s1lversurv
-
Gesamte Inhalte
62 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von s1lversurv
-
-
Hallo Comunity,
Situation:
---------
Wir haben die Domänencontroller ausgetauscht und AD soweit gezügelt.
Im EventLog der neuen Domänencontroller haben wir immer wieder den
"KERBEROS ID 11: Doubled SPN for ...".
Den doppelten SPN hab ich inzwischen gelöscht (exitierte auf einem
Computer- und einem Benutzerkonto?! - however ...). Nun ist mir aber
aufgefallen, dass die alten Domänencontroller noch DNS-, NtFrs- und
Domaincontroller-SPNs registriert haben.
Frage:
------
Bringt es irgendetwas, verwaiste SPNs zu löschen oder kann man diese als
"Unique-Carbage" im Netz stehen lassen ohne Performanceverluste einzugehen?
Mit Gruss,
s1lversurv
-
mittels "certreq.exe" oder gibt es noch andere Wege die Zertifikate zu erstellen?
Mit certreq.exe hat du die command line version.
Du kannst aber auch über das Webinterface des Cert-Servers gehen.
Gruess, Daniel
-
Hallo!
So wie ich das verstanden habe, kann man auf die Enterprise root CA auch von fremden Netzwerken zugreifen. Ist das der einzige Unterschied?
Salut Christian,
Einer der Hauptvorteile, die du mit der CA Enterprise hat, ist, dass diese Art CA
mit dem Active Directory zusammenarbeitet. D.h. du hast immer die automatische Brücke zwischen den Objekten im AD und den Zertifikaten, die Ausgestellt werden. -
Im Falle von VOIP-Geräten, die nicht ans AD gebunden sind würde evtl. Die Standalone CA Sinn machen. Dabei müssen aber die Zertifikate selber erstellt werden.
Gruss,
daniel
-
Danke für eure schnellen Antworten.
Muss vielleicht noch einiges hinzufügen:
* ich weiss weder wo das Gerät steht, noch welche Passwörter
für das http interface gesetzt sind. (Kann also keine Netzwerkkonfiguration vornehmen)
* Mit der DHCP Reservation, wollte ich die IP an eine andere MAC-Adresse binden, um das Gerät "abzuschiessen"
* Ich möchte etwas möglichst einfaches machen, ohne Richtlinien zu ändern. Darf auch ein wenig Hacky sein (vergl. LMHOST einträge) - das Ziel ist nur, dass sich der Besitzer eines Tages bei uns meldet und von uns Hilfe verlangt, resp. das Gerät mit nach Hause nimmt, wo es hingehört ... :-)
Hoffe diese Nachträge regen an ;-)
-
Hallo Zusammen,
Situation:
In unserem Netzwerk steht ein Gerät mit einer fixen IP. Wir von der Informatik
haben das nicht installiert. Das Gerät (Eine Lacie NAS Lösung) dürfte gar nicht
hier sein ...
Frage:
Gibt es eine Möglichkeit in unserer Windows 2003 Domäne dieses Gerät vom Netzwerkzugriff zu hindern? Habe mal an eine Reservation im DHCP Server gedacht. Das Gerät hat aber bereits die IP bezogen ... Gibt es andere Möglichkeiten?
PS:
Wir wollen dieses Gerät vom Netz ausschliessen.
-
Situation:
Virenscanner deaktiviert,
NVidia Display Service deaktiviert (nach KB897101),
immer noch der gleiche Effekt.
Typischerweise bei allen SolidWorks Clients der Konstruktion ...
aber auch die haben haufenweise
USERENV(2b4.2b8) 11:13:50:937 CUserProfile::CleanupUserProfile: Ref Count is not 0
Zeilen in ihrem UserMode log.
Nur ein paar Einträge sind alternativ dazu, zum Beispiel:
USERENV(2b8.5fc) 06:08:25:057 ReadMembershipList: Group S-1-5-21-3859484557-2789962846-1517525058-5626 not in current list of token groups
Aber die Typischen Einträge für NVidia Karten Probleme fehlen
Den gibts noch:
USERENV(2b8.270) 06:08:52:611 PolicyChangedThread: UpdateUser failed with 6. - Leider aber nur spärliche Informationen aus allen Ecken von Google. Werde aus diesen diversen Dingen noch eine Auswahl picken.
-
Es sieht so aus, als ob der ERSTELLER-BESITZER immer automatisch die Rechte zugesprochen bekommt, änderungen an der ACL durchzuführen. Auch wenn ich dem Benutzer oder dem ERSTELLER BENUTZER explizit verweigere, dies zu tun ... Oder weiss noch jemand was?
–
Freigabe (nicht NTFS!)Ja salutti, guten Morgen - :-D jetzt schau ich zwar no blloeder drein, aber das ist Hinweis, der mir gefehlt hat! Danke Nils
-
Nein das is es nicht.
