NilsK
-
Gesamte Inhalte
17.135 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NilsK
-
-
Moin,
vor 1 Stunde schrieb cj_berlin:schnell verkuppeln! Doppelnamen sind wieder erlaubt
was meines Wissens leider immer noch nicht geht, ist "Schneider-Schneider", wenn zwei Schneider heißende Leute heiraten. In dem Fall ist es dann aber so, dass eine/r der beiden hinterher "Schneider geb. Schneider" heißt. Das könnte man verhindern, wenn beide ihren Namen behalten ...
Gruß, Nils
PS. wie, OT?
-
Moin,
bei jeder Replikationslösung hast du das Problem, dass die Replikate unabhängig voneinander sind. Das passt in vielen Fällen nicht zur Nutzung, denn daraus resultiert "Last Writer Wins". Mein Lieblingsbeispiel: Ute öffnet "Vertrag.docx" auf Server A, Udo öffnet dasselbe Dokument auf Server B. Ute macht sich irre viel Arbeit und erweitert das Dokument auf 1500 Seiten. Zehn Minuten später speichert Udo seine Kopie, die nur 10 Seiten hat. Rat mal, welchen Umfang Vertrag.docx nach dem nächsten Replikationsvorgang hat.
Gruß, Nils
-
Moin,
Bitte beschreibe (oder kläre) die Anforderungen. Muss der Speicher wirklich repliziert sein oder kommt es auf Hochverfügbarkeit an? Wir hoch sind die Anforderungen wirklich, wenn ein Standort ausfällt? Bedenke, dass es wenig wahrscheinlich ist, dass das RZ an einem Standort ausfällt und der Rest noch funktioniert ...
Regelmäßig ist DFS-R für solche Szenarien nicht gut geeignet.
Gruß, Nils
-
Moin,
nein, natürlich musst du nicht alles aufreißen. Das wäre unverhältnismäßig. Und so könnte man im Zweifel auch begründen, dass man das nicht macht. Man ist auch nicht aufgrund einer einzelnen nicht umsetzbaren Anforderung "raus".
Du wirst nicht drumrumkommen, dir das in Ruhe anzusehen. Schnellschüsse, Zertifizierung und Audits gehen nicht zusammen.
Edit: Erstens steht da "muss auf ... geachtet werden", und zweitens geht es hier um Normen aus dem Bau bzw. der Elektrotechnik. Eine nicht normgerechte Installation wäre beim Bau bzw. beim Verlegen seinerzeit ja gar nicht abnahmefähig gewesen. Man wird also davon ausgehen können, dass die Verlegung den damals gültigen Normen entsprochen hat. Wenn nicht, wäre man sowieso in der Pflicht, das zu korrigieren.
Hinter verbindlichen Normen kann das BSI ja schlecht zurückstehen, daher sind die Formulierungen so, wie sie sind. Für "normale" Zwecke kann aber nur gelten, dass die Normen zum Zeit der Inbetriebnahme eingehalten sein müssen. Deshalb stehen da auch keine Abstände oder ähnliche Werte, sondern der allgemeine Verweis auf die Normen.
Und vorsichtshalber noch der Disclaimer: Ich bin weder Auditor noch Anwalt noch in der Tiefe BSI- oder ISO-Experte. Ich gebe hier meine Einschätzung aus einigen Jahren praktischem Umgang mit solchen Audits (als "Auditierter") wieder.
Gruß, Nils
-
2
-
-
Moin,
das sieht man an der Syntax.
Gruß, Nils
-
Moin,
vielleicht möchtest du deinen Screenshot noch anonymisieren.
Und ich meinte nicht den Provider "SQLNCLI10", sondern "ADsDSOObject". Deine Anwendung versucht, einen Linked Server namens ADSI anzusprechen. Der sollte sich auf dem "funktionierenden" System dort finden. Wie man den anlegt, findest du darüber hinaus prinzipiell auch in dem Artikel beschrieben, den ich gestern zitiert habe. Damit sollte man noch einen Schritt weiterkommen. Wenn es dann immer noch nicht geht, habe ich keine Idee mehr.Gruß, Nils
-
Moin,
einen Versuch gäbe es noch: Bei dem alten Server wird in dem Eintrag "ADsDSOObject" ein Verweis auf einen Domänencontroller stehen. Bei dem neuen ist das vermutlich nicht der Fall, ich nehme an, dass der Eintrag dort leer ist. Damit weiß der neue Server nicht, wen er ansprechen soll, um den ADSI-SQL-Provider zu nutzen.
Der Entwickler der Anwendung wollte anscheinend die Quadratur des Kreises: Anmeldung per SQL-Login, aber trotzdem die Windows-Gruppen verwenden. Ohne die Hintergründe zu kennen - sinnvoll sieht das nicht aus.
