olc
-
Gesamte Inhalte
3.978 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von olc
-
-
Hallo Hannes,
grundsätzlich sind solche Projekte fast immer zu begrüßen, also mach weiter, auch wenn ich sage, daß es eine Funktion built-in gibt, die im Kern zumindest den aktuellen Anforderungskatalog von Dir erfüllt. ;)
Leg Dir einen Ordner an, in den Du die Links zu Deinen gewünschten Programmen legst. Dann einfach "Rechtsklick" auf die Start-Leiste --> Toolbars --> Deinen Ordner wählen.
Ist zwar ein anderer Ansatz, von der Zielerreichung aber aus meiner Sicht in etwa das, was Du da beschreibst oder?
Shortcuts lassen sich dafür auch festlegen, wenn ich mich nicht irre.
Viele Grüße
olc
-
Hi,
wie gesagt - schau, ob Du das wirklich vom Gruppennamen abhängig machen möchtest.
Warum möchtest Du die Domänen der Firmen trennen? Gibt es dafür einen bestimmten Grund?
Ja, die NetBIOS Namen müssen sich unterscheiden.
Ja, Exchange kannst Du in einer Gesamtstruktur betreiben.
Bitte nicht falsch verstehen - aber hat es vielleicht Sinn, hier einen in diesem Bereich erfahrenen Dienstleister mit ins Boot zu holen? ;)
Viele Grüße
olc
-
Hi,
es ist immer schwer, solche Fragen zu beantworten. Es stellen sich zu viele Seitenfragen, ohne die eine sinnvolle Betrachtung kaum möglich ist.
Sofern es Dir tatsächlich ausschließlich um die Betrachtung der ".local" Adresse geht, würde ich davon abraten. Das Suffix ".local" wird von Multicast DNS genutzt, siehe dazu Zeroconf .
Insgesamt empfehle ich persönlich fast immer die Delegierung einer Subzone im eigenen, offiziellen und "gemieteten" DNS Namensraum, also etwa "intranet.firmengruppe.tld". Das kann zwar problematisch sein, wenn sich der Unternehmensgruppenname einmal ändert - aber ich finde das weniger problematisch, also TLDs zu nutzen, die seit neuestem über die IANA registriert werden können.
Alternativ eine Domain registrieren, die nichts mit der Firma oder der Unternehmensgruppe namenstechnisch zu tun hat ("intern.x89345.de"). Dann sind Kollisionen mit "politischen" AD-Fragen eher ausgeschlossen.
Aber dazu gibt es verschiedene Meinungen.
Viele Grüße
olc
-
Hi,
Da geht es, soweit ich es jetzt quergelesen habe, um Replikationsprobleme. Ich hatte ja schon gesagt, daß wir nur einen DomainController haben, da wird nichts repliziert.Ok, das mit dem "einen" DC habe ich überlesen. Das macht es jedoch nicht besser. In einer Domäne sollten aus Redundanzgründen immer mindestens 2 DCs betrieben werden. Aber vermutlich wirst Du mit "Kosten" kontern, also spare ich mir weitere Ausführungen dazu. ;)
Wie gesagt, für Server 2008 kann ich es nicht sagen, aber mit Server 2003 hat das prima funktioniert. Nicht alles, was Microsoft nicht supportet ist wirklich unmöglich ;)Nicht alles, was man technisch tun kann, sollte man auch tun. Eine Wiederherstellung eines Systems auf anderer Hardware ist nicht supported. Alles, was Du in dem Bereich also tust (insbesondere mit Images), ist also eine tickende Zeitbombe. Wenn Du das Risiko gehen möchtest, kannst Du das natürlich tun. Ich würde es im Gegensatz dazu nicht nehmen.
Eine Kopie der Exchange-Datenbank ist auch kein von Microsoft supportete Backup-Methode ... trotzdem habe ich schon mal eine zerschossene Exchange-Datenbank damit wiederhergestellt.Ich kann mich nur wiederholen und auf oben verweisen. Du arbeitest da mit tickenden Zeitbomben.
