blub

Killer-Netzwertool

Den würde ich samt allen anderen Supertools als erstes runter werfen, zumindest disablen.

Und dir ist bewusst, was es im Internet bedeutet alle Ports zu öffnen und die FW abzustellen?

Dass du das HowTo des Spielehersteller durchgelesen und verstanden hast, unterstelle ich einem angehenden Profi.

Das Zertifikat für signieren und verschlüsseln wurde neu installiert.

Wie genau?  mit *.cer oder *.pfx incl. Passworteingabe?

Bei *.cer siehe NilsK!

keine 5719 mehr?

steht denn keine Clientadresse im Eventlog?

Filter außerdem mal nach 4771, vielleicht erkennt dein Chef etwas am Zeitmuster

Pre-auth-Fehler heisst übersetzt: Passwort falsch, so dass kein Kerberos-Ticket ausgestellt wird.

du hast doch die sekundengenaue Uhrzeit des Events

@Edgar, es immer schwierig auf deine Ausführungen zu antworten!

Aber ja, ich erinnere mich an die Probleme mancher, die 10 Dienstgrade und noch dazu die 26 Buchstaben des Natoalphabets zu erlernen.

Jetzt aber genug aus der Kategorie "Opa erzählt vom Krieg"

Bringt aber offensichtlich nichts (oder die GPO greift nicht richtig – gpresult liefert bei Computerkonfiguration keine Daten

Der User ist wahrscheinlich nur mit NTLM angemeldet! Wenn du mit GPOs arbeiten willst, müssen User und Client mit Kerberos am AD angemeldet sein. (daher auch der Fehler 5719). Dann würde gpresult auch keinen Fehler liefern.

Nein... nicht das mir bekannt ist.

 

Ich habe mir das tool Lockoutstatus angeschaut... aber irgendwie sagt es mir nur das es gesperrt ist

ea sagt dir auch, wann und auf welchem DC der Account gesperrt wurde! -> das security eventlog bzw. das zugehörige sec-event auf diesem DC liefert dir den Client, auf dem die Anmeldung versucht wurde (sollte es bei korrekter Konfiguration zumindest!).

Moin,

wie - und so ein Satz von dir?

Man soll immer fair bleiben und es den Angreifern auch nicht zu schwer machen

Bei LDAPS fällt mir revocation checking ein, das hat nen Timeout in der Größenordnung

hast du dazu mal einen Link?

Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

für das Auslesen von Userproperties braucht er im Normalfall ja nur lesende Dödeluser-rights. Das kann man noch verantworten.

Ja, Vorurteile vereinfachen das Leben unheimlich. Kann man auch immer wieder sehr schön feststellen!

Schon während meiner militärischen Grundausbildung erfuhr ich, es gibt Fakten, die müssen zum Sitzen auswendig gelernt werden. 

Ich kenne aus meiner Zeit noch die krönende Dienstvorschrift, dass bei Einbruch der Nacht der Soldat selbstständig mit Dunkelheit zu rechnen habe. 

Aber Fakten "zum Sitzen" in der Grundausbildung auswendig lernen zu müssen, das ist nur noch genial! Da kommt keine andere Ausbildung/ Zertifikat ran.

Prinzipiell genauso, wie du es oben schon gemacht hast

$User = [ADSI]"LDAP://$PDCe/$UserDN"
$User.Properties.Item("CN")

https://cdn.freeprintablecertificates.net/samples-free/coffee_drinker_certificate.png

There is nothing like a certificate!

?? Weil er keinen FQDN verwendet sondern eine IP soll er bei der Scriptausführung plötzlich nach einem Passwort fragen?

klar! weil mit IP, anstelle von FQDN nicht der Kerberosmechanismus zum Zugriff auf Resourcen, sondern bestenfalls NTLMv2 verwendet wird! Bei NTLM muss für jede neue Verbindung neu authentifizeirt werden.

Usern 5 bzw. viele Laufwerke auf den einen DC mappen, das hört sich "seltsam" an.

Ist der Globale Katalog evtl für LDAP-Authentifizierungen ungeeignet und wenn ja, wisst ihr warum?

Ich will dir ja helfen und die Antwort zumindest auf diese, deine letzte Frage kann nur sein

-schau dir an was ein GC ist

-schau dir an was LDAP ist

-schau dir an, was eine Authentifizierung ist

und dann wirst du auch herausfinden, warum deine Abfrage manchmal 40s dauert. Vielleicht liegts am DNS, am Signing, an der Abfrage selbst, an 100 anderen möglichen Ursachen

Gegen meine DCs (das sind natürlich GlobalCatalog Server) funktionieren jedenfalls LDAP-Queries auf allen Ports in Bruchteilen einer Sekunde, auch von Linuxrechnern außerhalb der Domäne.

