Jump to content

NilsK

Expert Member
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    17.685

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von NilsK

  1. Domänenanmeldung erst nach Neustart von NTDS

    in Active Directory Forum

    Geschrieben

    Moin,

     

    vor 14 Stunden schrieb James_Eric:

    Mein Projekt ist immer noch im Teststatus

    dann wäre es schön, wenn du künftig auf solche Umstände hinweist. Ist ja schon ein Unterschied, ob das produktiv-kritisch ist oder nicht.

     

    Wie Norbert auch schon andeutete (der eine, bestätigt vom anderen :lol3:), werden "Altlasten" oft überbewertet. So magisch ist das AD nun auch wieder nicht, dass man es nicht aufgeräumt oder repariert bekäme. Ein AD, das nicht ordentlich läuft, lässt sich so gut wie immer korrigieren. Das ist am Ende eine Frage des Aufwands.

     

    Um hier aber am richtigen Ende anzusetzen: Was genau heißt "Teststatus"? Ist das eine produktive Umgebung oder nicht? Wäre es evtl. effizienter, das AD neu einzurichten, weil es ohnehin nicht ernsthaft verwendet wird? Oder müsste man sich darauf konzentrieren, das Vorhandene geradezubiegen?

     

    Falls Letzteres, gehe ich stark davon aus, dass die Installation eines zweiten DCs in der Domäne die Stabilität des ADs herstellen würde. Dann könnte man den "alten" DC in Ruhe reparieren oder ersetzen. Es klingt für mich bis hierhin so, als läge auf der Maschine ein lokales Problem vor. Um das richtig einzuschätzen, könnte aber kompetente Unterstützung hilfreich sein, wie Norbert (der andere) auch vorschlägt.

     

    Gruß, Nils

     

  2. Domänenanmeldung erst nach Neustart von NTDS

    in Active Directory Forum

    Geschrieben

    Moin,

     

    der DC ist ja auch nicht überlastet. Einen überlasteten DC habe ich in 20 Jahren noch nie gesehen, auch nicht in Großunternehmen. Da ist was anderes im Busch. Einen weiteren DC empfehlen wir nicht wegen Leistungsgrenzen, sondern wegen der Redundanz. Wie du ja merkst, hängt ein Windows-Netzwerk von Active Directory ab, da ist es sehr hinderlich, wenn dieses nur auf einem Server läuft und dieser nicht richtig funktioniert.

     

    Die Ausgabe von dcdiag gibt leider nichts her. Im Eventlog müsste sich was finden lassen. Das Verhalten ist jedenfalls nicht normal.

     

    Gruß, Nils

     

  3. Domänenanmeldung erst nach Neustart von NTDS

    in Active Directory Forum

    Geschrieben · bearbeitet von NilsK

    Moin,

     

    vor 14 Minuten schrieb Nobbyaushb:

    Dann solltest du über einen dritten DC nachdenken...

    ich gehe sogar noch weiter und sage: Der TO sollte über einen zweiten DC nachdenken. :lol3:

    Ernsthaft: Bei 77 Usern ist ein DC viel zu wenig. Sobald es zweistellig wird, ist ein einzelner DC zu wenig. Warum, das siehst du ja jetzt.

     

    Die Logs, in denen sich sicher was findet, sind das System Log, das Application Log und unterhalb von "Dienst- und Anwendungsprotokolle" die Verzeichnisdienste (je nach Sprache auch "Directory Service").

    Parallel kannst du in einem CMD-Fenster mit Adminrechten noch mal dies ausführen und uns sagen, welche Fehler dort gemeldet werden: 

    dcdiag > C:\Pfad\dcdiag.txt

    Gruß, Nils

     

    • Like 1

  8. Frage zu privates Smartphone mit Firmen Activesync und "Datensicherheit"

    in MS Exchange Forum

    Geschrieben

    Moin,

     

    die ActiveSync-Einbindung als solche lässt nicht zu, dass ein Admin der Firma an die privaten Daten des Telefons herankommt. Je nachdem, wie gut oder wie fehlerhaft die Einbindung auf dem Gerät softwareseitig gemacht ist, kann es aber passieren, dass ein RemoteWipe auch seine privaten Daten löscht. Sollte zwar heute eigentlich nicht mehr so sein, ist aber alles schon dagewesen.

     

    Gruß, Nils

     

    • Like 2

  9. Löschen älter als mit Ausnahmen

    in Windows Forum — Scripting

    Geschrieben

    Moin,

     

    hier bist du an einer Stelle, die sich mit einfachen Mitteln kaum sinnvoll lösen lässt. Man könnte jetzt darüber sinnieren, dass es einen Unterschied gibt, ob eine Datei an das Ziel kopiert wurde oder ob sie dorthin verschoben wurde (was hier vermutlich die Ursache ist). Danach wird man aber wahrscheinlich den nächsten Punkt finden.

