Pipeline

Am 20.11.2024 um 18:07 schrieb daabm:

Das Umbenennen ist kompletter Quatsch. Es gibt eine LDAP-Funktion "SID Lookup"... Deaktivieren und Shadow Principals nutzen, dann sind die "wertvollen" Gruppen nämlich leer bis auf Break-Glass-Accounts.

Moin Martin,

hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? 

 

Oh ich danke euch für die vielen Antworten.

Leider zeigt sich, dass es differenziert betrachtet und abgewogen werden sollte und nicht die eine richtige Antwort gibt.

Ich bin hier gerade in einem Umfeld aktiv, wo der Fall zutrifft: ist vorgegeben, BSI und Co ... 

Eure weiteren Anregungen nehme ich für nachträgliche Verbesserungsideen gerne mit

 

Moin zusammen,

 

wir hatten ein Sicherheitsaudit (mal wieder) inkl. PEN Test. Der Abschlussbericht enthält die Empfehlung im Active Directory den built-in Administrator zu deaktivieren.
Das ist ja auch nicht gerade eine neue Idee. Wir verwenden den nicht aktiv, nur unsere personalisierten Konten, daher wäre das ohne direkte Probleme nötig.

Wir wollten das schon lange machen, jedoch waren wir uns über mögliche Einschränkungen nicht sicher.

Bei der Recherche gab es nur ein einziges Risiko welches wir gefunden haben und zwar der AD Restore.  Dazu haben wir widersprüchliches gefunden. In einigen Artikeln hieß es der built-in Admin wird auf der Restore Konsole automatisch wieder aktiviert, mal hieß es ohne aktiven User geht es nicht.

Auch dieser Artikel hatte letztes Jahr noch die Empfehlung den User zu deaktivieren, inzwischen wurde das überarbeitet

Appendix D - Securing Built-In Administrator Accounts in Active Directory | Microsoft Learn

Zitat

This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server.

Auch das forest recovery sollte zuvor das Verhalten haben, dass der User wieder aktiv wird.

Nun bitte ich euch um echte, eigene Erfahrungen dazu. Hat es schon jemand durchgeführt und kann die Widersprüche aufklären?

 

Viele Grüße, Stefan

 

Moin zusammen,

 

bitte beachten, ich habe das bereits auf englisch hier gepostet (unbeliebter cross-post ich weiß):

Quser hangs and how to find the citrix load index equivalent - Microsoft Community Hub

 

Ich dachte im englischen Forum bekomme ich mehr Experten ran, ist ja nun mal die IT Sprache...

Jedoch gab es null Antworten.

 

Vielleicht könnt Ihr mir einen Tipp geben, welches Forum, welche Community auf englisch hier am aktivsten ist für Fragen zu den Themen Windows Server, Remote Desktop Services und Active Directory?
Ich habe diese Seiten gefunden und bin mir nicht sicher, welches die richtige ist:

https://learn.microsoft.com/en-us/answers/tags/301/remote-desktop

https://learn.microsoft.com/en-us/answers/tags/220/windows-server

https://techcommunity.microsoft.com/t5/windows-server/ct-p/Windows-Server

https://techcommunity.microsoft.com/t5/windows-server-for-it-pro/bd-p/WindowsServer

 

 

Nun endlich zu meiner aktuellen Frage zu Remote Desktop Services:

Wir haben eine Farm mit über 30 RDSH.

Seit einigen Wochen haben wir Probleme mit der Anmeldung. Wir sind darauf gestoßen, dass wir auch Probleme mit dem Abrufen von Sitzungsinformationen mit dem Befehl „quser“ haben. Die Eingabeaufforderung bleibt hängen und es wird keine Ausgabe gemacht.

Wir haben keine Ahnung, warum das passiert. Hat das jemand schon einmal erlebt?

Teilweise gibt es dort dann auch Sitzungen mit einem Idle Wert: "24692+". Kennt das jemand?

 

Zweite Frage:

Vor einigen Jahren hatten wir Citrix Terminalserver. Es gab eine Sache, die sich Lastindex nannte.

Die Citrix-Terminalserver erhöhten ihre Last während des Anmeldevorgangs eines Benutzers auf den Maximalwert von 10000. Danach sinkt sie auf einen niedrigeren Wert, basierend auf einigen Regeln für Ressourcen und so weiter.

