frr
-
Gesamte Inhalte
223 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von frr
-
-
Hi,
ich hatte hier letztens eine ähnliche Diskussion mit Nils hier. Allerdings ging es da rein um Windows und keinen Linuxkasten:
1.) Ich habe mit PBIS noch nicht gespielt. Allerdings hatte ich schon ähnliche freie Lösungen wie z.B. Centrify in der Hand. Vergiss das einfach alles und schaue Dir mal SSSD an. Das ist wesentlich flexibler und dort kannst Du dann auch noch gleich solche Sachen wie Sudo oder auch autofs und services mit abfackeln. Das macht die Sache etwas flexibler.......
2.) Füge den zusätzlichen DNS Suffix als erlaubten DNS Suffix im AD hinzu (msds-Allowed-DNS-Suffixes)
3.) Natürlich ist es möglich einen Rechner mit dem DNS Namen server1.linuxdns.internal in einer Ad-Domäne mit dem Namen ad-domaene.internal (linuxserver.ad-domaene.internal) zu betreiben. Das von daabm empfohlene tool zur Erstellung der keytab (msktutil) erlaubt es Dir hier entsprechende DNS Namen etc. anzugeben. Um die Erstellung eines Computeraccounts kümmert sich das Tool auch gleich.
Wie dbaam schrieb ist es hier eine gute Idee für msktutil einen täglichen cronjob einzurichten der gegebenenfalls das Computerkennwort aktualisiert (msktutil --auto-update).
That´s it. Dann rennt das. Denke bitte daran, das mit Kerberos die Kisten auch über reverse DNS auflösbar sein müssen. Wenn nicht, musst Du das in der krb5.conf deaktivieren.
Bye,
Frank
-
Moin,
technisch mag das gehen. Vielleicht sogar "einfacher", als ich annahm. Trotzdem bin ich ja ein Freund der Sinnfrage.
Damit das funktioniert und irgendeinen Vorteil hat (Anwender nutzen den Hostnamen und kommen auf ihren standortlokalen Server), müssten die Clients zusätzlich ja das Standortsuffix als primäres DNS-Suchsuffix bekommen. Geht doch, wirst du sagen. Klar, geht auch, kriegt man bestimmt hin. Und schon haben wir wieder eine Besonderheit in der Umgebung, um nicht zu sagen, eine exotische Konfiguration. Die vielleicht diesen einen Anwendungsfall vereinfacht, dafür viele andere komplizierter macht.
Und nun komme ich noch mal und frage: Warum nicht einfach gleich die Server mit standortspezifischen Hostnamen versehen? Wo könnte ein ernsthafter Vorteil liegen, wenn die Server "gleiche" Hostnamen haben, wo sie ja in Wirklichkeit doch unterschiedliche FQDNs haben? Außer "weil es geht" kommt mir da zumindest bislang nichts in den Sinn. Einen Business Case hat der TO bislang ja auch nicht benannt.
Und ganz am Ende werfe ich dann einfach mal das Windows-Feature ein, das für solche Fälle gedacht ist: DFS-N.
Gruß, Nils
Zu Thema Standortsuffix: Die Clients können auch ein abweichendes primäres DNS Suffix verwenden. Dann generieren die Clients sogar Ihre SPNs für dieses Suffix (Client FQDN "client1.foo.bar" ist Mitglied in der AD Domäne "ad.bar") . Ein andere Möglichkeit wäre natürlich das definieren von Suchsuffixen über eine GPO die man mit dem jeweiligen AD Standort verknüpft.
Zum Thema Sinnfindung: Du hast z.B. ein Skript, was von dem Hostnamen "Fileserver" aus einem Share bestimmte Daten zieht. Damit Du das Skript nicht für jeden Standort anpassen musst, könnte so ein generischer Name schon Sinn machen. Ein Beispiel wären da auch ein Repository Server für automatische Setups etc.. Da fallen mir einige Anwendungsbeispiele ein.
DFS-N ist zwar gut gedacht, leider gibt es noch andere Betriebssysteme, die das nicht können. Da muss man sich dann auf dem kleinsten Nenner treffen, um eine Lösung zu finden.
Bye,
Frank
-
Hi Nils,
die gleichen Hostnamen für das Computerkonto selbst geht nicht. Aber das muss auch nicht sein, um das was der OP will zu realisieren.
