olc

Genau, der miisclient ist nur etwas beschnitten im Vergleich zu früher.

BTW: wenn Du AAD Premium lizenziert, ist der Microsoft Identity Manager (MIM, ehrm. FIM) damit inklusive. Damit kannst Du dann komplexe IdM Szenarien abbilden.

Viele Grüße

olc

Hi Stefan,

ich vermute Du meinst den miisclient? FIM war noch nie Teil der Sync Tools, nur die Filter-Komponente.

Der miisclient ist abgespeckt dabei. Dafür kannst Du den MIM Connector für komplexere Szenarien verwenden.

Was genau möchtest Du denn erreichen?

Viele Grüße

olc

Hi Stefan,

korrekt, AADConnect löst die alten Tools ab. Neue Funktionen sind unter anderem die leichtere Integration von ADFS durch AADConnect, neue Filtermöglichkeiten ohne in die Tiefe der miis-Menüs zu gehen usw.

Kurz gesagt: die alten Tools werden zusammengeführt und nicht weiter entwickelt. An AADConnect kommst Du also nicht mehr vorbei.

Eine Migration ist möglich, schau einmal hier hinein: https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-dirsync-upgrade-get-started/

Viele Grüße

olc

Hi,

Zusatzpunkte gibt es, wenn das dsrm Kennwort auf allen DCs zyklisch geändert wird. ;)

https://blogs.technet.microsoft.com/askds/2009/03/11/ds-restore-mode-password-maintenance/

Viele Grüße

olc

MIM Modern UI App, wobei ein MIM und MIM Certificate Manager deployment ein dickes Brett ist. Ob das für Dich relevant ist, kann ich anhand der verfübaren Daten nicht sagen.

https://technet.microsoft.com/de-de/library/mt134415.aspx

Viele Grüße

olc

Hi,

hast Du zwei Accounts hier im Forum?

@olc: Wie gesagt, zur Zeit informiere ich mich nur über das Thema. Eine Anforderung existiert derzeit nicht.

Das hab ich verstanden. :) Meine Antwort bleibt jedoch: eine sinnvolle Antwort gibt es nur mit sinnvollen Anforderungen. Daher habe ich oben auch ein, zwei Varianten beschrieben, die das Szenario verändern und unterschiedliche Anforderungen spiegeln. Das hilft hoffentlich auch ein wenig weiter im Gedankenspiel?

Ich stelle mir aber gerade noch die Frage: Welchen Sicherheitsvorteil der Einsatz der (virtual) Smartcard gegenüber der Windows Authentifizierung hat.

 

Verwende ich bei der (virtual) Smartcard eine entsprechend starke PIN, könnte ich ja direkt bei Windows Authentifizierung mit einem starken Kennwort bleiben. 

Oder übersehe ich etwas?

Die vSC ist an das Gerät gebunden (TPM). Ein Kennwort kann überall verwendet werden, also auch bei Remote Zugriffen. 2-Faktoren eben: etwas, was Du hast (oder was Du bist) und etwas, was Du weißt.

Viele Grüße

olc

Hi Stefan,

je nach Benutzer kann die Trennung vom Gerät gut oder schlecht sein. :)

Im Ernst: meiner Erfahrung nach hat es Sinn, Sicherheitstechnik so einfach wie möglich zu gestalten, damit es von den Benutzern angenommen wird. Bei vSC ist das m.E. der Fall.

Sofern schon eine SC Infrastruktur vorhanden ist, kann auch eine Trennung der Sicherheitslevel pro Dienst sinnvoll sein. Etwa vSC für alle "normalen" Authentifizierungen (gegen Applikationen, Webinterfaces usw.) und eine normale SC für Signaturen, Server Zugriffe usw. Gerade wenn die SC nicht nur IT-technisch relevant ist, sondern auch Zutrittssysteme steuert usw., kann der business case sehr verschieden aussehen.

Daher meine Rückfrage zu Deinen Anforderungen. Je genauer Du weißt, wohin Du mittelfristig möchtest, umso besser lassen sich die verschiedenen Modelle eruieren, anpassen, vermischen usw.