Ich habe in RDS keinen Befehl gefunden, um einen ähnlichen Wert wie den Lastwert zu erhalten. Macht RDS etwas Ähnliches mit dem Lastindex wie Citrix? Wo kann ich diesen Wert erhalten? Wie verhindert eine rdsh zu viele gleichzeitige Anmeldungen? Wenn wir als Admins eine gleichzeitige Anmeldung provozieren, bekommt einer eine Meldung mit dem Text "Remotedesktopdienste ausgelastet".

Und auch der quser-Befehl scheint eine „kurze Pause“ zu machen und die Ausgabe kommt einige Sekunden später.

 

Ich bin über jedes Feedback dankbar.

 

Gruß Stefan

 

 

wir haben in den RZ jeweils die selben Netzbereiche, daher gibt es nur eine AD Site

Wir haben in beiden RZ je einen DC.

Bislang wuppen die sehr gut den Workload. Trotzdem überlegen wir zusätzlich einen DC in unserem VM Cluster laufen zu lassen.

 

vor 17 Minuten schrieb Nobbyaushb:

Wir hatten in unserer viel kleineren Umgebung 5 DC‘s…

Interessant, warum denn sogar fünf? Ist das nur wegen der Pferde vor der Apotheke oder hat das technisch einen konkreten Vorteil?

 

Moin,

 

erneut vielen Dank für eure Gedanken, Meinungen und Erfahrungen.

 

Auf einige Punkte möchte ich eben eingehen, da ich meine Ausgangslage scheinbar schlecht beschrieben habe.

Zunächst weil ich teils andere Begriffe verwende als im HyperV, wir nutzen den XenServer (Citrix) als Hypervisor.

Am 26.3.2024 um 16:38 schrieb Nobbyaushb:

60 Server laufen alle als VMs oder sind physische dabei?

Alles Windows oder Mix?

Bei 300 Usern würde ich wohl einen weiteren DC vorhalten...

Es sind bis auf einen Server nur noch VMs bei uns (außer die Hosts ). 

Wilder Mix aus insgesamt 460 VMs, Windows und Linux, sogar mehr Linux, mit dem AD verbunden davon ca. 140

Wir haben natürlich nicht nur einen DC, und die laufen entkoppelt auf separaten Hosts die nicht im Virtualisierungs-Cluster sind und nicht vom AD abhängig sind.

 

Am 26.3.2024 um 16:38 schrieb Nobbyaushb:

Aus einem Wiederherstellungs-Szenario bzw. Desaster-Recovery entsteht ein Backup-Szenario

Wie lange darf es dauern, bis was wieder einwandfrei funktioniert

Schöne Sichtweise und bestärkt mich diese Fragen nach dem Gedankenspiel dann auch praktisch zu erproben.

Denn ja, die Frage der Dauer ist spannend, da ich aber eh nicht weiß welchen Vorfall wir erleiden immer nur ein Baustein. Wir werden im Ende dann ja auch verschiedene Restore Wege haben. Und in dem Szenario ist erstmal entscheidend, dass ein Weg überhaupt funktioniert. Der schnelle wird dann vermutlich der mit der DR Kopie sein.

 

Unsere VM-Backups liegen neben dem aktiven Datenbestand und dann erste Kopie in einem zusätzlichen separaten Storage, dann noch in der klassischen Datensicherung die separiert ist und schlussendlich auch noch per Tape gesichert und im Bunker ausgelagert wird. 
Wir haben da schon eine Menge an Sicherungen. Nur der unabhängige Restore des AD wurde halt bislang dann nicht hinterfragt...

 

Am 27.3.2024 um 07:10 schrieb NilsK:

Billige Client-Hardware ist nur als Notlösung geeignet

Nein, nein. Das wird bei uns nicht mal als Notlösung in Betracht gezogen. Wir stellen uns da richtige Serverhardware hin. Unsere Kunden rufen per Haftbarhaltung so schnell große Summen bei Störungen auf, da ist der Preis für ein paar Server mehr in Relation komplett zu vernachlässigen.

 

vor 22 Stunden schrieb Squire:

Wenn Und du eh ein Backup RZ hast ... was spricht denn gegen einen weiteren DC dort? Oder wenn der nicht gewünscht wird, warum keine Replikat-VM der bestehen DCs zu dem zweiten Hyper-V

Gar nichts, siehe oben, wir haben einen zweiten ich denke hier das Szenario durch, beide DC und die Hosts sind schrott. Meine DR Kopie entspricht einem Replikat.

 

Grüße Stefan

 

 

Vielen Dank für eure Antworten! Ihr seid super.

 

Ja ich wollte da gar nicht den Eindruck erwecken meine Idee ist neu, nur findet man hauptsächlich Anleitungen die entsprechend etwas komplexere weil differenziertere Wiederherstellungen beschreiben.

