Jump to content

olc

Expert Member
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    3.978

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von olc

  5. AD OU Domain Controllers

    in Active Directory Forum

    Geschrieben

    Hi,

     

    das Verschieben ist von Microsoft "supported", aber *explizit* nicht empfohlen. Offensichtlich sind nicht alle TechNet Artikel in Bezug auf diese Aussage aktualisiert worden.

     

    Microsoft strongly recommends against moving any domain controller accounts out of the Domain Controllers OU (OU=domain controllers,DC=<domain name>). Moving these accounts can disrupt the consistent application of domain controller policies. For more information, see Securing Active Directory Administrative Groups and Accounts (http://go.microsoft.com/fwlink/?LinkId=168899).

     

    Hintergrund die potentielle Probleme mit den verlinkten GPOs, Monitoring Lösungen, diverser "Drittsoftware" als auch u.U. problematischen Auswirkungen, wenn etwa DC-Zertifikate eingesetzt werden (PKI). Die ausgestellten Zertifikate können den DN der DCs zum Ausstellungszeitpunkt der Zertifikate enthalten, was Probleme bereiteten kann, wenn die Objekte verschoben werden.

     

    Das "zurück Verschieben" ist also grundsätzlich empfehlenswert, kann jedoch (siehe Zertifikatbeispiel) auch zu Problemen führen. Vermutlich hast Du keine Testumgebung, die der Produktionsumgebung entspricht?

     

    BTW: Nur ein DC in einer Domäne / einem Forest ist nicht zu empfehlen. Bestenfalls sind es mindestens zwei DCs pro Domäne.

     

    Viele Grüße

    olc

  6. Computereinstellungen werden übernommen benötigt sehr lange

    in Windows Forum — Allgemein

    Geschrieben

    Hi,

     

    schön zu hören, daß Dir die Hinweise weiterhelfen konnten. ;)

     

    Häufig laufen die Scanner beim Computerstart an und prüfen diverse Abhängigkeiten, ggf. auch mittels WMI-Abfragen. Frag einmal bei Sophos an, ob das Problem bekannt ist - vielleicht behebt ja eine aktuelle Version das Problem.

     

    Hat leider nichts gebracht

     

    Dann nicht vergessen, den Ursprungszustand wieder herzustellen. ;)

     

    Viele Grüße

    olc

  8. Computereinstellungen werden übernommen benötigt sehr lange

    in Windows Forum — Allgemein

    Geschrieben

    Hi,

     

    neben dem Hinweis von Sunny:

     

    Die Verarbeitung von Gruppenrichtlinien im Computerkontext scheint aus meiner Sicht nicht das Problem zu sein:

     

    Start ist hier:

    USERENV(208.e50) 11:51:50:921 ProcessGPOs:  Starting computer Group Policy (Background) processing...

     

    Und hier sind die GPOs für den Computer durch:

    USERENV(208.e50) 11:52:26:025 ProcessGPOs: Computer Group Policy has been applied.
USERENV(208.e50) 11:52:26:025 ProcessGPOs: Leaving with 1.
USERENV(208.e50) 11:52:26:025 ApplyGroupPolicy: Leaving successfully.

     

    Das sind also ca. 36 Sekunden.

     

    Was dagegen interessanter erscheint ist die Zeit direkt vor dem Logon des Administrators:

    USERENV(d5c.d74) 11:52:32:309 LibMain: Process Name:  C:\WINDOWS\System32\alg.exe
USERENV(dc4.dd0) 11:52:34:185 LibMain: Process Name:  C:\WINDOWS\system32\wbem\wmiprvse.exe
USERENV(b20.1d4) 11:52:37:656 LibMain: Process Name:  C:\WINDOWS\system32\reg.exe
USERENV(4ec.808) 11:52:40:063 GetProfileType:  Profile already loaded.
USERENV(4ec.808) 11:52:40:142 LoadProfileInfo:  Failed to query central profile with error 2
USERENV(4ec.808) 11:52:40:157 GetProfileType: ProfileFlags is 0
USERENV(d08.22c) 11:52:40:345 LibMain: Process Name:  C:\WINDOWS\system32\userinit.exe
USERENV(fc0.fc4) 11:52:41:470 LibMain: Process Name:  C:\WINDOWS\system32\wbem\wmiprvse.exe
USERENV(208.be4) 11:53:46:005 IsSyncForegroundPolicyRefresh: Synchronous, Reason: policy set to SYNC
USERENV(d14.bb4) 11:53:47:646 LibMain: Process Name:  C:\Programme\Novell\ZENworks\esm\ZESService.exe

     

    Was läuft auf dem System als Virenscanner, Host-Intrusion, Inventarisierung, Softwareverteilung usw. usf. und was für Computer Startup-Scripts sind zugewiesen?