Es wäre ja schon hilfreich, wenn die Windows Serversicherung mal das lernen würde, was fast jedes andere Backup-Programm kann: Komprimieren!Du nutzt die Bordmittel, die der Hersteller als "Dreingabe" zur Verfügung stellt. Alle "anderen" Backup Programme bieten solche Funktionen, kosten aber Geld. Da letzteres in dem von Dir beschriebenen Umfeld scheinbar das größere Problem darstellt, bezahlen die Schulen letztendlich dann doch - mit Deinen Dienstleisterkosten und ggf. Platten / DVDs / Storage allgemein.
Viele Grüße
olc
-
Hi,
In bestimmten Abständen ziehe ich ein Image der Platte ...Oh - mein - Gott. ;) Das ist zumindest bis Windows Server 2012 so ziemlich das Schlechteste, was Du machen kann (neben der Option *kein* Backup zu haben).
Die Suchmaschine Deiner Wahl hat hier genügend Material bei Verwendung des Suchbegriffs "Domain Controller Image" oder "USN Rollback".
Weil "man es nicht macht" oder weil es wirklich nicht funktioniert? Wenn es nicht funktioniert, warum nicht? Ich gehöre zu denen, die ein Nein nur akzeptieren, wenn sie es sachlich nachvollziehen können.Ich gehöre zu denen, die erst ein wenig lesen, bevor sie solche Fragen stellen. ;)
Soll heißen: Du wirst damit ganz einfach keine Wiederherstellung durchführen können.
Und vermutlich wirst Du es nirgendwo explizit beschrieben finden - da nur die durch Microsoft Wege dokumentiert sind. Und eine Kopie der NTDS.DIT gehört nicht dazu.
20 Gigabyte ... beim Server 2003 waren es vielleicht 3 GB, wenn es hochkam. Warum muß denn das halbe Windows-Verzeichnis mitgesichert werden, wenn ich nur Einstellungen sichern will? 20 Gigabyte bekomme ich nicht mal auf eine DL-DVD.Ab Windows 2008 R2 gibt es wieder inkrementelle Backups. Unter 2008 meines Wissens leider nicht.
Und jetzt sag mir nicht, daß DVD kein adäquates Sicherungsmedium sind, das weiß ich selber. Aber Schulen haben andere Budgets als Unternehmen, da sind keine teuren Backup-Lösungen drin ... *frust*Hatte ich nicht vor. Obwohl ich dann vermutlich "normalen" Storage bevorzugen würde. DVDs haben eine arg geringe Lebensdauer und eine geringe Fehlertoleranz.
Außerdem schwirren die schnell "irgendwo" herum, was direkt Fragestellungen zur Sicherheit der Daten nach sich zieht.
Viele Grüße
olc
-
Hi Thomas,
ja - der KB beschreibt nur das Löschen der DomainDNSZone, danach ist noch die Subdomäne dran.
Danke für die Rückmeldung und Gruß
olc
-
Hi,
es ist in den allermeisten Fällen sinnvoll, auch ein zumindest regelmäßig erstelltes vollständiges Serverbackup von 2 DCs pro Domain anzufertigen. Im Disaster Recovery Fall benötigst Du, je nachdem auf welchen Maschinen Du das Backup wiederherstellen möchtest, ggf. das Full Server Backup inkl. BMR Option.
Das nur nebenbei.
Nur die AD-DB zu kopieren ist ein "no go" und bringt Dich nicht weiter. Die "SYSTEMSTATE" Sicherung ist das geringste, was Du neben den "Funktionsbackups" wie GPMC Backups (und weiteren) ziehen kannst.
Viele Grüße
olc
-
Hi Alith,
mit der Meldung sollte sich doch etwas anfangen lassen... ;)
Viele Grüße
olc
-
Hi,
wie genau lautet die Meldung, wenn Du die Subdomain löschen möchtest. Poste bitte einmal den NTDSUTIL als Text hier (am besten mit dem gesamten Weg dorthin von Dir in NTDSUTIL).
Viele Grüße
olc
-
Hi,
Du hast einen Servernamen zu viel im DN. :)
dsquery * "CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=server01,DC=mydomäne,DC=local"Versuch es einmal mit:
dsquery * "CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=mydomäne,DC=local"
P.S.: dsquery ist nicht explizit ein PowerShell Programm / CMDlet, sondern eine normale CMD *.exe.