Ist der Globale Katalog evtl für LDAP-Authentifizierungen ungeeignet und wenn ja, wisst ihr warum? Kennt ihr evtl andere Lösungsansätze für mein Problem.. Ich denke hier sind wahre Experten gefragt ;-)

Tut mir leid, aber deinen Ausführungen kann ich vom ersten bis zum letzten Satz nicht folgen!

Jedenfalls

1) gibt es keine LDAP-Authentifizierungen

2) authentifiziert sich niemand gegen einen Global Catalog,

Es gibt z.B. eine Kerberos-, NTLM-, Digest, Schannel oder Simple-Bind- Authentifizierung. Im Trace müsstest du sehen, wie du authentifiziert bist.

Bist du z.B. gegen den KDC authentifiziert, kannst LDAP-Queries auf 389 oder 3268 ausführen.

Vielleicht lieg ich falsch, aber es hört sich jedenfalls so an, dass das Verständnis für  Forest, Domäne, LDAP, Global Catalog, Kerberos, Authentifizierung etc. bei euch nicht wirklich vorhanden ist.

blub

@hypa

nein, das geht so nicht.

Du kannst deine lokales regedit öffnen und dich dann mit "Datei -> netzwerkverbindung verbinden" auf die Remote Registry verbinden. (Remote Registry Protokoll). Dazu muss der Port 139 offen sein sowie die Diens te "Datei- und Druckfreigabe" und "Remote Registry" auf dem Zielrechner aktiv sein. Aus Securitysicht ist dieses Vorgehen nicht besonders toll, ebensowenig wie generell psexec!

Du solltest besser wmi bzw. powershell remote nutzen, um Reg-Werte zu setzen oder zu lesen.

blub

Denke also es ist kein Hardwarefehler und das NTFS einfach irgendwo was abbekommen hat.

Dass NTFS "einfach mal was abbekommt", ist heutzutage schon sehr, sehr selten.

Chkdsk ist ein Tool aus den Tagen, als jeder Rechner seine eigene, physikalische Festplatte ohne RAID hatte.

Kann man beim SBS einen zweiten,zusätzlichen DC  installieren und nach der Replikation den ersten DC entfernen? Ansonsten recovery.  Den jetzigen Zustand mit den Fehlermeldungen am DC akzeptieren würde ich auch nicht.

Auf Windows 7, 10 und Windows 2008R2 dauert die Herstellung der Telnetverbindung nur einen Wimpernschlag. Die Verbindung steht quasi sofort nachdem ich Enter gedrückt habe.

 

Hat Jemand eine Idee, warum Windows Server 2012/2012R2 so dermaßen lange braucht eine Telnetverbindung aufzubauen!?

 

kannst du es auf Windows 8/ 8.1 probieren? Das ist dieselbe Codebasis von 2012/2012R2.

Evtl. lohnt sich der Umstieg auf Server 2016, das ist die Codebasis wie Windows10. Dort läufts ja wieder.

Andere Idee: Benutzt die SW ggf. eine Schannel-Verschlüsselung RC4/ SSL 2.0/ SSL3.0 etc., die auf dem 2012R2 default deaktiviert ist. Dann probiert er erstmal ewig und kommuniziert  letztlich unverschlüsselt. Vielleicht hilft ein Netwerktrace weiter.

blub

nein!

Um einen Rechner (insbesondere unsichere Clients von Endusern) remote zu administrieren, ist einzig Powershell remote bzw. WMI als sichere Variante zu empfehlen!

https://msdn.microsoft.com/en-us/powershell/scripting/setup/winrmsecurity

Da gibts kein "könnte", "wäre" etc.!

Wenn Security eher keine Rolle spielt, kann man auch Asbach-Techniken nutzen.

"Datei und Druckfreigabe" zu aktivieren, bedeutet den Server Dienst zu starten. Nicht nur die Ports freizugeben.

 

möchte gerne mich mit meinem PC bin Domänen-Admin mit einem anderen Rechner eines Users verbinden um seine Registry anzupassen

da jubeln dann Locky und sein Freunde

Erstell dir bitte einen eigenen Account, mit dem du auf andere Client-Rechner gehst. Ändere sogar das Passwort nach dessen Benutzung.

Es hängt natürlich von den Gegebenheiten deiner Domäne ab.

Die "Datei und Druckfreigabe" soll man nur aktivieren, wenn es notwendig ist.

https://support.microsoft.com/de-ch/kb/199346

weil eben soviel aufgemacht wird.

Besser ist die Powershell remote oder WMI

https://blogs.technet.microsoft.com/heyscriptingguy/2012/05/10/use-powershell-to-create-new-registry-keys-on-remote-systems/