1.) Man konfiguriert die zusätzlichen DNS Suffixe im Attribut msds-AllowedDNSSuffixes am Domänenobjekt (z.b. standort1.dom.local,standort2.dom.local,standort3.dom.local)
2.) Man installiert drei Fileserver FS1,FS2,FS3
3.) Man erstellt einen CNAME "Fileserver" in jeder Subdomain, der jeweils auf FS1,FS2,FS3 zeigt.
4.) Man erstellt mit setspn den jeweiligen SPN der am Computerobjekt hängt
5.) Man konfiguriert DisableStrictNameChecking auf jedem Fileserver
That´s it. Dann funktioniert die Sache und das auch mit Kerberos Authentifizierung.
Bye,
Frank
-
Hi Nils,
da kann ich Dir nicht zustimmen. Natürlich ist es möglich ein AD zu betreiben, wo die Hosts unterschiedliche DNS Suffixe benutzen. Das ist auch supported by MS und macht z.B. in dem vom OP geposteten Szenario Sinn.
Bye,
Frank
-
Hallo,
Es gibt schon einen Unterschied ob es über ein Anmeldeskript bzw. die GPPs gemappt wird. Schau Dir mal die Umgebungsvariablen "Homedrive","Homepath" und "Homeshare" von einem Benutzer an, der das Homelaufwerk über die Eigenschaften des Benutzerkontos gemappt bekommt und von einem Benutzer der es über ein Anmeldeskript bzw. die GPPs gemappt bekommt.
Da stellst Du sicher Unterschiede fest......!
Viele Grüße
Frank Röder
-
Hallo,
läuft das Navision auf SQL oder mit der eigenen Datenbank? Wenn es mit SQL läuft, dann werden das wohl die Transaktionsprotokolle sein.
Viele Grüße
Frank
-
Hallo André,
machst Du das zufällig unter Windows 2008 oder auch R2? Da gibt es einen Hotfix dafür. Schau mal in diesem Artikel nach ungefährt in der Hälfte stehen die Links:
http://blog.iteach-online.de/index.php/2012/06/wie-migriere-ich-einen-fileserver/
Viele Grüße
Frank
-
Hallo,
das passt so. Allerdings schreibe ich da mal ein NICHT SUPPORTED dahinter.
Viele Grüße
Frank
-
Hallo Alexander,
machst Du das in einer Testumgebung oder in einer Produktivumgebung? Wenn es eine Testumgebung ist, dann hast Du bestimmt die Maschinen geclont und kein Sysprep ausgeführt. Deshalb kommen die wilden Fehlermeldungen.
Viele Grüße
Frank
-
Hallo,
wenn es Dir nur um einen einzelnen Benutzer geht, dann kannst Du in den Eigenschaften der entsprechenden Gruppe auch den Benutzer als Manager (Registerkarte "Verwaltet von") eintragen. Darunter kannst Du einen Haken setzen "Vorgesetzter kann Mitgliedsliste ändern".
Jetzt noch fix eine MMC für den Benutzer bauen und fertig ist die Kiste.
Viele Grüße
Frank
-
Hallo,
wie Du richtig erkannt hast, wird bei einem Restore die InvocationID neu gesetzt. Verantwortlich dafür ist ein Registrykey unterhalb von HKLM:\System\CCS\Services\NTDS\Parameters der während des Restores gesetzt wird.
Viele Grüße
Frank
-
Hallo,
Du kansnt das Attribut entfernen. Bei einer größeren Datenmenge dauert das aber eine Weile und verursacht auch eine gewisse Last.
Auf dieser Seite gibt es ein Skript, was Dir weiterhelfen sollte:
Viele Grüße
Frank
-
Hallo,
da Du bei keiner Eingabe von read-host einen leeren String zurückbekommst, kannst Du mit $eingabe -contains "" testen, ob nur Enter gedrückt wurde.
Viele Grüße
Frank
-
Wenn Du die WAN Bandbreite beachten musst, dann würde ich das nicht über WMI realisieren. Ich würde das eher über einen Remotejob machen.