Viele Grüße

olc

Hi,

wie meinst Du 'nur den Laptop und die PIN'? Das ist der Sinn von 2-Faktor Authentifizierung. Nicht anders bei SmartCards o.ä.

Sicherheit ist im Kontext Deines angestrebten Sicherheitsniveaus zu bewerten. Grundsätzlich ist vSC mit TPM durchaus als 'sicher' zu bewerten, siehe dazu jedoch den ersten Satz dieses Absatzes.

Wie lauten Deine Anforderungen?

Viele Grüße

olc

Haste schon Recht :) - wobei ich das schon einmal durchrechnen würde. Ausschließlich online ist es wenig komplex, erst der MIM ist aufwändiger.

Ob die investierten Euros in eine lokale Lösung besser investiert sind? Insbesondere, wenn Du dann weitere Funktionen von AAD nutzen kannst?

Kommt drauf an.

Hi,

mit Azure AD Premium hast Du auch die Möglichkeit ein Self-Service Password Reset Portal zur Verfügung zu stellen. Hat den Charme, dass es mobil auf allen Endgeräten der Benutzer aufgerufen werden kann. Wenn Du das möchtest. ;)

Alternativ kannst Du auch lokal/on-premises den MIM dafür einsetzen - ist bei Azure AD Premium dabei.

Viele Grüße

olc

Hi,

die Frage ist, was Du für Anforderungen hast.

Das klassische AD hat nur wenig mit Azure AD zu tun. Wenn Du aber "alles neu" machen möchtest wie oben beschrieben, kannst Du Deine Anforderungen ja auch "neu denken". ;)

Die Azure AD Domain Services sind aus meiner Perspektive eher eine Brückentechnologie zum Übergang - hier kannst Du NTLM, Kerberos, LDAP, RPC usw. nutzen.

Grundsätzlich gibt es zumindest seitens Microsoft kein anderes AD "SaaS" als die AAD Domain Services, aber Du kannst natürlich auch DCs als IaaS auf Azure betreiben.

Wie gesagt, definiere genau Deine Anforderungen und danach hat es Sinn zu schauen, was passt.

Viele Grüße

olc

Das Problem ist, dass das Kennwort manuell durch den TO geändert wurde. Da nicht klar ist, gegen welchen DC die Änderung durchgeführt wurde hat es durchaus Sinn, es noch einmal richtig zu machen. :)

Viele Grüße

olc

Hi,

hast Du vor dem Rücksetzen des Kennworts den KDC Dienst gestoppt auf dem fehlerhaften DC und war der Zielserver für die Kennwortrücksetzung der "funktionierende" DC?

Falls nicht:

1. auf fehlerhaften DC KDC Dienst stoppen und deaktivieren.

2. Compterkonto reset des fehlerhaften DCs gegen den funktionierenden DC.

3. Neustart des fehlerhaften DCs.

4. Replikation prüfen.

5. KDC Dienst wieder auf automatischen Start setzen auf dem nun hoffentlich wieder replizierenden DC.

Viele Grüße

olc

Hi andrew,

schau einmal hier hinein - https://technet.microsoft.com/en-US/library/cc770413(v=ws.10).aspx. Im Eventlog des OCSP Responders solltest Du alle relevanten Infos finden.

Davon ab bin ich mir nicht sicher, ob certutil die Daten korrekt anzeigt. Probier es bitte auch einmal mit "pkiview.msc", zum Beispiel direkt von Deiner CA aus.

Viele Grüße

olc

Hi,

bevor Du Dich auf einen "Timeout" des Scripts festlegst, schau erst einmal ob es noch andere Gründe geben könnte.

Hast Du die Möglichkeit ein Logging in die Batch Datei einzubauen, welches in eine Textdatei schreibt (bzw. ggf. auch mehrere, je nachdem welche Infos Du abfangen möchtest)?

Vielleicht bringt das ja noch weitere Einblicke.

Viele Grüße

olc

...noch ein Hinweis zu den CNAMEs: in Bezug auf Kerberos sind CNAMEs ggf. ein Problem. Greifen Clients über CNAMEs auf Zielserver zu, etwa den Fileservice, können keine Kerberos Service Tickets aussgestellt werden, da die Kerberos SPNs für den Zielprinzipalnamen fehlen. Es würde in diesem Szenario zu einem Fallback auf NTLM kommen.