Gruß, Nils
-
Moin,
nein, gerade weil man annimmt, dass fremde Geräte unsicher sind, legt man den Fokus heute anders. Man hat nämlich parallel eingesehen, dass man fremde Geräte nicht wirksam aussperren kann. Und dass man auch bekannten Geräten nicht unbedingt trauen kann.
Allenfalls könnte dies ein zusätzlicher Mechanismus sein, aber das primäre Paradigma lautet heute "Identity is the new perimeter", sprich jeder Zugriff muss geprüft und authentifiziert werden, auch wenn er von einem bekannten Gerät kommt (bzw. zu kommen scheint).
Gruß, Nils
-
2
-
-
Moin,
oha ... bei "Server ADSI" klingelt was ...
[Auslesen der Domänen-Daten über ADSI | faq-o-matic.net]
https://www.faq-o-matic.net/2003/04/17/auslesen-der-domaenen-daten-ueber-adsi/Anscheinend ist in der Applikation so ein Konstrukt verwendet worden, um Daten über den angemeldeten User rauszufinden. Ganz, ganz krude, schlechter Stil und wie man sieht auch nicht zukunftssicher. Aus Gründen hat sich das nie durchgesetzt.
Ich wiederhole mich: Baut das Ding neu.
Gruß, Nils
-
Moin,
solche Anforderungen sind etwas aus der Mode geraten, weil sie sich nur sehr begrenzt wirklich umsetzen lassen. Sobald ein ausreichend kompetenter Angreifer ein erlaubtes Gerät in den Händen hat, ist es relativ wahrscheinlich, dass er die Zugriffs-Genehmigung auf ein anderes Gerät übertragen kann. Das kann man nur erschweren, aber nicht zuverlässig ausschließen.
Das ist ein wesentlicher Grund, warum man von dem Fokus auf Geräte weg ist und den Benutzer in den Mittelpunkt stellt. Damit löst man auch nicht alles, aber da man die Rechtezuweisung zentral vornimmt und nicht an ein unkontrollierbares externes Gerät koppelt, ist es prinzipiell besser zu steuern.
Gruß, Nils
PS. die MAC-Adresse ist ein schönes Beispiel, wird immer als erstes genannt und ist so ziemlich am einfachsten zu spoofen.
-
Moin,
vor 2 Stunden schrieb stefannsv:Aber ein langfriste Lösung suchen wir natürlich schon.
dann solltet ihr erwägen, sie neu bauen zu lassen. Egal mit welchen Tricks ihr die Applikation vielleicht zum Laufen bekommt - sie ist 16 Jahre alt, nicht supportet und offenkundig schlecht gebaut.
Gruß, Nils
-
Moin,
ja, mehrere DCs sorgen für Redundanz und Ausfallsicherheit, wenn alles richtig konfiguriert ist. Wenn es wie bei dir jetzt mal funktioniert und mal nicht, dann liegt das meist an DNS - die Rechner, bei denen es geht, sprechen mit dem funktionierenden DNS-Server, die anderen versuchen vergeblich, von dem nicht funktionierenden eine Antwort zu bekommen.
Die Meldungen, die du gepostet hast (Text und Nummer hätten übrigens gereicht, die Screenshots brauchen unnötig viel Platz), sind allesamt eher uninteressant (Kategorie "kann man sich später ansehen"). Funktioniert es denn nach dem Neustart wieder?
Insgesamt deuten das, was du von den Fehlern beschreibst, und deine Fragen aber darauf hin, dass du dir Unterstützung holen solltest. Vermutlich ist es gar nicht so wild, aber über ein Forum kann man das nicht gut bearbeiten.
Gruß, Nils
-
Moin,
wenn du dich mit ISO 27001 auskennst, dann würd ich sagen: Leg los. Ehrlich gesagt, verstehe ich dann deine Fragen bzw. Bedenken nicht ganz.
Wenn du dir die BSI-Standardserie mal ansiehst, solltest du feststellen, dass du die ISO 27001 darin wiederfindest. Ich kann dir jetzt keinen genauen Vergleich bzw. keine Abgrenzung dazu geben, aber der Trainer damals hat es in etwa so gesagt: BSI-x00 (damals war es noch 100, die 200 ist der Nachfolger) ist die "deutsche Interpretation" der ISO 27001, geht insgesamt aber weiter. Wer den "Grundschutz"-Teil von BSI-x00 umsetzt, hat ein 27001-konformes ISMS. Umgekehrt ist es nicht ganz so, weil die BSI-Standards an einigen Stellen spezifischer und an einigen Stellen weitergehend sind. Und sie haben einen Maßnahmenkatalog - der war zu 100-Zeiten noch nahe an unbrauchbar (weil stark veraltet), ist mit 200 aber besser und praxisnäher.
