NilsK

Moin, ich werde das Gefühl nicht los, dass wir es hier mit einem Fall von "<aufstampf /> ich will aber!" zu tun haben. Meiner Erfahrung nach bringt es nichts, sich darauf einzulassen. Man könnte auch sagen: Akuter Trollverdacht ... Gruß, Nils

Moin, so ohne Weiteres stimmt das nicht. Das wird zwar oft generalisierend so gesagt, aber bei näherer Betrachtung kann bzw. darf man das nicht einfach so anwenden. Betrachte etwa mein - bewusst simpel gehaltenes - DOS für Arme: Das setzt genau an dem Punkt an. Die Sperrung greift für die ganze Domäne, also auch für die wichtigen Konten. Man kann in fast allen Netzwerken ohne erhöhte Rechte sehr simpel erheblichen Schaden anrichten. Kontensperrung soll schwache Kennwörter beherrschbar machen. Besser ist es also, keine schwachen Kennwörter zu nutzen, zumindest bei Diensten und hochprivilegierten Konten. Die werden in aller Regel von Leuten genutzt, denen man starke Kennwörter sehr wohl zumuten kann. Ist ein Kennwort stark, dann sind Brute-Force-Angriffe aussichtslos, und man kann sich das Sperren sparen. Wenn überhaupt, dann sollte man Sperrungen nur in Kombination mit Fine-Grained Password Policies einsetzen. In dem Fall kann man für verschiedene Kontenklassen unterschiedliche Richtlinien innerhalb einer Domäne verwenden. Wenn man nach meiner Argumentation vorgeht, dann unterschreitet man die Standards nicht, sondern man übertrifft sie. Und ja, genau das muss man unter Umständen bewusst tun, wenn Standards ihre Aufgaben nicht erfüllen. Ein Standard, der Kontensperrungen nach (vielleicht auch noch wenigen) Fehleingaben pauschal vorschreibt, erfüllt seine Aufgabe nicht. Gruß, Nils

Moin, ... oder es richtig machen - einen Weg dazu habe ich oben beschrieben. Und was die "Schutz-Mechanismen" gegen den Angriff aus meinem Artikel angeht: Es gibt genau einen, der sinnvoll ist, und das ist der Verzicht auf automatische Kontensperrung. Gruß, Nils

Moin, "einfach" nicht unbedingt, wie der von dir verlinkte Artikel ja auch sagt. Und für Express schon gleich gar nicht. Gruß, Nils

Moin, wozu brauchst du denn diese Information? Was ist die Anforderung, die du lösen bzw. erfüllen willst? Gruß, Nils

Moin, das kann OldCMP, das ich oben empfohlen habe, ebenfalls. Es ist viel schneller als die PowerShell, hat einen Schutzmechanismus vor "versehentlichem" Ausführen, eine Reporting-Funktion und bietet auch noch eine Reihe anderer Vorteile. Muss man natürlich nicht nutzen, ist aber sowas wie das Ei des Kolumbus für diese Sorte Aufgaben. ;) Gruß, Nils

Moin, ich verstehe die Bedenken, aber auf dem Weg werdet ihr nicht weit kommen. Die Ansicht lokaler Konten lässt sich nicht sperren. Höchstens die Remote-Abfrage, aber gerade in deinem Szenario bringt das auch nicht viel. Der wesentlich bessere Weg ist, die kritischen Konten, die du ansprichst, ordentlich abzusichern und ggf. Angriffsversuche (fehlgeschlagene Logins) zu überwachen. Zudem solltet ihr die Mitgliedschaft in lokalen Administratorgruppen nicht für Useraccounts vorsehen, sondern nur für Gruppen - eine oder zwei reichen normalerweise aus. Das ist nicht nur weniger leicht auszuforschen (eine AD-Gruppe beispielsweise lässt sich per Berechtigungen vor neugierigen Blicken schützen), sondern auch leichter zu verwalten. Ich werf dann aber noch mal dies in den Raum: [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net] http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Gruß, Nils