Ich habe den Besitzern nur die Ändern Rechte gegeben, ohne Vollzugriff und die
Berechtigung Berechtigung ändern unter Speziell deaktiviert ...
Dennoch können die Besitzer die Berechtigungen auf ihrem Homelaufwerk ändern!.
What's this?
-
Hallo Comunity -
Ich schau mal wieder ****e aus Wäsche ...
Situation:
Für die Homedirectories wird eine dedizierte Partition auf dem Server verwendet, welche mit der Kontingentverwaltung versehen ist. Diese addiert bekanntlich alle Bits and Bytes auf, welche im Besitz eines Benutzers sind.
So weit so gut. Ich habe dem jeweiligen Benutzer also den Besitz erteilt, UND ihm verboten Berechtigungen zu ändern und zu lesen.
Problem:
Trotz den jetzt eingesetzten Settings kann der Benutzer ALLE Berechtigungen ändern, wie er will. Admin rausschmeissen, neue Benutzer einfügen, sich selber Vollzugriff geben ...
Frage:
Gibt es einen Kompromiss, wo ich die gewünschten Berechtigungen setzen kann, ohne dass ich auf die Kontingentverwaltung verzichten muss?
Froh um Antwort und Hilf,
s1lversurv
-
Welchen Virenscanner setzt du auf Server und Client ein?
Hy Norbert,
Sorry die späte Antwort - es ist Etrust AntiVirus der Computer Assosiate
-
Unter Umständen werden Änderungen an dem "Domain Controller Authentication" Template vorgenommen?
Durchaus möglich, dass es soetwas war. Nachdem wir ActiveDirectory verschoben haben, alle FSMO Rollen auf einen neuen Server gelegt haben und das ganze jetzt ein bisschen warm synchronisiert ist :-) - jetzt hat er immer
noch die Zertifikate, die er am 18. September geholt hat.
Danke ohnehin für den hinweis,
Gruss, s1lversurv
-
Ist ja soweit korrekt, aber was bringt dir einen 802.1x fähiger Switch, wenn der AP die "anfragen" nicht entsprechend verarbeiten kann?
Du kannst einen einfachen Managebaren Switch (beispiel NetGear) zuziehen.
Einige davon können einen WLAN-Port definieren und übernehmen dann für den AccessPoint die Authentifizierung.
!) Habe es zwar noch nicht selber eingerichtet, weiss nur das bei NetGear den Namen "Wireless Auth Service" oder sowas nennt ...
-
@DocBrown:
Ja richtig das mit dem Artikel, so hats bei uns vorm Aufräumen auch ausgesehen :-D
@PAT:
Wir haben da diese Tragebügel gleich vor den Switches, im Rack selber. Patchkabel sind bei uns vorne gezogen. Alle BB-Kabel (LWL) sind durch die Rückwand der Schränke gezogen und im Doppelboden verlegt.
-
Hi. Bei uns im Hause gibts dutzende von verschiedenen Notebook-Typen von ca.
3 verschiedenen Herstellern (Doh!). Ich kann dir nur Raten, dich für einen Treiber und
möglichst ein Notebook-Typ zu einigen, wenn du das Sauber durchziehen willst ...
Zum Post @erixns bez. Joybook:
Bei uns gibts für jeden Treiber einen etwas anderen Effekt. Am besten gefällt mir das Handling bei den neuen Toshibas: dort wird das WLAN deaktiviert, wenn das Kabel eingesteckt ist. Das wird vom Treiber gehandelt und funktioniert ohne Benutzeraktion.
Gruss, S1lversurv
-
Hallo Zusammen,
Situation:
Wir haben auf dem ersten DC die Enterprise-CA installiert.
Autoenroll funktioniert, vielleicht fast zu gut?
Frage:
Da sich die Domänencontroller in den letzten 5 Tagen 10 mal ein
Zertifikat mit Template DC ausstellen lassen, frage ich mich wozu?
Gibt es einen konfigurierbaren interwall? Oder holen sich die DC nach
bestimmten Netzwerkumstellungen ein Neues? (wir hatten noch DHCP, bzw. DNS
Services verlegt.)
PS:
Zertifikat wäre jeweils ein Jahr gültig und hat den Typ DC-Cert ...
Danke & Gruss,
S1lversurv
-
Habe das mit dem UHCP probiert, nun lassen sich zwar wieder Dateien löschen, nur merke ich, da ich das Serverprofil nun gelöscht habe, dass die vorhanden Daten auch nicht mehr auf den Server zurückgeladen werden. Das Profil hat aber nur eine Grösse von etwa 70 MB. Habt ihr noch weitere Vorschläge?
Gruess, S1lversurv
-
Hallo Zusammen -
Situation:
Im Hause wird die Profilsynchronisation mit Servergespeicherten Profiles durchgeführt. Ich habe von meinem Desktop etliche Dateien und Ordner gelöscht.
Frage:
Wieso ist alles, was ich lösche beim nächsten Login wieder da?