 

Ich habe jetzt hier nur diesen einen Fall beschrieben. Natürlich fahren wir mehrgleisig und wollen mehre Möglichkeiten zur Hand haben da ja nie vorher bekannt ist welchen Vorfall man erlebt.
File- und Systemstate Backup ist vorhanden, bislang nur mit Backup Software. Ich werde das onboard Windows Backup ergänzen. 

 

Das mit dem "da gabelt sich der Weg" ist genau der Kern, ja.
Der Cyber-Vorfall ist sicherlich sehr eklig, weil in der Regel (zu) lange unklar und das Vertrauen verloren ist.
Die DR Kopie ist hier nur ein Mittel die komplett ohne Abhängigkeiten nutzbar ist.

vor 4 Stunden schrieb cj_berlin:

Tools, die auch "Cyber-geschädigte" ADs recovern können

Danke für den Tipp, war mir noch gar nicht untergekommen.

 

Und @NilsK ja, "einfach" endet dann bei einem echten Vorfall und dem nötigen Restore.
Ich finde deine Formulierung :

vor 3 Stunden schrieb NilsK:

vom Recovery her denken

richtig gut, schön griffig und trifft den Punkt.

Daher werde ich versuchen eine gute Testumgebung einzurichten und Restore Varianten zu testen. Jedoch kenne ich die Herausforderung zu einer guten Testumgebung, diese muss halt "mit Leben gefüllt" werden sonst hat das keine Aussagekraft. Und für umfangreiche Testumgebungen in denen auch Testbetrieb läuft sind wir mit unseren Admin-Ressourcen zu knapp.

Gruß

Stefan

Moin zusammen,

ich weiß, AD bzw. DC Restore ist ein oft diskutiertes Thema. Ich habe dazu auch eine Menge gelesen.

 

Doch ich möchte hier einmal kurz unser Gedankenspiel (Szenario) für einen Notfall beschreiben und eine ganz provokant simple Lösung von euch bewerten lassen.
Denn alles was ich gelesen habe ist aufwändig und bringt diverse Voraussetzungen mit. Ich vermute, da sich nur Admins mit großen komplexen ADs diese Gedanken machen gibt es auch nur entsprechende Anleitungen.

 

Szenario:

• Vorab:
  • nur zwei DCs und diese sind virtuell
  • Kein MS Exchange
  • AD ist recht klein und simpel: nur eine Domain nur ein Forest, ca. 300 User, 60 Server, 350 Client PCs, 30 GPOs, sehr seltene Änderungen (höchstens mal neue User)
    • alle FSMO Rollen auf einem DC, beide DC sind auch GC
    • DNS ist AD integiert und beide DC sind als DNS auf den Servern und Clients hinterlegt
• Notfall tritt ein: DCs schrott (warum auch immer, nur mal angenommen, komplett schrott und nicht startfähig)
• Hypervisor Pool/Cluster Umgebung auch komplett schrott

 

Idee für schnellen, simplen Restore:

• Auf einem gesonderten (eigenständigen) Hypervisor Server im Backup RZ gibt es aus der Virtualisierung Disaster Recovery Kopie des ersten DC
• Diese Kopie wird wöchentlich neu erstellt
• Es bleiben z.B. sechs Kopien als Historie liegen (um auch weiter zurück zu kommen, falls etwa ein Ransomware Angriff erst nach einigen Wochen entdeckt wird)
• Im Disasterfall wird eine der Kopie Versionen auf dem extra Server gestartet
• Der ältere Stand wird aufgrund der geringen Änderungsrate in Kauf genommen
• Einige Computerkonten und Userkonten werden abgelaufene Passwörter haben, wird dann halt individuell behandelt
• RID Konflikte erwarte ich nicht, da nur ein DC im Restore, der zweite wird anschließend im AD bereinigt und ein neuer zweiter DC aufgesetzt und hochgestuft

 

Was meint ihr dazu? Übersehe ich was? Denke ich mir das zu einfach? 

Bin gespannt auf eure Hinweise und Gedanken.

 

Viele Grüße

 

Am 8.2.2024 um 14:54 schrieb u0679:

Es war tatsächlich ein Fehler in der Replikation zwischen den DCs, der nicht aufgefallen war.  Nach Beseitigung des Fehlers hat es einwandfrei geklappt. 
Sorry für die verspätete Rückmeldung. 

 

Okay super, danke für die Rückmeldung. 
Das heißt, das eigentliche Inplace Upgrade auf 2019 hat sauber funktioniert? Wir stehen auch davor...