Die konkrete Entscheidung würde ich von den Anforderungen abhängig machen. Wenn ihr für eure Kunden 27001 braucht und euch damit auskennt, dann macht das. So hielte ich es.
EDIT: Gerade gefunden - das BSI hat selbst eine Zuordnung zwischen seinen Standards und der 27001 gemacht:
Gruß, Nils
-
1
-
-
Moin,
einmal reicht, oder?
Gruß, Nils
-
Moin,
naja, so ähnlich. Am Ende ist die Standardserie BSI-200 eine Anwendung der ISO-27001, man könnte sie auch eine Interpretation nennen. Wenn ihr BSI-200 umsetzt, seid ihr ISO-27001-konform. Aus meiner Sicht hat die BSI-Variante den Vorteil, dass sie an einigen Stellen deutlich konkreter ist und praktische Umsetzungshinweise enthält.
Welche Maßnahmen man einbringen "muss", entscheidet nicht der Standard, sondern die eigene Umsetzung. Die ganze Klamotte hat sehr viel mit systematischer Erfassung und Beschreibung und mit Prozessorientierung zu tun.* Ob eine Maßnahme erforderlich ist oder nicht, schätzt man dabei selbst ein und begründet dies. Letztlich ist es dann das, was ein Auditor prüft; er muss es eben für plausibel und vollständig halten.
Du hast Recht, dass das kein Hexenwerk ist. Es ist aber eine Menge Aufwand, auch bei 10 Personen. Wenn man damit bislang nicht zu tun hatte, empfiehlt es sich, eine Überblicksschulung dazu zu machen (ich hab vor Jahren mal was in der Größenordnung von 3 Tagen gemacht, das war sehr hilfreich), um die Systematik zu verstehen. Oder man lässt sich von einem Dienstleister helfen. Hat beides Vor- und Nachteile. Wovon man sich verabschieden sollte, ist die Idee, das nebenbei auf halber Pobacke zu machen.
Gruß, Nils
* insoweit ist "Implementierung" dabei für IT-Leute ein irreführender Begriff. Das ist nicht vergleichbar damit, einen IT-Service oder eine Datenbank zu "implementieren", sondern man muss Prozesse analysieren, beschreiben, geradeziehen und kategorisieren.
-
2
-
-
Moin,
dann liegt es also auch nicht daran, dass die Applikation mit einer Named Instance nicht klarkäme, sondern sie macht irgendwas anderes falsch oder zumindest sehr speziell. Da kann man jetzt einen Zufallstreffer landen oder sehr viel Aufwand investieren. Nur sicherheitshalber: an der Domäne oder anderen Komponenten der Umgebung habt ihr nichts geändert?
Geht es denn weiterhin in der alten Mimik? Dann könnte es eine Option sein, die als Insel weiter laufen zu lassen und sich parallel um eine neue Lösung der Business-Anforderungen zu kümmern.
Gruß, Nils
-
Moin,
gut, da sehen wir bestätigt, dass es DNS-Probleme auf dem ersten DC gibt. Trifft denn meine Vermutung zu, dass die Dinge wieder laufen, wenn du den Clients und den Servern den zweiten DC als DNS-Server einträgst? Dann hättest du erst mal genug Ruhe, um dich um die Ursachen zu kümmern.
Was in dcdiag.txt zu lesen ist, dürfte auf die DNS-Probleme zurückzuführen sein. Daher wären die jetzt vorrangig anzugehen. Wenn einfaches Neustarten des Dienstes (und danach ggf. des ganzen DCs) nicht hilft, könntest du versuchen, den DNS-Dienst zu entfernen und dann neu einzurichten (wobei ich mir grad nicht sicher bin, ob das bei einem DC noch geht). Hilft das auch nicht, dann würde ich dazu neigen, den ganzen DC neu zu machen, aber spätestens da solltest du einen "Profi" dazuholen.
Gruß, Nils
-
Moin,
da wirst du nichts finden. Wenn ein Prozess exklusiven Zugriff hat, dann muss er den wieder freigeben. Leider sind manche Tools in der Hinsicht nicht gut gebaut.
Allenfalls könnte man als Brute-Force-Lösung ein Skript bauen, das alle verdächtigen Prozesse einfach mal killt ...
