Jump to content

kwakS

Members
  • Content Count

    586
  • Joined

  • Last visited

Everything posted by kwakS

  1. Hallo zusammen, vielen Dank für eure Antworten.Die entbrannte Diskussion um LAPS finde ich sehr spannend. Ich finde LAPS für Clients durchaus sinnvoll. Für Server hingegen würde ich es nicht einsetzen wollen. Aber meistens kann ich es nicht entscheiden...
  2. Korrekt, deswegen habe ich ja auch geschrieben, dass dann der Domänen Admin (gemeint war "DOMAIN\Administrator") mittels LAPS gesteuert wird. LAPS verwendet zur Steuerung des Passwortes die SID (...XXX-500)...
  3. Hallo zusammen, ich benötige mal wieder eure Hilfe. Der Sicherheitsbeauftragte möchte gerne, dass wir LAPS (Local Administrator Password Solution) einführen. So weit so gut. Allerdings möchte er auch, dass der "lokale" Admin des DCs mittels LAPS gesichert wird. Ich persönlich finde es eine schlechte Idee das Passwort für den Domänen Admin in das AD zu legen. Schon aus Recovery / Desaster Recovery Gründen. Gibt es eventl. eine Empfehlung seitens Microsoft? Ich habe da leider nichts gefunden... Was haltet ihr davon, LAPS auch für DCs zu implementieren. Gibt es eventl. andere Gründe LAPS nicht auf DCs wirken zu lassen? Oder vielleicht empfiehlt es ihr ja auch?
  4. Hallo Nils, ja, mit dem Export an der Quelle stimme ich dir vollkommen zu. Aber manchmal kann man nicht immer so wie wir die IT es gerne möchte (Stichwort Politik...) Im produktiven Script ist das Kennwort natürlich verschlüsselt abgelegt... Was natürlich nicht bedeutet, dass man es von dort aus nicht auch wieder entschlüsseln kann... Ich danke dir trotzdem für deine Hinweise. Danke blub für deinen Hinweis. Das war der Tipp den ich bräuchte
  5. Hallo zusammen, ich glaube ich habe mal wieder ein Brett vorm Kopf. Ich möchte ein Script bauen, um aus dem fremden AD Forest (kein Trust) die Mitglieder einer Gruppe auszulesen und dann deren Attribute (Name, E-Mail Adresse etc,) auslesen. Es muss auch per LDAP abgefragt werden, weil sonst keine weiteren Firewall Ports offen sind... Ziel des Scripts soll es sein, die Mitglieder als E-Mail Kontakte im Exchange einzupflegen. Bisher habe ich folgende Zeilen, die mir die Mitglieder der Gruppe ausgeben (als CN): $conn = "LDAP://corp.contoso.com:389/ou=user,ou=contoso,dc=corp,dc=contoso,dc=com" [ADSI] $RootDSE = $conn [Object] $RootDomain = New-ObjectSystem.DirectoryServices.DirectoryEntry($conn,"serviceuser@corp.contoso.com","hallowelt") [Object] $Searcher = New-Object System.DirectoryServices.DirectorySearcher $Searcher.SearchRoot = $RootDomain $Searcher.PageSize = 1000 $filter="(&(objectClass=group)(cn=$group))" $Searcher.Filter=$filter $result=$Searcher.FindOne() $members = $result.Properties.Item("member") $members Als Ausgabe erfolgt dann: CN=Frank Frankenstein,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com CN=Horst Vomwalde,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com CN=Udo Lindernberg,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com CN=Bert Wollersheim,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com Alle Mitglieder dieser Gruppe werden ausgegeben. Soweit alles gut. Nur weiß ich jetzt nicht weiter, wie ich die Attribute der einzelnen Mitglieder auslesen kann und z.b. in eine CSV exportieren kann. Habt ihr eine Idee? Grüße Harald
  6. Guten Morgen, vielen Dank für eure Rückmeldungen. Dann werde ich mir mal netsec anschauen. Wenn ich auf Probleme laufe, ihr werdet es erfahren :D
  7. Hallo zusammen, ich bin gerade auf der Suche nach einer Möglichkeit einen GAL Synch zwischen zwei Exchange Organisationen (und 2 unterschiedlichen AD Forests) zu ermöglichen. Möglichkeit 1: Import des GALs via csv Datei Möglichkeit 2: Softwareanbieter wie MS MIM 2016 oder Dell Collaboration Services Vorteil der Möglichkeit 1: es kostet nichts außer der Aufwand um die Daten aktuell zu halten Vorteil der Möglichkeit 2: einmal eingerichtet, funktioniert es einfach (so meine Hoffnung) Habt ihr noch andere Ideen, wie man die GALs zwischen den beiden Exchange Orgs synchronisieren kann? Grüße kwaks