     

    Deaktiviere einmal Zenworks und ggf. die o.g. Komponenten und prüfe, ob die Verzögerung dann immer noch auftritt. Aus meiner Sicht ist die Minute Wartezeit auf die WMI-Rückmeldung hier Dein Problem:

    USERENV(fc0.fc4) [b]11:52:41:470 [/b]LibMain: Process Name:  C:\WINDOWS\system32\wbem\wmiprvse.exe
USERENV(208.be4) [b]11:53:46:005 [/b]IsSyncForegroundPolicyRefresh: Synchronous, Reason: policy set to SYNC
USERENV(d14.bb4) 11:53:47:646 LibMain: Process Name:  C:\Programme\Novell\ZENworks\esm\ZESService.exe

     

    Und der WMI-Aufruf wird vermutlich über einen zuvor gestarteten Dienst oder aber ein Startup-Script hervorgerufen.

     

    Viele Grüße

    olc

  9. Benutzerkonto wiederholt gesperrt

    in Windows Server Forum

    Geschrieben

    Die Lockoutschwelle habe ich bereits am Montag von 5 auf 10 erhöht. [...] Heute gab es übrigens keinen Anruf!

     

    Siehste? ;)

     

    Wie kann ich denn feststellen, welcher DC die Anmeldeversuche des Users entgegen genommen hat?

    Idealerweise würde ich das gerne mittels XPath-Abfrage ermitteln, ohne dass ich mir einen Zeitraum von einer Woche exportieren und per ASCII-Suche finden muss. Kann hier jemand helfen?

     

    Einen Link dazu habe ich oben gepostet. Mittels PowerShell kannst Du die Eventlogs verschiedener DCs abgrasen.

     

    Get-EventLog

    Use PowerShell Cmdlet to Filter Event Log for Easy Parsing - Hey,

    Scripting Guy! Blog - Site Home - TechNet Blogs

     

    Der "-UserName" Parameter könnte passen, bin mir gerade nicht sicher. Schau Dir das einmal an.

     

    Mit XPath: Get-WinEvent

     

    Viele Grüße

    olc

  10. Script Gpupdate

    in Windows Forum — Scripting

    Geschrieben

    Hi,

     

    warum die gruppenrichtlinien aktualisiert werden müssen, möchte ich hier weiter nicht erlaütern.

     

    Das ist schade - denn ohne diese Information können wir Dir hier nicht weiterhelfen.

     

    Aus meiner Sicht verfolgst Du den falschen Ansatz - und nicht sinnvolle Ansätze unterstützen wir hier in der Regel nicht.

     

    warum ich nicht psexec benutzten möchte bzw warum ich die nicht benutzte haben ich ja bereits geschrieben! meine frage an euch wie kann ich das gpupdate ausführen von dem activedirectory server?

     

    Die Antwort hatte Dir Dukel schon gegeben: Windows PowerShell Remoting

     

    Viele Grüße

    olc

  11. Benutzerkonto wiederholt gesperrt

    in Windows Server Forum

    Geschrieben

    Hi,

     

    Windows teilt dir nur mit das der Anmeldeversuch fehlgeschlagen ist. Wer/Welches Gerät das ganze probiert hat, wirst du aus den Logfiles nicht mitbekommen.

     

    Doch, diese Information wird im entsprechenden Event auf dem DC geloggt, auf dem der Anmeldeversuch stattgefunden hat. Zusätzlich wird die Information zum PDCe übertragen, sofern "AvoidPdcOnWan" nicht aktiviert wurde. Auf dem PDCe wird dann jedoch nur der DC geloggt, der ursprünglich den Anmeldeversuch "abgefangen" hat. Diesen DC muß man sich dann also anschauen.

     

    Spontan tippen würde ich ja mal auf eine Passwortänderung des Benutzers, die er auf seinem Mobile Device evtl nicht eingetragen hat. Stellt Ihr OWA oder ähnliches zur Verfügung - dann evtl einen Blick in die Firewall? Laufen unter dem Benutzer irgendwelche Dienste - Dann gucken ob das Passwort im Dienst auch geändert worden ist.

    Das wären so die ersten Vermutungen die ich anstellen würde.

     

    Ich persönlich finde "Vermutungen" immer schwierig. ;)

     

    Wie angesprochen: Wie hoch ist die Kontensperrungsschwelle?

     

    Viele Grüße

    olc

  13. Benutzerkonto wiederholt gesperrt

    in Windows Server Forum

    Geschrieben

    Hi,

     

    schau einmal hier hinein: https://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer.aspx?Redirected=true

     

    Welche Lockout-Schwelle hast Du bei Dir in Betrieb? Alles unter "10" rechtfertigt vermutlich noch nicht einmal ein Troubleshooting - erst, wenn ein Benutzer trotz 10-50 ungültigen Anmeldeversuchen gesperrt wird, hat es aus meiner Sicht Sinn, das gegenzuprüfen.

     

    Viele Grüße

    olc

  15. Trotz entsprechender gesetzter GPO wartet Windows 7 nicht aufs Netzwerk

    in Windows 7 Forum

    Geschrieben

    Hi,

     

    kann, vielleicht, unter Umständen ;) - das bringt Dich nicht weiter. :)

     

    Du solltest auf die Netzwerkabteilung zugehen und nach der Portfast Option Fragen oder ob es "auf der Leitung" Probleme gibt. Das sollte sich Port-bezogen nachvollziehen lassen.