Viele Grüße
olc
-
Hi,
der alte Schlüssel wird immer die geringe Schlüssellänge haben, nur ein neuer Schlüssel kann eine höhere Bitzahl (2048 Bit etwa) haben.
Wie von Norbert auch schon beschrieben: Renewing a certification authority: Public Key
bzw.
Renew a root certification authority: Public Key
Ggf. hat es Sinn, Dich vorher noch etwas in die Materie einzulesen, bevor Du "Fehler" wiederholst. Vielleicht hat es ja Sinn, eine neue PKI Struktur zu etablieren, um heute gängige Standards (offline Root CA, physische Sicherheit, Prozesse um die PKI usw.) zu gewährleisten.
Viele Grüße
olc
-
Rechts-klick auf die "Administrative Templates" --> Filter.
Viele Grüße
olc
-
Um dann alle 2 Wochen ein Update zu fahren, mit dem Regeln nachgerüstet werden?
Egal, Deine Einstellungen hast Du ja gefunden.
P.S.: Du hast ab 2008 eine Suchfunktion in dem Gruppenrichtlinien Editor. Sofern Dir das nicht ausreicht, wirst Du weiterhin Deinen Webbrowser oder die GPS Windows Phone App nutzen müssen.
Viele Grüße
olc
-
Hi,
Du hast geschrieben, daß das Webserver Zertifikat erneuert wurde. Warum sollte ein Webserver Zertifikat als "CA" erkannt werden? ;)
Oder geht es Dir um den Import des Zertifikats der Root CA bzw. einer Zwischenzertifizierungsstelle?
Viele Grüße
olc
-
Ich frage mich immernoch warum von MS sowas nicht implementiert wird...
Die Group Policy Search ist von Microsoft... :suspect:
Viele Grüße
olc
-
Die Aussage und das Argument ist ganz einfach: Du *weisst* schlichtweg nicht, was kaputt gegangen sein kann oder ob es Konsistenzprobleme gibt, die in Zukunft zu Problemen führen können.
Genau aus diesem Grund brauchst Du externe Unterstützung.
Ok, von meiner Seite ist alles relevante gesagt. Ich bin dann mal raus. :)
Viele Grüße
olc
-
Hi lefg,
es handelt sich nicht um ein Problem aktueller "Fehler", sondern um das, was langfristig / logisch passiert.
Viele Grüße
olc
-
Hi,
ok, gut..werde nicht mehr schreiben.Es geht ja nicht darum, Dich "mundtot" zu machen. Es geht vielmehr darum zu verstehen, daß Du Dich ggf. in einer kritischen Situation befindest und ein Forum an dieser Stelle nicht der richtige Anlaufpunkt ist.
Hol Dir Hilfe, bevor es wirklich zu größeren Problemen kommt (egal welcher Art). Die Zeigen sich ab und an erst viel später.
Wir meinen es nur gut mit Dir... ;)
Viele Grüße
olc
-
Moin,
Ja, oder Zertifikatsbasierende Anmeldung. ;)Genau. :)
Falls das "nicht so einfach" geht, mußt Du den Nutzen einer Kontensperrung gegen das Risiko bewerten.
Und ggf. ein IPS System und entsprechende Auditierung implementieren.
Rein technisch kann man das Problem nur "managen", nicht jedoch vollständig lösen.
PS: Ich könnte jetzt von Passwortfiltern anfangen, aber olc kennt die Diskussion schon. ;):D :jau:
Viele Grüße
olc
-
Hi,
ich habe Dir oben einige Hinweise gegeben, was mit hoher Wahrscheinlichkeit problematisch sein wird.
Und wie schon geschrieben läßt sich da meines Erachtens keine andere sinnvolle(re) Einschätzung geben. Gerade, weil hier einige erfahrene Leute unterwegs sind.
Tipp: Hol Dir einen erfahrenen(!) Dienstleister ins Haus um zu entscheiden, ob ein Forest Recovery sinnvoll ist oder ob und wie groß die Beschädigung bzw. Inkonsistenz Deiner Umgebung ist.
