NilsK
-
Gesamte Inhalte
17.571 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NilsK
-
-
Moin,
dafür brauchst du eine eigene Zertifikatsvorlage und musst den Prozess dann manuell durchführen. Der vordefinierte Prozess geht nur mit AD-Mitgliedern.
[Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net]
https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/Gruß, Nils
-
Moin,
sorry, aber ... fünf Jahre alte Platten für ein RAID in einem neu einzurichtenden Backupserver? Da geht was ganz derb in die falsche Richtung.
Dass man einen Backupserver aus Altmetall zusammenbauen könne, glauben Kunden nur so lange, bis sie das Backup mal brauchen.
Gruß, Nils
-
1
-
-
Moin,
je breiter ein RAID-Set, desto höher die Wahrscheinlichkeit, dass ein Ausfall Probleme bereitet. Bei zwölf Platten im RAID-5 wäre "eine Platte" Parity bei elf Datenplatten. Mit gebrauchten Platten wäre mir das Risiko zu hoch.
Wie wichtig sind denn die Daten? So unwichtig, dass ein neues Storage teurer ist als der Verlust?
Gruß, Nils
-
Moin,
ein Notebook sollte ohnehin verschlüsselt sein. Ohne Verschlüsselung braucht man überhaupt keine aufwändigen Angriffe, sondern kommt in der Praxis sehr leicht in die Domäne.
Gruß, Nils
-
Moin,
aber AD FS ist nicht gewünscht.
wieso das denn nicht?
Ansonsten wäre es in dem Szenario sicher sinnvoll, sich jemanden dazuzuholen, der sich mit der Technik und den Zusammenhängen auskennt.
Gruß, Nils
-
Moin,
Du kannst vorhandene Globale Gruppen aber in Domänenlokale konvertieren.
Gruß, Nils
-
Moin,
ja, warum sollte das nicht gehen? Die Frage wäre die nach den Details, was du denn erreichen willst, aber im Grundsatz geht das.
Gruß, Nils
-
Moin,
das geht schlicht nicht. Globale Gruppen nehmen nur Objekte aus der eigenen Domäne auf. Universalgruppen nur Objekte aus dem eigenen Forest.
Für dein Szenario sind die Domänenlokalen Gruppen gedacht.
[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/Gruß, Nils
-
Moin,
ja, mit der GPO-Einstellung könnte man das steuern. Wenn die nicht manipuliert ist, dann funktionieren Cached Credentials, und man kann sich offline mit seinem Domänenkonto anmelden, sofern man sich vorher mindestens einmal online an dem Rechner erfolgreich angemeldet hatte.
Geht seit Windows NT.
Gruß, Nils
-
Moin,
da bist du nicht der einzige, wie man dem Artikel ja entnehmen kann. :D
Ist aber auch wirklich komplex.
Gruß, Nils
PS. Danke für die Rückmeldung! :)
-
Moin,
na, da steht es doch auch noch mal ausdrücklich dabei: Der WAP kann entweder "claims-based" ADFS oder Kerberos. Wenn Kerberos, dann Domänenmitgliedschaft. Wenn Claims-based ADFS, dann keine Domänenmitgliedschaft.
Für die Auswahl der passenden Authentifizierung ist das gewünschte Szenario wichtig: Wer soll denn von wo aus auf den Exchange zugreifen? Vermutlich geht es ja um den Zugriff von außen, wo der User ohnehin kein Kerberos-Ticket übermitteln kann. Da ist dann Claims-based ADFS das Mittel der Wahl: Der User bekommt eine Anmeldeseite von ADFS präsentiert, an der er sich mit seinem Domänenkonto anmeldet. Damit erhält er ein SAML-Token und kann dann auf den Exchange zugreifen. Und dafür muss der WAP kein Domänenmitglied sein, weil er dann nur Reverse Proxy für den ADFS-Server im LAN spielt.
In dem von dir beschriebenen Artikel wird zwar Kerberos verwendet - aber da der User eben nicht mit einem gültigen Kerberos-Ticket ankommt, muss WAP dann doch die Anmeldeseite des ADFS anzeigen. Also kein Vorteil für den User, dafür ein Nachteil für die Sicherheit (weil eben der WAP Domänenmitglied sein und daher mit dem DC im LAN kommunizieren muss). Man könnte auch sagen: Hübscher Artikel, aber am Thema vorbei.
Um Claims-based ADFS zu machen, dürfte diese Anleitung hilfreich sein:
https://technet.microsoft.com/en-us/library/dn635116(v=exchg.150).aspx
Gruß, Nils
Gruß, Nils
-
Moin,
sagt das Eventlog was zu einem unerwarteten Absturz? Ist die VM überhaupt für Crashdumps konfiguriert?
Wieviele CPU-Cores hat denn der Host, dass ihr die VM so heftig damit füttert? Gibt es dafür definierte Anforderungen?
Gruß, Nils
-
Moin,
To allow users to authenticate using Integrated Windows authentication, the Web Application Proxy server must be joined to a domain.
(Hervorhebung von mir)
das heißt: Wenn der Backend-Server mit Windows-integrierter Anmeldung die User anmelden soll, dann muss der WAP Domänenmitglied sein. Ziemlich klar, denn sonst wird er ja die AD-Anmeldung nicht prüfen können.