 

Am 1.11.2023 um 11:41 schrieb u0679:

Moin @cj_berlin, Danke, das teste ich mal. Melde mich dann wieder. 

 

 

Nachtrag:

FSMO Rollen sind einwandfrei verschiebbar. 

Replikationsstatus wird alles ok angezeigt. 

Und? Ging das Heraufstufen dann noch? Wie ist die Situation ausgegangen?

vor 3 Stunden schrieb cj_berlin:

Vermutlich weil der DC sie nicht erreichen kann. Trage Deine eigenen externen Forwarder als Root ein und lösche die offiziellen, dann sollte Ruhe sein - solange Deine Forwarder die Root-Zone auflösen können.

ja, aber genau das habe ich ja gemacht und dann entdeckt, dass die Einträge in der cache.dns und im AD, wie in dem von dir verlinkten Artikel, noch aufgeführt sind und daher der BPA meckert

Am 5.12.2023 um 07:19 schrieb cj_berlin:

Moin,

nein, da muss man nichts aufräumen. Du hast dringlichere Aufgaben in Deiner Infrastruktur. Den Haken bei "Use root hints if forwarder is not available" rausnehmen und/oder die Linux-DNS als Root Hints eintragen und glücklich sein.

Hm, ja habe ich so. Warum dann der BPA eine Warnung für jeden der im AD als Internet DNS Root hinterlegten Server wirft ist mir dann unklar.

ja, etwa per WMI Filter:
 

select * from Win32_OperatingSystem where Version like "10.%" and (ProductType="1")

 

Das sind dann nur Windows 10 Clients, keine Server.

Hier geht es jetzt nur im den Filter, die entsprechende Einstellung in der Richtilinie für Autoplay musst du dann entsprechend setzen

Ja ich kann mich hier nur anschließen, die Latenz ist da besonders wichtig.

19 ms Latenz ist super, bis 50 ist alles gut zwischen 50 und 100 ist okay, ab 120 wird es in der Bedienung nervig für die User

vor 1 Stunde schrieb mzaplata:

 

Hallo,

 

hab jemand eine Idee wie und ob man per GPO das Autoplay nur für bestimmte Geräte erlauben kann? Für alle anderen soll es deaktiviert bleiben.

 

Klar, du könntest das per Gruppe mit den Rechnern filtern. Entweder in der Sicherheitsfilterung, per WMI Filter, oder ganz detailliert in der Zielgruppenadressierung.
Je nach Anwendungsfall und GPO / OU Struktur

Am 13.12.2023 um 10:35 schrieb Nobbyaushb:

Ich finde dein Verhalten komisch, erst fragst du rum, man sendet eine PM und bittet um Kontaktinformationen und dann nix mehr?

Ziehe mein Angebot zurück...

Hi Norbert,

sorry, ich war hier einige Tage im Stress und musste das WE durcharbeiten, da wir Ärger mit unserem Storage hatten.
Ich weiß, dass ist keine gute Art hier im Forum zu kommunizieren, tut mir leid.

Am 4.12.2023 um 16:51 schrieb zahni:

Wenn man einen EA-Vertrag abschließt, bekommt man normalerweise einen sog. LAR zugewiesen.

Ja mag sein, für den Einstieg in einen EA sind wir zu klein

vor einer Stunde schrieb cj_berlin:

Moin,

 

bitte schön: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/root-hints-reappear-after-removed

Wow, danke, das war flott. 
Tatsächlich, in der cache.dns stand es noch drin, und im AD auch. 

Jedoch verstehe ich das nicht "Do not use recursion for this domain" das gibt es so auf dem Forwarders Tab beim Windows Server 2016 nicht.

Dort heißt es "use root hints if forwarders are not available", und das bezieht sich auf den DNS Server und nicht auf die Domain. Hm.

 

Und nun wundere ich mich schon sehr, es kann doch nicht üblich sein, dass man manuell auf internen DCs per ADSI Edit unter DC=RootDNSServers,CN=MicrosoftDNS,CN=System,... aufräumen muss. 
Ist unser Setup so fern ab vom Standard, oder übersehe ich etwas?

 

Moin zusammen,

 

auf unseren DC (Windows Server 2016) nutzen wir DNS nur intern, für externe Auflösung haben wir Linux DNS Server in der DMZ.

Da die DCs nicht durch die Firewall an die Internet Root DNS Server kommen habe ich die Root hints entfernt.

Auch der BPA meldet diese Warnung:

"DNS: Root hint server <IP address> must respond to NS queries for the root zone " für alle Standard-Root DNS Server:
https://go.microsoft.com/fwlink/?LinkId=188803

 

Nach dem Entfernen über die DNS MMC merkte ich nächsten Tag, dass die Einträge wieder da sind.