Um es kurz zu machen: schau Dir beim Zugriff auf das Zielsystem (etwa Fileserver) mittels CNAME im Netzwerktrace an, ob es zu Kerberos Fehlern kommt. Das ist wahrscheinlich.

Sofern Du Fehler siehst, registriere auf der neuen Zielmaschine den SPN, der angefragt wird - so zum Beispiel "cifs/cname" oder "host/cname".

Sofern die alten Server noch als Computerobjekt im AD vorhanden sind, prüfe vorher, ob sie die entsprechenden SPNs selbst noch registriert haben - falls ja sollten die alten Konten, sofern die Server tatsächlich nicht mehr betrieben werden, gelöscht werden. Sonst kommt es zu doppelten SPNs, was wiederum zu einem NTLM Fallback führen würde.

Ein Teufelskreis. ;)

Ach, und: was spricht dagegen, auf zum Beispiel 10% der Windows 7 Clients (die sollten ein Querschnitt aller Systeme sein, also möglichst "breit" aufgestellt) einmal NetBIOS zu deaktivieren und zu prüfen, ob es überhaupt zu Problemen mit Applikationen kommt? Dann weißt Du zumindest, wie relevant das Problem tatsächlich ist.

Viele Grüße

olc

...und als ergänzenden Hinweis: nutze auf der CA das Tool "pkiview.msc", um herauszufinden, welche URLs konkret als fehlerhaft gemeldet werden.

Viele Grüße

olc

Hi Beetlejuice,

die Beantragung des Computerzertifikats geschieht im Sicherheitskontext des Computers. Das heißt der Computer benötigt die Zugriffsrechte (Read+Enroll) auf dem Zertifikat-Template.

Du könntest zum Beispiel eine Gruppe anlegen, in der alle Computer/Server Mitglied sind, die das Zertifikat anfordern sollen, um dieser Gruppe dann die Berechtigungen auf das Template zu geben.

Alternativ gleich per Autoenrollment auf diese Filtergruppe die Zertifikate ausrollen, je nach Anforderung Deinerseits.

P.S.: Nach dem Hinzufügen der Computer/Server in die neue Gruppe nicht vergessen die Systeme neu zu starten, um die Gruppenmitgliedschaft "anzuwenden".

Viele Grüße

olc

N'Abend,

ok, ich merk schon - das würde ein längerer Thread werden. Daher nehm ich den Beitrag hier als Anlaß, einen letzten Beitrag zu leisten, um danach wieder dem TO Thema Platz einzuräumen. :)

Wie einfach es geht lokal Daten abzuspeichern ist uns klar, und genau das ist ein Problem von BYOD.

Mit den richtigen Prozessen, unterstützt durch Technologie (etwa VDI, RMS, DAC usw. usf.) ist das kein Problem. Im Gegensatz dazu ist es durchaus ein Problem so weiterzumachen wie bisher. Die Anforderungen ändern sich - und so sollte es meines Erachtens auch die Administration tun.

Es gibt noch ein paar weitere, die wir hier aber nicht diskutieren müssen.

Man kann teil des Problems oder der Lösung sein. Ich gebe mein Bestes, zu letzterem beizutragen.

Danke, aber da bleiben wir doch lieber bei der herkömmlichen Lösung.

Vollkommen in Ordnung, solange es Dein Arbeitgeber genauso sieht. Mit dem Risiko auf oben genannte Konsequenzen.

Es ist einfacher das mit zwei Geräten zu handeln, was nützt es dem MA wenn er die Anrufe um 21 Uhr vom AG ignoriert? Und er sich am nächsten Tag bezüglich BYOD etwas anhören darf. Nein, nenn es altmodisch, privates Gerät hat in der Firma nichts verloren. Und umgekehrt.

Das ist Deine Sicht der Dinge - vielleicht solltest Du die Mitarbeiter entscheiden lassen. Die haben häufig eine ganz andere Sicht der Dinge. So übrigens auch ich.