Das ist aber deiner Aussage nach gar nicht das, was du machen willst, denn du willst ja ADFS nutzen. In dem Fall ist der Reverse Proxy (also hier der WAP) natürlich kein Domänenmitglied, sondern nur der dahintergeschaltete ADFS.
Gruß, Nils
-
Moin,
ah, Moment. Ich sehe gerade, dass das eine Windows-Standardmeldung ist:
https://msdn.microsoft.com/en-us/library/ms838297.aspx
Dann ist "may not be assigned" nicht zu verstehen als "könnte sein, dass nicht", sondern als "darf nicht". Das tritt normalerweise dann auf, wenn der User, der Owner sein soll, nicht das Recht hat, den Besitz zu übernehmen.
Wenn es aber, wie bei dir offenbar der Fall, doch funktioniert hat, dann würde ich noch mal prüfen, ob die Zugriffe wie gewünscht funktionieren. Ist das der Fall, dann könnte es z.B. sein, dass die Fehlermeldung zwar zu Recht getriggert wird (Datei wird angelegt, User als Besitzer hinzugefügt, der in dem Moment gar nicht den Besitz übernehmen darf, aber das Tool schreibt ihn trotzdem erfolgreich rein), aber das in dem Moment nicht in einem "echten" Fehler resultiert.
Gruß, Nils
-
Moin,
na dann ... es steht ja auch nur dabei "may not". Vermutlich antworten die Linux-Server nicht exakt so, wie das Tool es erwartet. Aber wenn es passt, scheint das "may" ja kein "is" zu sein. ;)
Gruß, Nils
-
Moin,
1 kannst du ignorieren.
2 ja
Gruß, Nils
-
Moin,
nur mal ins Blaue geschossen: Hat der ausführende User das Recht "Wiederherstellen von Dateien", um sich über die Berechtigungen hinwegzusetzen?
Gruß, Nils
-
Moin,
ein Zertifikat weist nach, dass der Name wirklich zu dem Server gehört. Naheliegenderweise funktioniert das nicht, wenn ein Name zu jedem Computer gehört. Auf ein Zertifikat gehört ein eindeutiger FQDN, nichts anderes.
Nicht zuletzt aus diesem Grund stellen kommerzielle CAs seit einigen Jahren keine Zertifikate mehr für Namen aus, die nicht zu einer öffentlich erreichbaren Domain gehören.
Gruß, Nils
-
Moin,
die Magie liegt bei solchen Tools in der Auswertung der vorhandenen Berechtigungen. Ein Crawler sammelt alle Berechtigungen ein, schreibt sie in eine Datenbank und lässt dort Auswertungen zu. Damit lassen sich Fragen dieser Art schnell und exakt beantworten:
- Wer (= welche User!) kommt eigentlich an den Vertriebsordner ran?
- Wo hat Anne Donnicht überall Berechtigungen?
- Warum kommt Martin Zorn immer noch an die GF-Daten, obwohl wir ihn aus der Gruppe entfernt haben?
Und spätestens das ist mit Bordmitteln kaum in absehbarer Zeit zu machen.
Gruß, Nils
-
Moin,
wo hast du denn her, dass der WAP Domänenmitglied sein müsse? Meines Wissens muss er das nicht, und Microsoft rät auch explizit davon ab.
Gruß, Nils
-
Moin,
naja, hat schon mit Rollenkonzepten zu tun, nur ganz anders.
Die Idee bei solchen Tools: Gib dem Data Owner (der ja kein IT-Admin ist) eine einfache Oberfläche, mit der er einstellen kann: "Ute und Uwe sollen im Vertriebsordner schreiben und lesen dürfen." Das Tool setzt dann im Hintergrund die richtigen Gruppenmitgliedschaften (auch mit A-G-DL-P, wenn man das will) und stellt das Ergebnis dem Data Owner so dar, dass er es versteht.
Gruß, Nils
-
Moin,
wenn w32tm trotz NTP-Konfiguration die lokale Uhr als Quelle angibt, ist oft die Firewall Schuld, weil sie NTP nicht durchlässt. (Andere Variante wären Tippfehler usw.)
Wobei ich auch dringend zu Jans Hinweis rate. (Da muss die Firewall aber trotzdem NTP durchlassen.)
Gruß, Nils
-
Moin,
Welche Arbeit nimmt einem dann so ein tool noch ab?
im Zweifel das ganze Rumgeschiebe mit den Gruppen. Die Idee bei so einem Tool ist, dass der Data Owner (z.B. der Abteilungsleiter) das selbst machen kann, ohne die IT behelligen zu müssen. Das Tool sorgt dann dafür, dass alles mit den Gruppen passt. Ist schon eine feine Sache.
Gruß, Nils
-
Moin,
öffne auf einem der beteiligten PCs mal ein CMD-Fenster als Admin. Führe dort aus:
gpresult /R /Scope computer
Taucht die Gruppe im Resultset auf?
Falls nicht, prüfe mal das Ereignisprotokoll. Falls der Rechner wirklich im AD in der Gruppe Mitglied ist und seither neu gestartet wurde, scheint da etwas bei der Anmeldung des Rechners falsch zu laufen. Das sollte sich im Ereignisprotokoll niederschlagen.
Gruß, Nils
Raid Verständnisfrage
in Windows Server Forum
Geschrieben
Moin,
ach ja ... da hast du natürlich Recht. :D
https://en.wikipedia.org/wiki/Write-only_memory_(joke)
Gruß, Nils