Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Fehlermeldung bei der Verbindung über LAPS
#1
Hallo,

in der ASG 2020 Version gibt es jetzt die Möglichkeit sich über LAPS an Clients anzumelden.
Leider funktioniert das in unserer Umgebung nicht. Die Fehlermeldung im Anhang kommt bei allen Clients.

Kann damit jemand etwas anfangen?

VG Horizon
Reply
#2
Error reading LAPS Password in ActiveDirectory

Index was out of range. Must be non-negative and less than the size of the Collection. Parameter Name: index
Reply
#3
Hm, im Feld "Ziel" muss genau der Name des Computers stehen, so wie er im ActiveDirectory gelistet ist - dieses Objekt wird dann ausgelsen und ein spezielles Attribut ausgelesen um an das Kennwort zu kommen...

Läuft LAPS denn ohne den Einsatz von ASGRD? Es sind ja doch einige Vorbereitungen zu treffen, Berechtigungen zu setzen bis LAPS wirklich aktiv läuft...
Regards/Gruss
Oliver
Reply
#4
(30-06-2020, 11:23 AM)DevOma Wrote: Hm, im Feld "Ziel" muss genau der Name des Computers stehen, so wie er im ActiveDirectory gelistet ist - dieses Objekt wird dann ausgelsen und ein spezielles Attribut ausgelesen um an das Kennwort zu kommen...

Läuft LAPS denn ohne den Einsatz von ASGRD? Es sind ja doch einige Vorbereitungen zu treffen, Berechtigungen zu setzen bis LAPS wirklich aktiv läuft...

Hi,

LAPS ist bei uns komplett implementiert. Über "LAPS UI" kann ich auch die Passwörter jedes PCs auslesen, ich kann auch im AD das Attribut "ms-Mcs-AdmPwd" auslesen. Wenn ich das Passwort aus LAPS UI kopiere kann ich mich auch manuell anmelden, nur das automatisierte Anmelden über ASGRD funktioniert nicht. Im Feld Ziel ist der Name des Computers vorhanden. Ich habe das mit dem FQDN auch getestet - die Fehlermeldung bleibt die gleiche.
Reply
#5
Hm ich erkläre nochmal kurz das "wie es implementiert ist" - vielleicht finden wir ja doch was :-)

Also das "Benutze LAPS" muss aktiv sein - der LAPS-User muss angegeben sein - soweit denke ich ist aber alles ok - dann wird versucht das AD-Objekt zu finden...

Ist die Option "Benutze Windows-Konto für das ActiveDirectory anstatt der zugewiesenen Anmeldeeinstellungen" aktiviert, sollte eine Verbindung zum AD des an Windows angemeldeten Benutzers stattfinden - ansonsten wird der Benutzer der bei den Anmeldeeinstellungen zugewiesen ist benutzt.

Und dann erfolgt die Suche nach dem Computer-Objekt mit den Namen der im Ziel angegeben ist - wird das Objekt gefunden, wird das o.a. Attribut ausgelesen - die Fehlermeldung lässt mich vermuten, das das Computer-Objekt nicht gefunden wird - und damit das Auslesen des Pwd-Feldes scheitert


Befindet sich der Computer und die Benutzer von ASGRD im gleichen AD? Wird die Option "Benutze Windows-Konto für das ActiveDirectory anstatt der zugewiesenen Anmeldeeinstellungen" verwendet? Oder werden Anmeldeeinstellungen zugewiesen? Der User muss natürlich auch die Berechtigung haben das AD-Feld auszulesen!?
Regards/Gruss
Oliver
Reply
#6
Mit dem nächsten Patch werden wir die Fehlerbehandlung an dieser Stelle etwas verfeinern um vielleicht schneller zu erkennen was schief läuft...
Regards/Gruss
Oliver
Reply
#7
Als Feature-Request: Eine aussagekräftige Fehlermeldung beim SPeichern der Verbindung oder beim Verbinden, wenn LAPS-Anmeldung aktiviert wurde, mit den hinterlegten Anmeldeinformationen aber *keine* Anmeldeinformation ausgewählt wurde.
Reply
#8
(01-07-2020, 08:20 AM)Horizon Wrote:
(30-06-2020, 11:23 AM)DevOma Wrote: Hm, im Feld "Ziel" muss genau der Name des Computers stehen, so wie er im ActiveDirectory gelistet ist - dieses Objekt wird dann ausgelsen und ein spezielles Attribut ausgelesen um an das Kennwort zu kommen...

Läuft LAPS denn ohne den Einsatz von ASGRD? Es sind ja doch einige Vorbereitungen zu treffen, Berechtigungen zu setzen bis LAPS wirklich aktiv läuft...

Hi,

LAPS ist bei uns komplett implementiert. Über "LAPS UI" kann ich auch die Passwörter jedes PCs auslesen, ich kann auch im AD das Attribut "ms-Mcs-AdmPwd" auslesen. Wenn ich das Passwort aus LAPS UI kopiere kann ich mich auch manuell anmelden, nur das automatisierte Anmelden über ASGRD funktioniert nicht. Im Feld Ziel ist der Name des Computers vorhanden. Ich habe das mit dem FQDN auch getestet - die Fehlermeldung bleibt die gleiche.

Hi,
Wir hatten exakt das gleiche Problem. Der FQDN ist das Problem. Wenn im Feld Ziel der FQDN steht, dann wird das Computer Objekt nicht gefunden. Wenn im Feld Ziel nur der Computername ohne Domain Angaben steht, dann funktioniert es. 

Wir verwenden den AD Sync. Der hat im Feld Ziel den FQDN eingetragen. Das kann man ändern, so dass nur der Name eingetragen wird. Dann funktioniert das mit LAPS. Allerdings hätte ich im Feld Ziel lieber wieder den FQDN.
Reply
#9
Ok, das könnte man abfragen und entsprechend modifizieren - werden wir anpassen
Regards/Gruss
Oliver
Reply




Users browsing this thread: 1 Guest(s)