Also:
 

Get-DnsServerRootHint | Where-Object {$_.NameServer.RecordData.NameServer -like "*.Root-Servers.net."} | Remove-DnsServerRootHint -Force

 

Sieht erstmal gut aus, aber auch da kommen die nach einer Weile wieder.

 

Wie entferne ich die überflüssigen, nicht erreichbaren Einträge und belasse nur unseren Forwarder drin? Ich würde auch gerne den Check vom Best Practices Analyzer frei von Warnings bekommen.

 

Grüße Stefan

 

Edit: @Mods: bitte das Thema nach Active Directory verschieben

 

Gut, dass du die Rückmeldung gibst.

Und schade, dass es immer wieder nötig ist dieses Verzeichnis zu räumen um dem Update Dienst auf die Sprünge zu helfen.

Immerhin ist es heutzutage etwas weniger / seltener nötig als bei alten Servergenerationen. 

Ja, ihr habt sicher Recht, die Welt ist nicht schwarz-weiß.

Ich denke jedoch mit meiner Beschreibung konnte ich klar machen, das mir ein persönlicher und partnerschaftlicher Kontakt wichtig ist.

Danke für eure Statements und direkte Nachrichten. Gerne können mehr Vorschläge hier (oder DM) genannt werden.

Moin Leute,

 

ich weiß, diese Anfrage ist etwas ab vom typischen MS Server Thema und technischen Fragen.

Jedoch seid ihr einfach meine bester Quelle für Fragen rund um MS Server.

 

Wir betreiben ca. 180 Windows Server, 2 AD Forests, eine große RDS Farm, Exchange.

Dafür brauchen wir einen Dienstleister mit dem wir eine dauerhafte Beziehung mit einem Support Vertrag aufbauen können.

Dieser Dienstleister soll zu einem Partner werden, der unsere Umgebung gut kennt. Daher suche ich explizit nicht nach einem großen, anonymen Konzern, dann könnte ich das auch bei MS direkt einkaufen.

 

Könnt ihr mir Tipps geben für richtig gute Firmen mit denen ihr positive Erfahrungen gemacht habt?

 

Viele Grüße

Stefan

Moin,

 

wieder mal eine Spezialfrage.
Ich baue etwas zur Prüfung und Dokumentation der Farm Konfig was technisch auch schon gut funktioniert.

Nun wollte ich das als Task für einen Service Account einrichten und scheitere an Berechtigungen.

 

Ich versuche auf dem RD Connectionbroker per get-RDSessionCollectionConfiguration Informationen auszulesen.

Dies darf aber scheinbar ein normaler User nicht. Ist ja auch okay. 

Wer kann mir ein Tipp geben, an welcher Stelle das gesteuert wird?

 

Viele Grüße

Stefan

 

Moin,

klar darf man...

 

Wir hatten nur noch angestaubtes Wissen zur alten Citrix PS 4.5. Haben dann 2016 mit mehreren Partnern die neueren Versionen von Citrix angesehen und einen Vergleich mit RDS gezogen.

Damals bot RDS alles was wir brauchten und ersparte uns komplettes neu lernen und halt auch einfacheren Betrieb durch weniger Software die verwaltet und gepflegt werden muss.

Insgesamt sehe ich das weiterhin auch als richtig an, jedoch ist es tatsächlich sichtbar, dass RDS ohne Citrix Lücken hat. Diese versuchen wir nun zu schließen.

vor 5 Stunden schrieb cj_berlin:

Und, natürlich, wie immer:

AUF CROSS-POSTS HINWEISEN!

https://social.technet.microsoft.com/Forums/de-DE/4359ac0f-319c-4fd8-91e0-b9d074478a8a/rds-farm-und-rdweb-monitoring?forum=windows_Serverde

Jupp, sorry wollte möglichst viele erreichen mit meiner Frage...

vor 6 Stunden schrieb testperson:

Hi, zum Einen könntest du mal einen Blick auf Citrix bzw. Citrix Virtual Apps & Desktops werfen, da wäre schonmal ein deutlich besseres Monitoring (und sicherlich noch weitere sehr nette Benefits) dabei und zum Anderen bzw. zur eigentlichen Frage könntest du bspw. bei Control Up oder auch Goliath Technologies was zum Monitoring finden.

Gruß

Jan 

Citrix haben wir gerade vor ein paar Jahren abgelöst... deine beiden anderen Tipps sehe ich mir an, danke