  8. Hallo zusammen, ich habe eine Frage zur Funktionsweise bzw. zu der erwartenden Netzwerklast bei einer initialen Replikation der Mailboxdatenbank (seeding) Wenn ich einen neuen Exchange Server in die bestehende DAG aufnehmen will, und die DBs auf diesen Server verteilen möchte, mit welcher Netzwerklast ist bei der initialen Replikation zu rechnen? Ich vermute mal, Exchange kopiert die gesamte DB auf den neuen Server und aktualisiert dann die DB auf dem neuen Server via Log shipping? Und beim Kopiervorgang nimmt er dann bestimmt die gesamte Bandbreite die zur Verfügung steht oder? Grüße Harald
  9. Hallo zusammen, ich habe einen netten Kollegen, der seinen OCS 2007 R2 Server (unter W2k3 installiert) über ein inplace upgrade auf W2k8 R2 upgedatet hat. Nun kommen die OCS Dienste nicht mehr hoch. Das dieser Weg nicht supportet ist, ist klar. Aber wie kann ich ein laufendes OCS wieder hinbekommen? Ich habe die Schritte unter https://support.microsoft.com/de-de/kb/982021 durchgeführt. Ich habe schon eine Neuinstallation vom OCS probiert, hier habe ich leider das Problem, dass die Installation die Aktivierung des OCS abbricht und somit ist die Installation nicht korrekt durchgelaufen.(http://www.msexchangegeek.com/crypto-api-fix-kb-kb974571-can-break-your-ocs-2007-r2-install/) Aber der KB kann auf dem Server gar nicht angewendet werden. So langsam bin ich ratlos. Habt ihr eine Idee, wie man den OCS wieder zum laufen kriegen kann? Grüße kwaks
  10. Super, vielen Dank für die schnelle Antwort. Da hat mich meine Erinnerung doch nicht getrügt :)
  11. Hallo zusammen, ich habe eine eventuell einfache Frage. Was passiert wenn man Exchange 2013 neu startet? Im Speziellen möchte ich wissen, ob die Datenbanken während des Herunterfahrens dismounted werden. Ich bin der Meinung, dass neben den Diensten, auch die DBs heruntergefahren werden. Grüße kwakS
  12. "Also dann würde ich auf whitespace tippen. Was kommt denn dabei raus" Ich denke auch, dass es sich um WhiteSpace handelt. Sobald ich Ergebnisse habe, aktualisiere ich den Thread. Vielen Dank aber vorerst für die Unterstützung.
  13. Aber ich lass mich da natürlich gerne... manchmal sollte man seine Einträge nochmal durchlesen um zu merken, dass man nicht fertig geschrieben hat... :) "Also wenn ich einen neuen Ordner anlege, dann trägst du neue Replikate ein? "-->jip genau so wird's gemacht. @Reingucker:DAG hat nichts mit PublicFolder zu tun. Erst bei 2013 gibt es PublicFolder Mailboxen und damit kann auch die DAG genutzt werden
  14. Hallo Norbert, ja, ich bin mir sicher, dass immer die 3 Server als Replikationspartner eingetragen sind. Wozu 3 PublicDolder DBs? Es sind momentan 3 PF-DBs weil aktuelle eine Migration von einem altern 2010er auf 2 neue 2010 Server durchgeführt wird. Und man wünscht sich eine "HA" für PublicFolder. Aber um ehrlich zu sein, so genau weiß ich nicht wie Outlook schwenkt. Ich dachte das bekommt Outlook gar nicht hin, da ja in der MailboxDB noch die (eventl. defekte) DB eingetragen ist. Aber ich lass mich da natürlich gerne
  15. Hallo zusammen, ich habe 3 Exchange 2010 Server in der DAG. Jeder Server von ihnen hält eine PublicFolder Datenbank. Jeder der Server ist als Replikationspartner in den jew. öffentlichen Ordnern eingetragen. Allerdings unterscheiden sich die Datenbankgrößen der einzelnen PublicFolder DBs: Größe bei Server1: 2GB Größe bei Server2: 1GB Größe bei Server3: 950 MB Die Größe habe ich wie folgt ermittelt: Get-PublicFolderDatabase -Status | Format-Table Name,Mounted,DatabaseSize Ich habe auch mal schon die ItemCounts verglichen. Es gibt keine Unterschiede bzgl. der Itemanzahl. Wie kann solch eine Differenz sonst zustanden kommen? Kann das eventl. daher rühren, dass die DB des Server1 migiriert wurde und die anderen DBs sind neu erstellt worden und als Replikationspartner hinzugefügt worden? Grüße kwaks
  16. Hallo, Nils, vielen Dank für deine Erläuterung. Den Artikel auf deiner Seite hatte ich bereits genutzt um mich in das Thema einzulesen ;) @Dunkelmann: Danke für den Link zum E-Book. Ich denke in diesem Buch finde ich alle Antworten zu meinen Fragen im Bezug zu ADFS :)