P.S.: Bitte jetzt nicht panisch versuchen ein Forest Recovery durchzuführen - es muß erst bewertet werden, ob das sinnvoll und notwendig ist.
Viele Grüße
olc
-
Hi,
mögliche Änderungen zu suchen, ist wie die Nadel im Heuhaufen zu finden.
Neben anderen Punkten ist genau das der Grund dafür, daß von solchen Cloning Vorgängen absolut abzuraten ist. Zumindest wenn man keine Vorkehrungen trifft, solche "Zusammenkünfte" von Test- und Produktionsumgebung zu verhindern.
Wir wissen nicht, welche Änderungen Du an der Testumgebung gemacht hast, daher ist keine sinnvolle oder belastbare Aussage möglich. In jedem Fall sind je nach Teststufe bei Dir ggf. Schema, ACLs auf den Naming Contexts als auch GPO Sicherheitseinstellungen ebenso Kandidaten für ungewollte Änderungen wie auch Kennwörter von AD-Objekten oder alles, was in der Testumgebung oder auch Produktion auch im Hintergrund ohne Dein direktes einwirken geändert wurde.
Die Bewertung wirst Du wohl oder übel selbst vornehmen müssen.
Viele Grüße
olc
-
-
Guten Abend,
das schon, aber solche Einstellungen sollte man wegen hart codierter Abhängigkeiten sogar nur in der DDP setzen:Du hast Recht. Ich wollte diese Fragestellung nicht auch noch öffnen.
Meiner Erinnerung nach heißt das: Keine automatische Entsperrung, richtig? Müsste im Dialogfenster auch so angegeben werden.Genau, "0" heißt "keine automatische Entsperrung":
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it.
If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time.
Welcher User genau?Nils stellt die vermutlich entscheidende Frage: Wenn Du es mit dem RID 500 Admin versuchst, wird dieser zumindest standardmäßig nicht gesperrt. Probiere es mit einem normalen Benutzer.
Abgesehen davon, rate ich grundsätzlich von Kontensperrungen ab, weil sie ein super Einfallstor für einfachstes DOS sind. Aber das ist ein anderes Thema.+1
Domain Level Account Policies"If the Account lockout threshold setting is defined, the Account lockout duration must be greater than or equal to the value for the Reset account lockout counter after setting."
Das bezieht sich nur auf die Konstellation, wenn eine "lockout duration" >0 definiert ist.
Viele Grüße
olc
-
Hi,
also noch einmal der Reihe nach:
1. Du erstellst eine GPO auf einem DC. Hinweis dazu: Das ist auch nicht optimal - besser einen administrativen TS verwenden. Am DC muß man sich in der Regel nicht anmelden.
2. Du führst auf dem DC ein "gpupdate /force" aus. Das ist zwar unnötig, aber Du machst es dennoch. ;)
3. Nun sollst Du seit neuestem vom DC abgemeldet werden, obwohl die GPO dort gar nicht greifen sollte. Korrekt?
Nun meine Annahme:
Du hast die Richtlinie wie oben beschrieben erst verlinkt, dann per Item-Level Targeting jedoch eingeschränkt. Ab diesem Moment wird auch auf dem DC eine GPP History angelegt - sofern die entsprechende GPO / GPP zu diesem zeitpunkt für den Admin oder den DC freigegeben war.
Später hast Du dann die Sicherheitsfilterung auf GPO Basis verwendet, so daß die Richtlinie weder für den Benutzer noch für den DC greifen dürfte.
Jedoch war zu diesem Zeitpunkt schon einmal die GPP mit Item-Level Targeting auf dem DC "angewendet" - somit bleibt die GPP History bestehen.
Der Link von mir oben zeigt den Speicherort der GPP History - diese solltest Du testweise auf dem DC einmal löschen und prüfen, ob es danach weiterhin zu der Aufforderung kommt, den Benutzer abzumelden.
Viele Grüße
olc
For a limited time, get Windows 8 Media Center Pack for free
in Tipps & Links
Geschrieben
Add features - Microsoft Windows
Zeitlich begrenzt bis Anfang 2013, im unteren Drittel der Seite kostenfrei zu bestellen. :)
Viel Spaß
olc