     

    Die Mechanismen des "rohen" Dateisystems sind oft ungeeignet, um darauf Workflows von geschäftlicher Bedeutung abzubilden. Vielleicht ist hier ein grundsätzlich anderes Vorgehen empfehlenswert.

     

    Gruß, Nils

     

  13. Mythen zu AD-Computerkonten (Neuinst., Weiterverwenden Computername, SID)

    in Active Directory Forum

    Geschrieben · bearbeitet von NilsK

    Moin,

     

    vor 3 Stunden schrieb notimportant:

    Normalerweise wird ja versucht das Passwort zwischen AD und Rechner zu synchronisieren. Wenn der Rechner nicht online ist, wird lediglich das Passwort auf dem Computerobjekt neu gesetzt und mehr doch nicht?

    nein, wenn der Rechner nicht online ist, geschieht gar nichts. Einfach aus dem Grund, dass es der Client ist, der das Kennwort neu setzt. Ginge ja auch kaum anders.

     

    [Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! | Aktives Verzeichnis Blog]
    https://blogs.technet.microsoft.com/deds/2009/01/20/wann-luft-ein-maschinenaccount-computerkonto-ab-gar-nicht/ 
     

    Gruß, Nils

    PS. ... ach ja, Fabian ... der war auch schon lange nicht mehr hier.

  14. Mythen zu AD-Computerkonten (Neuinst., Weiterverwenden Computername, SID)

    in Active Directory Forum

    Geschrieben

    Moin,

     

    wobei sich der Prozess ja leicht so erweitern ließe, dass beim Löschen des Computerkontos auch der DNS-Eintrag ausdrücklich gelöscht wird. Intuitiv erschiene mir das logischer und sinnvoller als ein Workaround mit dem Wiederverwenden des Kontos. Die Client-Installation hat ja auch lokal eine andere Identität (lokaler SID).

     

    Am Ende akademisch, wie du schon sagst. Wichtig ist, dass man seine Prozesse im Griff hat.

     

    Gruß, Nils

     

  17. Windows Server 2019 - externe CA für SubCA

    in Windows Server Forum

    Geschrieben

    Moin,

     

    wozu das Ganze? Brauchst du die CA als solche oder nur Zertifikate? Falls es um die CA geht, dann mach es lieber richtig und installiere eine Windows-Root-CA und eine Windows-Sub-CA. Das ist am besten dokumentiert und du kannst sicher sein, dass das Nötige im CSR und den Zertifikaten steht.

     

    Falls du nur Zertifikate brauchst, dann nimm selbstsignierte oder bau dir was Kleines mit OpenSSL oder so.

     

    Gruß, Nils

     

     

     

  19. Zertifikat Sperrlisten können nicht abgerufen werden

    in Windows Forum — LAN & WAN

    Geschrieben · bearbeitet von NilsK

    Moin,

     

    auf die Schnelle habe ich leider keine Lösung für das CRL-Problem. Aber ein wichtiger Hinweis: Für dein Szenario ist das Sperren des Zertifikats i.d.R. nicht der richtige Weg bzw. das reicht nicht aus. Da eine Sperrliste immer eine Laufzeit hat, wird das Sperren eines Zertifikats immer eine längere Verzögerung bedeuten. Möchtest du einen Zertifikatsinhaber schnell aussperren (was hier ja das Szenario zu sein scheint), musst du das primär auf anderem Wege tun, also meist das Zugangskonto selbst sperren. Nur so sorgst du für eine schnelle Wirkung.

     

    Zu der Fehlermeldung gibt es eine Reihe von Fundstellen im Web, geh die mal durch. Manchmal sind es simple Dinge wie ein falscher Authentifizierungsmodus auf dem Webserver.

     

    Gruß, Nils

     

  21. Zertifikat Sperrlisten können nicht abgerufen werden

    in Windows Forum — LAN & WAN

    Geschrieben

    Moin,

     

    ja, Microsofts Support arbeitet da wie viele andere Supportorganisationen. Anleitungen zur Ersteinrichtung bekommt man nicht. Manchmal ärgerlich, aber letztlich legitim.

     

    Welche Pfade stehen denn im Zertifikat für die Sperrliste? Ist auch ein OCSP-URL hinterlegt? Möglicherweise arbeitet die Abfrage aus der Serverkomponente anders als die von certutil.

     

    Gruß, Nils

     

×
×
  • Neu erstellen...