blub

Killer-Netzwertool Den würde ich samt allen anderen Supertools als erstes runter werfen, zumindest disablen. Und dir ist bewusst, was es im Internet bedeutet alle Ports zu öffnen und die FW abzustellen? Dass du das HowTo des Spielehersteller durchgelesen und verstanden hast, unterstelle ich einem angehenden Profi.

Wie genau? mit *.cer oder *.pfx incl. Passworteingabe? Bei *.cer siehe NilsK!

keine 5719 mehr?

steht denn keine Clientadresse im Eventlog? Filter außerdem mal nach 4771, vielleicht erkennt dein Chef etwas am Zeitmuster Pre-auth-Fehler heisst übersetzt: Passwort falsch, so dass kein Kerberos-Ticket ausgestellt wird.

du hast doch die sekundengenaue Uhrzeit des Events

@Edgar, es immer schwierig auf deine Ausführungen zu antworten! Aber ja, ich erinnere mich an die Probleme mancher, die 10 Dienstgrade und noch dazu die 26 Buchstaben des Natoalphabets zu erlernen. Jetzt aber genug aus der Kategorie "Opa erzählt vom Krieg"

Der User ist wahrscheinlich nur mit NTLM angemeldet! Wenn du mit GPOs arbeiten willst, müssen User und Client mit Kerberos am AD angemeldet sein. (daher auch der Fehler 5719). Dann würde gpresult auch keinen Fehler liefern.

ea sagt dir auch, wann und auf welchem DC der Account gesperrt wurde! -> das security eventlog bzw. das zugehörige sec-event auf diesem DC liefert dir den Client, auf dem die Anmeldung versucht wurde (sollte es bei korrekter Konfiguration zumindest!).

Man soll immer fair bleiben und es den Angreifern auch nicht zu schwer machen

hast du dazu mal einen Link?

für das Auslesen von Userproperties braucht er im Normalfall ja nur lesende Dödeluser-rights. Das kann man noch verantworten.

Ja, Vorurteile vereinfachen das Leben unheimlich. Kann man auch immer wieder sehr schön feststellen!

Ich kenne aus meiner Zeit noch die krönende Dienstvorschrift, dass bei Einbruch der Nacht der Soldat selbstständig mit Dunkelheit zu rechnen habe. Aber Fakten "zum Sitzen" in der Grundausbildung auswendig lernen zu müssen, das ist nur noch genial! Da kommt keine andere Ausbildung/ Zertifikat ran.

Prinzipiell genauso, wie du es oben schon gemacht hast $User = [ADSI]"LDAP://$PDCe/$UserDN" $User.Properties.Item("CN")

https://cdn.freeprintablecertificates.net/samples-free/coffee_drinker_certificate.png There is nothing like a certificate!

klar! weil mit IP, anstelle von FQDN nicht der Kerberosmechanismus zum Zugriff auf Resourcen, sondern bestenfalls NTLMv2 verwendet wird! Bei NTLM muss für jede neue Verbindung neu authentifizeirt werden. Usern 5 bzw. viele Laufwerke auf den einen DC mappen, das hört sich "seltsam" an.

Ich will dir ja helfen und die Antwort zumindest auf diese, deine letzte Frage kann nur sein -schau dir an was ein GC ist -schau dir an was LDAP ist -schau dir an, was eine Authentifizierung ist und dann wirst du auch herausfinden, warum deine Abfrage manchmal 40s dauert. Vielleicht liegts am DNS, am Signing, an der Abfrage selbst, an 100 anderen möglichen Ursachen

Gegen meine DCs (das sind natürlich GlobalCatalog Server) funktionieren jedenfalls LDAP-Queries auf allen Ports in Bruchteilen einer Sekunde, auch von Linuxrechnern außerhalb der Domäne.

Tut mir leid, aber deinen Ausführungen kann ich vom ersten bis zum letzten Satz nicht folgen! Jedenfalls 1) gibt es keine LDAP-Authentifizierungen 2) authentifiziert sich niemand gegen einen Global Catalog, Es gibt z.B. eine Kerberos-, NTLM-, Digest, Schannel oder Simple-Bind- Authentifizierung. Im Trace müsstest du sehen, wie du authentifiziert bist. Bist du z.B. gegen den KDC authentifiziert, kannst LDAP-Queries auf 389 oder 3268 ausführen. Vielleicht lieg ich falsch, aber es hört sich jedenfalls so an, dass das Verständnis für Forest, Domäne, LDAP, Global Catalog, Kerberos, Authentifizierung etc. bei euch nicht wirklich vorhanden ist. blub

@hypa nein, das geht so nicht. Du kannst deine lokales regedit öffnen und dich dann mit "Datei -> netzwerkverbindung verbinden" auf die Remote Registry verbinden. (Remote Registry Protokoll). Dazu muss der Port 139 offen sein sowie die Diens te "Datei- und Druckfreigabe" und "Remote Registry" auf dem Zielrechner aktiv sein. Aus Securitysicht ist dieses Vorgehen nicht besonders toll, ebensowenig wie generell psexec! Du solltest besser wmi bzw. powershell remote nutzen, um Reg-Werte zu setzen oder zu lesen. blub

Dass NTFS "einfach mal was abbekommt", ist heutzutage schon sehr, sehr selten. Chkdsk ist ein Tool aus den Tagen, als jeder Rechner seine eigene, physikalische Festplatte ohne RAID hatte. Kann man beim SBS einen zweiten,zusätzlichen DC installieren und nach der Replikation den ersten DC entfernen? Ansonsten recovery. Den jetzigen Zustand mit den Fehlermeldungen am DC akzeptieren würde ich auch nicht.

kannst du es auf Windows 8/ 8.1 probieren? Das ist dieselbe Codebasis von 2012/2012R2. Evtl. lohnt sich der Umstieg auf Server 2016, das ist die Codebasis wie Windows10. Dort läufts ja wieder. Andere Idee: Benutzt die SW ggf. eine Schannel-Verschlüsselung RC4/ SSL 2.0/ SSL3.0 etc., die auf dem 2012R2 default deaktiviert ist. Dann probiert er erstmal ewig und kommuniziert letztlich unverschlüsselt. Vielleicht hilft ein Netwerktrace weiter. blub

nein! Um einen Rechner (insbesondere unsichere Clients von Endusern) remote zu administrieren, ist einzig Powershell remote bzw. WMI als sichere Variante zu empfehlen! https://msdn.microsoft.com/en-us/powershell/scripting/setup/winrmsecurity Da gibts kein "könnte", "wäre" etc.! Wenn Security eher keine Rolle spielt, kann man auch Asbach-Techniken nutzen.

"Datei und Druckfreigabe" zu aktivieren, bedeutet den Server Dienst zu starten. Nicht nur die Ports freizugeben. da jubeln dann Locky und sein Freunde Erstell dir bitte einen eigenen Account, mit dem du auf andere Client-Rechner gehst. Ändere sogar das Passwort nach dessen Benutzung.

Es hängt natürlich von den Gegebenheiten deiner Domäne ab. Die "Datei und Druckfreigabe" soll man nur aktivieren, wenn es notwendig ist. https://support.microsoft.com/de-ch/kb/199346 weil eben soviel aufgemacht wird. Besser ist die Powershell remote oder WMI https://blogs.technet.microsoft.com/heyscriptingguy/2012/05/10/use-powershell-to-create-new-registry-keys-on-remote-systems/