Zusätzlich habe ich explizit auf die Unternehmenskultur hingewiesen. Die Herangehensweise muß sich ändern - mit Methoden der 60er Jahre des letzten Jahrtausends kommen wir heute nicht weiter. Vieles hat sich geändert, vieles wird sich ändern. Ich persönlich versuche es in einer mir sinnvoll erscheinenden Art zu beeinflussen, anstatt durch Blockade sämtliche Wirkungsoptionen zu verspielen.

Denn die Fragestellungen, die sich durch das Thema "Freizeit/Arbeitszeit" im von Dir genannten Kontext ergeben, bieten Optionen in beide Richtungen: Probleme als auch Möglichkeiten.

Viele Grüße

olc

Hi,

wir gleiten etwas vom TO Thema ab, aber... ;)

Ich vielen Umgebungen müssen Anwendungen validiert werden. Woher sollen wir den wissen ob eine der tollen APP's nicht mal eben auf Dateien zugreift, auf denen sie nicht zu suchen hat ? 

Ich verstehe den Zusammenhang nicht. Die Zugriffe werden auf der Ressource gesteuert, nicht über die Applikation, die der Benutzer öffnet.

Ich bin mir übrigens nicht so sicher, ob User "zufriedener" sind, wenn sie ihre "Lieblings-App" im Firmennetzwerk nutzen können.

Das magst Du glauben oder nicht - es ist genau so. Es geht um die gefühlte, die subjektive Zufriedenheit.

Oder nimm den Anwendungsfall "Nachwuchs" - was denkst Du, wie sich ein gut qualifizierter Student entscheiden wird, wenn er die Auswahl zwischen einem modernen Unternehmen oder einer Behörde im alten Stil hat? Der Großteil wird sich seinem Lebensstl entsprechend für das Unternehmen entscheiden, welches ihm mehr Freiheiten läßt. Die Freiheit ein Telefon zu wählen, bei dem Farbe und Style paßt. Ein Laptop, mit dem man auch im Cafe nett aussieht und die Tastatur sich gut klicken läßt, bei dem die Tastatur zu meiner Fingerlänge paßt und nicht das "Standard Gerät von XY, welches eben alle Mitarbeiter haben". Wahlfreiheit eben.

Nimm es mir nicht krumm - aber Du wirst Dich davor nicht verschließen können, sofern Dein Unternehmen auch langfristig noch gut ausgebildete Kollegen anwerben möchte. 

Ich denke mal da an den "Excel-Spezi": Der denkt sich irgendwas aus, und führt diese Lösung, am IT-Bereich vorbei, bei div. Userrn ein. Wir hatten mal so einen Fall. Da hätten Euch die Ohren..... Er ist dann natürlich der "King". Nun kann es passieren, dass dieser User das Unternehmen verlässt. Wer soll dann den Mist Supporten ? Genau.

Falls das noch niemand gemacht hat: Man kann mit Excel eine 3270-Emulation "fernsteuern"...

Es ist Deine Aufgabe als "Dienstleister IT" langfristig dafür zu sorgen, daß Deine Umgebung weiterhin verwaltbar bleibt und gleichzeitig die Produktivität der Anwender unterstützt wird. Ich verstehe also Dein Beispiel nicht. Vermutlich hat der Kollege genau so gehandelt, weil er vorher von den Kollegen der IT nur ein müdes Lächeln kassiert hat, als es um die Realisierung seiner Idee ging. Sofern die IT-Abteilung als "Partner" oder neudeutsch als "Enabler" gesehen wird, kommen die Ideen direkt zur IT-Abteilung anstatt daran vorbei zu gehen. Dafür bedarf es allerdings einem Paradigmenwechsel auf beiden Seiten, um die eingefahrenen Mechanismen aufzubrechen. Ist sicher nicht einfach, aber sinnvoll und lohnenswert, für alle Seiten.

Nun dehnen wir das mal auf App's aus dem Store aus. User machen was sie wollen, z.T. von gewissen Usern gesteuert. Wenn es dann nicht geht zeigen alle auf Euch.

 

Und ich zeige auf Microsoft....

Dafür gibt es klare Regeln, bzw. diese Regeln müssen definiert werden. Siehe oben.

BYOD halte ich immer noch für Ideen überbezahlter Manager. In 95% der Fälle geht es darum Firmen-Mails/Kalender auf einem Eier-Dingbums lesen zu können.