     

    Erst danach hat es Sinn weiter zu suchen - denn Dein Test mit dem "billig-Switch" zeigt ja recht deutlich, daß es in diese Richtung zu gehen scheint.

     

    Viele Grüße

    olc

  16. Create with a W2k8 PKI pks12

    in Windows Server Forum

    Geschrieben

    Hi,

     

    ich hoffe nicht, daß das *.PFX an das iOS Gerät übertragen wird?

     

    Bevor Du da irgend welche privaten Schlüssel durch die Gegend transferierst, solltest Du noch einmal genau fragen, was da eigentlich passiert. Mittels NDES o.ä. lassen sich die iOS Geräte mit Zertifikaten versorgen und sollten maximal das Zertifikat (ohne privaten Schlüssel) der CAs bzw. des Barracuda Geräts bekommen.

     

    Aber ohne weitere Infos ist es schwer hier weitere Hinweise zu geben.

     

    Viele Grüße

    olc

  17. GPO Passwortänderung über VPN

    in Windows Server Forum

    Geschrieben

    Moin, :)

     

    AFAIR waren solche Kennwortänderungen bei XP noch nicht so in der Art möglich. Ich kann mich auch täuschen. Geht das jetzt erst seit VISTA richtig?

     

    Also wenn ich die Frage nicht falsch verstanden habe, sind normale Kennwortänderungen gemeint. Die waren auch unter XP bei aufgebautem VPN möglich.

     

    Ist dabei egal, welche SW zum Aufbau der VPN Verbindung verwendet wird?

     

    Ja, der NLA erkennt die Verbindung zur Domäne und die GP-Engine "hört" auf den Systemcall dazu. Wie die Verbindung hergestellt wurde ist dabei egal.

     

    Viele Grüße

    olc

  19. GPO Passwortänderung über VPN

    in Windows Server Forum

    Geschrieben

    Hi,

     

    Wenn Du die VPN Verbindung vor der Benutzeranmeldung startest, kann das PW geändert werden.

     

    Das geht auch, nachdem der Benutzer angemeldet wurde und das VPN hergestellt wurde. Oder verstehe ich die Frage falsch?

     

    Im Hintergrund werden alle ~90 Minuten die GPOs geholt, wenn die VPN Verbindung steht. Forcieren kannst Du das auf der Commandline mit gpupdate /force.

     

    Ab Vista werden die GPOs (keine Anmeldescripts o.ä.) direkt nach Aufbau der (Domänen-) VPN Verbindung abgearbeitet, sofern die standardmäßig eingestellten 90 Minuten nach der letzten GPO Aktualisierung abgelaufen sind.

     

    Viele Grüße

    olc

  23. Fragen zu NDES Server (SCEP)

    in Windows Forum — Security

    Geschrieben

    Hi,

     

    ja, der private Schlüssel wird in diesem Fall wie angesprochen auf dem Gerät erstellt. Der NDES Server vermittelt im Kern nur den Request an die entsprechende CA und diese stellt auf Basis des Requests ein Zertifikat aus.

     

    In dieser konkreten Konstellation verläßt der private Schlüssel das mobile Gerät nicht.

     

    Wenn Du das Vorhaben in größerem Maßstab durchführen möchtest und nicht nur auf einem mobilen Gerät, kommst Du im Moment an Managementsoftware von Drittherstellern (egal ob für iOS, Andoid oder Windows Phone) nicht vorbei - die Standardmethoden der Telefone zur zentralen Schlüsselverwaltung sind nur sehr rudimentär oder aber schlichtweg nicht vorhanden.

     

    Von welchem OS reden wir denn auf dem mobilen Gerät?

     

    Viele Grüße

    olc

  24. keine Anmeldeserver zum Verarbeiten...

    in Active Directory Forum

    Geschrieben

    Hi,

     

    von Zonenübertragungen hast Du bisher nicht geredet, daß es in eine Richtung klappt hast Du auch nicht erwähnt. Sofern Du die Informationen weiter zur scheibchenweise zum Besten gibst, kommen wir nur mühsam weiter. ;)

     

    Nimm wie angesprochen einen Netzwerktrace und filtere auf DNS Anfragen, während Du den Fehler reproduzierst - was siehst Du?

     

    Firewall Einstellungen (insbesondere RPC + dynamisches RPC / DNS / Kerberos) sind in beide Richtungen korrekt?

     

    Viele Grüße

    olc

  25. Fragen zu NDES Server (SCEP)

    in Windows Forum — Security

    Geschrieben

    Hi,

     

    Du kannst das jeweils verwendete Template anpassen, siehe dazu AD CS: Network Device Enrollment Service

     

    SigningTemplate

    If this key is set, NDES uses this value as the certificate template name when clients enroll for a signing certificate.

     

    EncryptionTemplate

    If this key is set, NDES uses this value as the certificate template name when clients enroll for an encryption certificate.

     

    SigningAndEncryptionTemplate

    If this key is set, NDES uses the value as the certificate template name when clients enroll for a signing and encryption certificate, or when the request does not include any enhanced key usage.

     

    Note

    When you modify any of these settings, you must stop and restart IIS in order for them to go into effect.

     

    Viele Grüße

    olc

×
×
  • Neu erstellen...