  17. Hallo zusammen, ich habe eine Frage bzgl. der ADFS Authentifizierung und der Sicherheit bzw. der Angreifbarkeit der Authentifizierungsmethodik. Bei der ADFS Authentifizierung wird ja ein Security Token erzeugt, welches dem Kerberos Ticket ähnelt. Ist es möglich, dass dieses Security Token durch NTLM Authentifizierung ersetzt wird? Ist es rein theoretisch möglich, durch sniffing etc. Benutzernamen und Kennwort herauszufinden? Soweit ich weiß, wird ja das Security Token mit den zusätzlichen Informationen (wie z.B. Gruppenmitgliedschaften etc.) verschlüsselt. Ich möchte nur sicherstellen, dass wenn ich diese Technik einsetze, das Hacken von Benutzerdaten erschwert wird.
  18. Hallo zusammen, gibt es eigentlich ein frei verfügbares Tool um meine Server auf Schwachstellen überprüfen zu lassen? Ich weiß, dass Microsoft entsprechende RAPs (Risk Assessment Programm) anbietet, aber das Tool würde bei W2k3 den Dienst verweigern :D Hintergrund, wir haben noch ein paar W2k3 R2 Server im Einsatz und ich möchte prüfen, ob noch ein paar Einstellungen zur Verbesserung der Sicherheit vorgenommen werden können. Natürlich, das sicherste ist es die Dinger zu migrieren, das geht aber leider nicht so einfach... Oder hat jemand eine andere Idee, wie ich meine Server hinsichtlich Sicherheitseinstellungen überprüfen kann?
  19. Hallo zusammen, ich habe eine Frage bezüglich DB Zugriff aus dem Internet. Und ich hatte mit dieser Thematik noch keinerlei Erfahrung. Zur Zeit haben wir eine DB in der DMZ liegen, auf die externe Anwender (keine AD User, lokale User auf dem DB Server) zugreifen. Diese DB wird teilweise mit einer im LAN befindlichen DB synchronisiert. Hintergrund dieser Aufteilung, man möchte vermeiden, dass von extern auf die "große und allumfassende" DB zugegriffen wird. Der Zugriff von LAN in DMZ geht, Zugriff von DMZ in LAN ist unterbunden. Jetzt besteht der Wunsch, diese doppelte Benutzerverwaltung aufzulösen und mit AD Accounts in der DMZ zu arbeiten. Sicherheitstechnisch sehe ich hierbei große Probleme. Meine erste Idee war die DB komplett ins LAN zu integrieren, und den Zugriff von extern über ADFS zu ermöglichen. Aber ich bin mir nicht sicher, ob ADFS dies so umsetzen kann, Und dann hört es auch schon auf mit den Ideen, bei dem eine Verringerung der Benutzerpflege erreicht wird. Habt ihr noch Ideen, wie diese doppelte Benutzerverwaltung umgangen werden kann? Grüße kwaks
  20. Hallo Doso, vielen Dank für Deine Rückmeldung. Aber meiner Exchange Server haben alle den gleichen Versionsstand: Pruductversion: 14.03.0210.002 FileVersion: 14.03.0210.002 Überprüft habe ich es mit folgender Abfrage "GCM exsetup |%{$_.Fileversioninfo}" da bekannterweise die Abfrage über get-exchangeserver |select-object Name, AdminDisplayVersion nicht die Rollups darstellt. Und würden meine Server unterschiedliche Versionsstände haben, müsste ja beim zurück moven der Mailbox die Quelle den Versionsstand 14.3.123 haben. Aber das ist nicht der Fall. Die Quelle hat wie oben beschrieben den Versionsstand 14.3.210 Sehr merkwürdig... Grüße kwaks
  21. Hallo zusammen, mir ist gerade ein kleine Phänomen untergekommen. Kurz zur Umgebung: 4 Exchange 2010 Server Sp3 RU7. Wenn ich eine Mailbox via GUI über "lokaler Verschiebungsanforderung" auf einen anderen Server verschieben möchte, erhalte ich in dem Detailreiter des move reuqests die Angabe über Quell- und Zielversion. Diese stellen sich wie folgt dar: "Quellversion: Version 14.3 (Build 210.0)" "Zielversion: Version 14.3 (Build 123.0)" Wenn ich diese Mailbox wieder zurück move, sehe ich die gleichen Versionen (Quelle: 14.3.210; Ziel: 14.3.123) Ich habe folgende Vermutung; der Move-request wird über die GUI Konsole ausgeführt. Diese kenn ihre Version 14.3.210 aus der Exe Datei. Die Zielversion wird bestimmt via powershell abgefragt, und bekommt daher nur die AdminDisplayVersion zurückgegeben. Und diese ist bei allen 4 Servern 14.3.123. Habt ihr eine andere Idee woran die Darstellung des Versionsunterschieds liegen kann oder könnt ihr meine These stützen? Grüße kwaks
  22. Hallo zusammen, ich bin aktuell in den letzten Zügen meiner Exchange 2003 to 2010 Migration und beginne nun Exchange 2003 Server zu deinstallieren. In dem MS Whitepaper (http://technet.microsoft.com/en-us/library/bb288905) wird ja empfohlen die administrative Gruppe nicht zu entfernen. Gilt das nur für die erste Gruppe oder für alle? Könnte ich alle anderen administrativen Gruppen löschen?
×
×
  • Create New...