Moin, in der lokalen Accountverwaltung kann man keine granularen Rechte setzen. User können die lokalen Konten (lesend) abfragen, das ist gewünscht, weil sie nur so ja z.B. Berechtigungen setzen können. Die Frage wäre eher, warum es bei euch lokale Accounts gibt und - wie Norbert schon fragt - warum es kritisch ist, dass man die sieht. Wenn es um die Remote-Abfrage geht, dafür gibt es Ansätze. https://gallery.technet.microsoft.com/SAMRi10-Hardening-Remote-48d94b5b Gruß, Nils

Moin, also ... Du liest Norberts Artikel noch mal in Ruhe. Du prüfst, ob deine Firewall wirklich das bestgeeignete Gerät ist, um die Zeitquelle für alle zu sein. Du richtest die beiden Gruppenrichtlinien nach Norberts Artikel ein. Damit erreichst du, dass der PDC-Emulator auch nach einem Rollenwechsel korrekt konfiguriert ist. Außerdem korrigiert die Lösung auch Fehlkonfigurationen bei den Clients. Du stellst für alle Domänenmitglieder (DCs, Server, Clients) die Zeitsynchronisation mit dem VM-Host ab. Nur einen DC zu haben, ist grob fahrlässig, wenn es mehr als fünf oder zehn Unser gibt. (In dem Fall können wir uns aber auch den Aufwand hier sparen.) Wenn alle DCs virtuell sind, hat man eine ungünstige Abhängigkeit von der VM-Umgebung. Die Nachteile für den Zeitdienst sind dann eher sekundär. Und die von dir zitierten Aussagen widersprechen sich nicht. Du willst vielleicht noch mal über die Bedeutung des Worts "oder" nachdenken. Gruß, Nils

Moin, prima, danke für die Rückmeldung! Gruß, Nils

Moin, und woher bekommt der Host seine Zeit, wenn er AD-Mitglied ist? :rolleyes: Warum postet man dir hier Links, wenn du sie ignorierst? Der Artikel von Norbert auf Gruppenrichtlinien.de stellt den State of the Art dar. So macht man das, nicht anders. Zu dem Thema "Zeitabgleich mit dem VM-Host" hier noch ein Link zum Ignorieren: [Zeitsynchronisation in virtuellen Umgebungen | faq-o-matic.net] http://www.faq-o-matic.net/2012/05/16/zeitsynchronisation-in-virtuellen-umgebungen/ Meine Empfehlung dazu lautet, für alle DCs und alle AD-Mitglieder die Zeitsynchronisation mit dem Host abzuschalten. Gruß, Nils

Moin, okay, sollte klappen. Ich habe selbst noch nichts mit Nested Virtualization in Hyper-V gemacht, weil die verschiedenen Beschränkungen während der Preview-Phase mich davon abgehalten haben. Prinzipiell sollte das aber so einsetzbar sein. ESXi als VM einzurichten, könnte allerdings etwas aufwändiger sein: [Nested Virtualization: ESXi als VM in Hyper-V | faq-o-matic.net] http://www.faq-o-matic.net/2016/05/25/nested-virtualization-esxi-als-vm-in-hyper-v/ Gruß, Nils

Moin, ältere WordPress-Versionen binden Google Fonts ein, richtig. Die jüngsten Versionen tun das nicht mehr, glaube ich. Wenn ihr keinen Weg ins Internet habt bzw. wenn der interne DNS keine externe Namensauflösung macht, kann es da natürlich zu Verzögerungen durch Timeouts kommen. Gruß, Nils

Moin, wozu willst du denn die Nested Virtualization nutzen? Außerhalb von Laborsystemen gibt es nur sehr wenige sinnvolle Einsatzgebiete dafür. Gruß, Nils

Moin, okay, dann dürfte die Namensauflösung gar nicht das Problem sein. Also eher der Browser, darauf deutet auch der Umstand hin, dass die Verzögerung bei jeder Seite kommt und nihct nur bei der ersten. Könnten Proxy-Einstellungen dazwischenfunken? Gruß, Nils

