionen\Allgemein" aus dem Menü auswählen und die Zeichen pro Feld auf einen höheren Wert anpassen:
Schritt 3
Überprüfen Sie unter Windows Server 2008 R2, Windows 7, Windows Server 2008 oder Windows Vista, ob das im folgenden Artikel beschriebene Problem auftritt:
Das MMC-Snap-In "Active Directory-Benutzer und -Computer" listet nicht alle Konten auf, die Kennwörter im RODC in Windows zwischengespeichert haben.
Schritt 4
Bestätigen Sie die Konsistenz der Computerkontoeigenschaften des RODC auf allen Domänencontrollern in der Domäne.
Eine Methode besteht darin, repadmin die Replikationsmetadaten des RODC-Computerkontos von allen Domänencontrollern zu exportieren. Führen Sie zu diesem Zweck den folgenden Befehl aus:
repadmin /showobjmeta *<dn of RODC account>' > rodc_meta.txt
Schritt 5
Ebenso wie Schritt 4 bestätigen Sie die Konsistenz der Zulässigen RODC-Kennwortreplikationsgruppe und jeder anderen Gruppe, die im MsDS-RevealOnDemandGroup-Attribut konfiguriert ist, um festzustellen, ob die falsch zwischengespeicherten Benutzerkennwörter durch eine inkonsistente Gruppenmitgliedschaft auf verschiedenen DCs erläutert werden können, die durch ein Replikationsproblem verursacht werden können.
Schritt 6
Stellen Sie sicher, dass Benutzer, die ihre Kennwörter vom RODC zwischengespeichert haben, kein Mitglied einer Gruppe sind, die so konfiguriert ist, dass ihre Kennwörter zwischengespeichert werden.
Notiz
Die MMC sammelt die Informationen zur Kennwortreplikationsrichtlinie von jedem Domänencontroller (auch dem RODC selbst), während der repadmin /prp Befehl immer einen Domänencontroller mit Lese-/Schreibzugriff abfragt.
Wenn es Replikationsinkonsistenzen zwischen rodc und einem RW DC gibt, kann dies den Unterschied bei der Ausgabe dieser beiden Dienstprogramme/Methoden erklären.