Für die anderen 5% gibt es dann RDS oder VDI-Lösungen. Wobei hier auch keine eigenen APP's in das Firmennetzwerk kommen.

Ok, was genau ist schlecht daran, E-Mails Plattformunabhängig lesen zu können? 

Eine mögliche Lösung hast Du mit RDS oder VDI ja auch schon genannt. Oder Web-Portale - die in Zukunft durch Apps abgelöst werden können. Die klassische Webseite hat langfristig ausgedient, zumindest in diesem Kontext.

Oder ist das hier gerade so eine Diskussion wie um das Start-Menü bei Windows 8? Dann klinke ich mich lieber gleich aus, denn wenn es um "Empfinden" geht, ist keine Diskussion notwendig.

Etwas schwierig finde ich bei BYOD immer noch im Fall des Falles, ein MA wird vor die Tür gesetzt, Account deaktivieren geht recht schnell, man will aber auch das Gerät komplett deaktivieren, geht damit aber nicht, ist nicht das Gerät vom MA.

Je nachdem, woe die Daten liegen, ist das kein Problem. Normalerweise ja "zentral" und nicht auf dem Gerät selbst.

Oder alternativ im Sinne von Virtualisierung / VDI oder BlackBerry ähnlich mit einem 2. OS / einer Sandbox auf dem System.

Und mit einem privaten Gerät kann der AG den MA immer erreichen, ein geschäftliches Gerät kann ich abschalten, bin aber privat noch erreichbar.

Was der Mitarbeiter mit sich selbst ausmachen kann und muß. Dafür gibt es m.E. keine sinnvolle technische Lösung, da hilft nur Unterstützung jedweder Arbeits-/Freizeitmodelle und klare Hinweise der Geschäftsführung o.ä., wie die Unternehmenskultur gelebt wird.

Viele Grüße

olc

Da stimme ich Dir grundsätzlich, wie schon geschrieben, auch zu.

An der technischen Verwaltbarkeit muss etwas verändert werden - am Hintergrund einer im Rahmen professioneller Administration betriebenen eigenständigen Nutzung des Geräts gibt es m.E. keine grundlegende Kritik. Darauf bezog sich meine Antwort.

Viele Grüße

olc

...oder weil sie wissen, dass Benutzer, die Ihren Arbeitsplatz zum Beispiel mit den Apps Ihrer Wahl (Stichwort "Personalisierung") ausstatten dürfen/können, insgesamt zufriedener mit "der IT" sind und ab und an sogar insgesamt produktiver als man denkt. Die Zeiten von "die Kollegen der IT schreiben mir vor, wie ich mit meinem Gerãt arbeite" sind m.E. vorbei.

Um es explizit zu sagen, nur damit keine Missverständnisse entstehen: ich bin auch überhaupt nicht glücklich mit der "Verwaltbarkeit" der ganzen App-Thematik. Das ist einfach (noch) nicht rund. Ich möchte jedoch sagen, dass es durchaus Gründe dafür gibt den Anwendern mehr Möglichkeiten bzw. andere, als sie es bisher hatten. Das ist auch die Idee von BYOD.

Viele Grüße

olc

Alles klar, meld Dich. :)

Hi Coolace,

mit hoher Wahrscheinlichkeit ist das Computerkonto des DCs out-of-sync. Schau Dir einmal den folgenden KB an: http://support.microsoft.com/kb/325850/en-US

Unter 2008 und höher ist netdom.exe builtin mit dabei, alle anderen Schritte sollten noch passen.

Viele Grüße

olc

Hi Monty,

ich hoffe ich verstehe die Frage richtig: Du möchtest also unabhängig vom Standort immer alle "Referrals" angezeigt bekommen, korrekt?

Das ist eigentlich standardmäßig so - kann es also sein, daß Ihr die folgende Option gesetzt habt? 

• EnableInsiteReferrals

Damit würdet Ihr alle Links abschalten, die außerhalb der Client-Site liegen. Siehe dazu auch: http://technet.microsoft.com/en-us/library/cc732414.aspx

Ggf. müßt Ihr diese Option also wieder deaktivieren.

Viele Grüße

olc