Moin, du sprichst von Hyper-V? Die Voraussetzungen sind so dokumentiert: https://msdn.microsoft.com/en-us/virtualization/hyperv_on_windows/user_guide/nesting A Hyper-V host running Windows Server 2016 or Windows 10 Anniversary Update. A Hyper-V VM running Windows Server 2016 or Windows 10 Anniversary Update. A Hyper-V VM with configuration version 8.0 or greater. An Intel processor with VT-x and EPT technology. Das dürften die allermeisten Intel-Prozessoren der letzten Jahre unterstützen, die von dir genannten auch. Sogar einige Celerons wären geeignet. Gruß, Nils

Moin, naja, die geposteten Fehler sind normal, wenn kein DNS-Server eingetragen ist. Test 1: Wenn du auf einem der "langsam auflösenden" Clients mal in einem CMD-Fenster den DNS-Cache löschst (ipconfig /flushdns) und dann einen ping auf den vollen Namen eines der Server ausführst, dauert es dann auch mehrere Sekunden, bis der Name aufgelöst ist? Test 2: Nochmal den DNS-Cache löschen und dann die IP-Adresse anpingen nach folgendem Muster: ping -a 172.30.254.101 - Verzögerung oder nicht? Gruß, Nils

Moin, wichtig wäre auch zu wissen, was die "Auswertung" denn überhaupt macht. Typische Kandidaten für schlechte Performance sind fehlende Indizes (oder fehlende Indexpflege, siehe den Beitrag von MDD) oder schlechte Abfragen, die sich gegenseitig blockieren. Gruß, Nils

Moin, welches OS läuft auf den Clients? Was du prüfen könntest: Öffne auf einem Client mal die Netzwerkverbindungen. Dann mit der Alt-Taste das Menü einblenden und Erweitert/Erweiterte Einstellungen. Wie ist die Bindungsreihenfolge der Netzwerkanbieter? Finden sich Einträge in den Eventlogs der Clients? Im DNS-Eventlog des Servers? Gruß, Nils

Moin, früher hat man jemandem die X11-Sourcecodes geschickt, um ihn zu ärgern. :jau: Gruß, Nils

Moin, welche DNS-Server-Einträge haben die Clients? Dauert die Namensauflösung auch so lange, wenn du nicht den Kurznamen des Servers verwendest, sondern den vollständigen DNS-Namen? Gruß, Nils

Moin, deine beiden Begriffe laufen auf dasselbe hinaus, weil sich die GAL ja aus dem AD speist. Ich bin kein Freund davon, externe Kontakte in der GAL zu hinterlegen, weil die dadurch sehr unübersichtlich wird und User es selten unterscheiden können, wer zur Firma gehört und wer nicht. Zudem stellt sich dann ein administratives Problem, denn um die Kontakte zu importieren oder zu bearbeiten, braucht man erhöhte Rechte im AD. Der Ansatz über Sharepoint dürfte schon passen, weil Outlook, wenn ich mich richtig erinnere, Sharepoint-Kontakte auch direkt einbinden kann. Ich wage mal zu behaupten, dass man sowas mit einem CSV-Export und etwas PowerShell-Code bestimmt auch selbst hinbekommt. Gruß, Nils

Moin, leider ist das tatsächlich auch in der "echten" Prüfung nicht immer zu ersehen, was denn nun gemeint ist. Das hängt immer davon ab, wie sorgfältig der jeweilige Autor gearbeitet hat. Generell kannst du davon ausgehen, dass PowerShell "eher" die gewünschte Variante ist - aber ohne Gewähr. PowerShell wird deshalb als "weniger aufwändig" angesehen, weil man es so auch automatisieren kann. Gruß, Nils

Moin, wenn es um Sharepoint geht, befolge unbedingt die Anweisungen zum Migrieren einer Sharepoint-Datenbank. Eigene Verschiebeversuche führen schnell ins Abseits. Das Web sollte ausreichend Ressourcen bieten. Gruß, Nils

Moin, ... und ... ... erzeugt: Hm. Oder? Nicht, dass wir nicht darauf hingewiesen hätten, dass es zu Problemen kommen kann. Wenn ich Admin in eurem Unternehmen wäre, würde ich mir jetzt einen kompetenten Dienstleister suchen. Für ein Forum ist das nix - es sei denn, Exchange spielt im Unternehmen keine Rolle. Gruß, Nils