PS:
Auch gelöschte Favoriten oder QuickLaunch Verknüpfungen sind alle wieder da ...
Für jede Antwort dankbar,
s1lversurv
-
Hallo Zusammen -
Situation:
Haben letztens einen WINS-Server auf "DC1" & "DC2"
(Die Domänencontroller mit W2K3 R2 SP2) aufgesetzt. Funktioniert soweit gut und hat die Performance im LAN merklich gesteigert.
Frage:
Was für eine Rolle spielt es, wie die Clients nun ge-DHCP-t werden?
Den einen DC als Primary WINS und der andere als Primary DNS? Oder soll für beide Protokolle besser der gleiche DC als Primär funktionieren?
PS:
DC01 ist DHCP, DNS*, WINS, AD, NTP, FSMO (Alle 5)
DC02 ist DNS*, WINS, AD, GC
*DNS-Zonen sind alle AD-integriert
Danke & Gruss,
s1lversurv
-
hast Du ein XP SP2 auf dem Client
Ja
läuft der Client in einer Windows-DomäneJa, Windows 2003 Domäne
ist die FW (auf dem Client) deaktiviertNein, die ist aktiviert
erscheint im Eventlog die ID7023Auf dem Client nicht zu sehen ...
beendet sich 5 Minuten nach dem Systemstart der Dienst Computerbrowser (Browser)?Nein, weder auf dem Server, noch auf dem Client
–
Der Eintrag hilft aber bei dem UNC-Problem ;) . Kannste glauben.Alles klar ;-) - ich glaubs und werd's testen ...
-
@Zahni
Danke für den Tipp, aber das Problem scheint nicht Maschinenspezifisch zu sein, zumahl es schneller läuft, wenn ich nicht über den UNC darauf zugreife (vergl. Laufwerk-Mapping):suspect:
-
Was haben Windows XP und die Nicht-Verwendung von WINS miteinander zu tun?
Ist denn der Explorer selber an WINS gebunden? - Ich meine gibt es noch
einen deutlichen Performance Zuwachs durch WINS oder ist's einfach nur ein Protokoll mehr im Netzwerk?
-
WINS Server haben wir bewusst keinen mehr im Einsatz, da ziehmlich alle Maschinen mindestens Windows XP verwenden.
Reverse Lookup-Zonen sind auf beiden Server definiert ... gibt auch keine doppelten Einträge oder sowas.
Evenlog gibt 3 Meldungen aus (regelmässige Abstände):
Ereignistyp: Fehler
Ereignisquelle: KDC
Ereigniskategorie: Keine
Ereigniskennung: 11
Datum: 14.08.2008
Zeit: 14:05:07
Benutzer: Nicht zutreffend
Computer: <computer>
Beschreibung:
Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen MSSQLSvc/<computer>.<domain>:1433 vorhanden.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.
_____________________________________________________________________
Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereigniskennung: 5805
Datum: 14.08.2008
Zeit: 13:58:53
Benutzer: Nicht zutreffend
Computer: <computer>
Beschreibung:
Die Sitzungseinrichtung von Computer <computer> konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten:
Zugriff verweigert
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.
Daten:
0000: 22 00 00 c0 "..À
_____________________________________________________________________
Ereignistyp: Warnung
Ereignisquelle: LSASRV
Ereigniskategorie: SPNEGO (Vermittlung)
Ereigniskennung: 40960
Datum: 14.08.2008
Zeit: 05:49:06
Benutzer: Nicht zutreffend
Computer: <computer>
Beschreibung:
Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server cifs/<server> festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "{Vorgang fehlgeschlagen}
Der Vorgang konnte nicht durchgeführt werden.
(0xc0000001)".
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.
Daten:
0000: 01 00 00 c0 ...À
-
Ja allerdings ... Sobald NetBios Namen oder DNS verwendet wird geht's los. Wo ist hier der Flaschenhals?! - Sind überigens Alles Windows 2003/R2 Server.
-
:cry: ... Hallo Zusammen!
Wir haben im Moment ein Netzwerkproblem im Haus. Ich kann's mir aber nicht erklären: Sobald im Windows Explorer unserer XP Clients ein UNC-Pfad gebrowsed wird, hängt das ganze Betriebssystem bis zu einer Minute durch! :confused:
Wenn ich aber dann hingehe und dem UNC-Pfad einen Laufwerksbuchstaben mit einem Mapping gebe, fliegen die Fetzen nur so.
Hat jemand eine Idee, wie das Browsen mit UNC-Pfaden verschnellert werden kann?
AD - Verwaiste SPNs auf Computerkonten
in Windows Server Forum
Geschrieben
Wir haben komische Kerberosmeldungen, die Authentifizierungsfehler melden zwischen einzelnen Servern. Typischerweise müssen sich Benutzer des VPNs immer zweimal authentifizieren, einmal bei Windows und einmal beim Exchange-Server, wenn Outlook gestartet wird.