Gruß, Nils
-
Moin,
was heißt denn "Da ich kein Profi bin"? Wie weit kennst du dich denn mit Windows-Servern und Active Directory aus? Ist es deine Aufgabe, das AD zu betreiben oder macht das eigentlich jemand anderes? Gibt es einen Dienstleister, den du hinzuziehen kannst? Dann solltest du das tun.Wenn DNS auf dem zweiten DC* noch korrekt läuft, dann wäre eine schnelle Lösung, bei den Clients und den anderen Servern die IP-Adresse dieses zweiten DCs als DNS-Server einzutragen. Dann sollte erst mal "alles" wieder gehen. Danach kannst du dich um die Fehlerbehebung kümmern. Und die wiederum fängt da an, wo @teletubbieland auch ansetzt: Prüfen, ob auf dem ersten DC alles läuft, was laufen sollte (z.B. services.msc starten und nachsehen, ob alle Dienste, die auf "Automatisch" stehen, auch tatsächlich laufen). Wenn nicht, versuchen, diese Dienste zu starten. Wenn das nicht geht, wird es sicher aussagekräftige Fehlermeldungen geben. Danach schaust du dir die Ereignisprotokolle an, da sollte sich zu der Situation sicher einiges an Fehlerhinweisen finden.
Gruß, Nils
PS: * das ist kein BDC, ebenso ist der erste kein PDC, das gibt es seit 23 Jahren nicht mehr
-
Moin,
vor 24 Minuten schrieb stefannsv:Wir haben auf dem neuen Server "DWH2" nur Instanzen. Ohne Instanzen wäre das ein zu großer Wust.
dieses Konzept solltet ihr überdenken. SQL Server ist von der Architektur her dafür vorgesehen, mehrere - auch viele - Datenbanken innerhalb derselben (Standard-) Instanz zu betreiben. Dann läuft er effizient. Die Option, separate Instanzen zu betreiben, ist eher als Notlösung für wenige Situationen gedacht.
Es ist nur ein Schuss ins Blaue, aber so, wie du es beschreibst, kann ich mir gut vorstellen, dass die Instanz hier das Problem ist. Ich würde es also zumindest mal mit einer Standardinstanz versuchen, ob es dann läuft.
Meine Spekulation: Die Fehlermeldung ist irreführend und wird dadurch ausgelöst, dass die Applikation die Datenbank gar nicht erst ansprechen kann. Sie meldet zwar Authentisierungsprobleme, aber da ihr vermutlich an der Domäne überhaupt nichts geändert habt, dürfte die Fehlermeldung "falsch" sein. Darüber hinaus deutet der Verweis auf einen PDC (den es seit Windows 2000 nicht mehr gibt) darauf hin, dass der Hersteller sein Handwerk nicht gut beherrschte.
Gruß, Nils
-
Moin,
dann macht die Applikation irgendwas auf einem recht ... individuellen Weg und nicht so, wie es vom Betriebssystem gedacht ist. Am schnellsten wird sich das lösen lassen, wenn der Hersteller dieser Applikation sich dazu äußert.
Mal ins Blaue geschossen: Vielleicht kommt die Applikation nicht mit dem Zugriff auf eine Named Instance des SQL Servers klar. Ich würde es mal mit der Standardinstanz versuchen. (Ohnehin ist von separaten Instanzen in den allermeisten Fällen abzuraten.)
Gruß, Nils
-
Moin,
interessant ... dann waren das andere Exchange-Server, als ich sie kenne.
Da es bislang hier nur Mutmaßungen darüber gab, warum man für so eine kleine Umgebung Exchange einrichtet und betreibt, weise ich vorsichtshalber ausdrücklich darauf hin, dass man "Mail für wenige User" auch deutlich einfacher und kostengünstiger kriegen kann. Vielleicht wäre das in diesem Fall ja auch einen Gedanken wert.
Gruß, Nils
-
1
-
-
Moin,
ich kann dir nicht folgen. Wieso richtet man für drei Mailboxen Exchange ein? Und wieso will man das dann migrieren, auf welche Art auch immer? Was könnte der Bedarf sein, wenn man für drei Mailboxen so einen Aufwand treibt?
Gruß, Nils
-
1
-
-
Moin,
naja, was der einfachste Weg wäre, lässt sich anhand der Informationen ja gar nicht feststellen. Eine Domänenmigration kann auch in "nicht allzu großen" Umgebungen sehr viel Aufwand erzeugen.
@possum72, was wären denn die Gründe, keine Migration zu machen? Und wie groß ist "nicht allzu groß" hier?
Gruß, Nils
-
1
-
Letzter macht das Licht aus 2
in Off Topic
Geschrieben
Moin,
dann sollten wir dir ehrenhalber einen Vornamen mit E verpassen.
Ehren-Nobby? Eine-Kanne-Kaffee-Nobby? Einer-muss-den-Job-ja-machen-Nobby?
Gruß, Nils
PS. just kidding - auch wenn ich hier selten poste, finde ich den Thread liebenswert.