$scriptblock = {get-eventlog -log security | ?{$_.message -match "Kontoname:*$Administrator" -and $_.eventid -eq 4771}}
invoke-command $scriptblock -computer SRV1 -asjob
Danach eine Warterunde im Skript mit start-sleep
Jetzt benötigst Du eine Schleife, die prüft ob alle Jobs den Status "completed" haben. Wenn das so ist, kannst Du die Ergebnisse abholen und verarbeiten.
Viele Grüße
Frank
-
Hallo,
hast Du meine Ansatz überhaupt getestet? Lasse Dich nicht von meinem ersten Posting verwirren. Es ist genau das, was Du willst. Es wird nicht für jeden Wert ein neues Array erstellt, sondern wenn ein Wert zu dem Array kommt, wird das alte Array in ein neues kopiert. Das kostet Performance was aber in Deinem Fall nicht relevant ist.
Viele Grüße
Frank
-
Hallo,
das ist eigentlich rest einfach:
while(1 -eq 1){ $eingabe += @(read-host "Ihre Eingabe") }
Solange in dem Beispiel 1 gleich 1 ist, verlangt das Skript Eingaben. Diese Eingaben werden in einem Array gespeichert. Bei jeder Eingabe wird allerdings ein neues Array erstellt und das drückt hier die Performance. Da der User aber die Eingaben macht, ist dieser Aspekt zu vernachlässigen. Wenn es auf Performance ankommt, dann würde ich unter Umständen eine Arraylist nehmen.
Viele Grüße
Frank
-
Hallo Wolfgang,
schau Dir den Artikel an:
Windows Server, AD, Exchange und mehr….. » WinPE bzw. WinRE mit statischer IP
Im unteren Drittel wir der Einsatz der winpeshl.ini erläutert. Das sollte helfen.
Viele Grüße
Frank
-
Hallo Leute,
Hallo Frank,Finde das Tool ist gut genug um ihm eine eigene Seite zu witmen die Google auch vor kommerziellen findet und ich habe mehr als genug Platz ;)
ich habe mir dieses Jahr ganz fest vorgenommen, die ganzen geforderten Features wie Multi-OU Fähigkeit, frei konfigurierbare Anzahl von Benachrichtigungen, Logging etc. einzupflegen. Meine Auftraggeber machen mir aber gerade einen Strich durch die Rechnung. Ich bin schon wieder bis April komplett ausgebucht:cry:. Das ist auf der einen Seite schön, auf der anderen Seite bedeuted es schon wieder Stress. Auf jeden Fall bin ich dran und steter Tropfen höhlt den Stein:D. Wenn wir das alles reinbekommen, dann kann man auch über eine eigene Seite nachdenken.
Viele Grüße und einen schönen Abend noch,
Frank
-
Hallo Leute,
bitte nicht hauen, dass ich so lange nichts von mir hören lassen habe. In den letzten 2 Jahren ging es bei mir ganz schön rund. Deshalb musste ich z.B. PassAlert nach hinten schieben. Geld verdienen geht halt vor und meine drei Kinder wollen auch etwas Zeit abhaben.
Da es jetzt die nächsten drei Wochen etwas ruhiger wird, Gott sei dank, kann ich mich um die angenehmen Dinge kümmern. Ich habe jetzt eine neue Version von Passalert erstellt. Der Featureumfang ist geblieben. Für die ganzen Wünsche (Multi-OU Fähigkeit, besseres Logging etc.) werde ich eine komplette neue Version erstellen.
Mal sehen ob ich da zwischen den Feiertagen dazu komme. Momentan bin ich noch mit meiner Einkommensteuer beschäftigt:suspect:.
Der gemeldete Bug, dass PassAlert willkürlich Mails rausschickt, habe ich behoben. Das Ding sollte also rocken. Den HTML Editor für die Mails habe ich auch noch einmal umgestrickt. Der sollte jetzt auch auf allen Systemen laufen.
Den Download habe ich jetzt auf meinen Blog geschoben. Dadurch sollte eine Benachrichtigung über RSS auch möglich sein, wenn ich eine neue Version erstellt habe.
Viele Grüße und ein schönes Weihnachtsfest wünscht,
Frank
-
Hallo Brainstorm,
ich hatte die letzten Monate etwas Stress und bin nicht dazu gekommen. Ich hatte zwar immer Anlauf genommen aber dann kam gleich das nächste Projekt. Das ging letztes Jahr wie das Bretzelbacken.......:D. Ich werde mich die nächsten Wochen mal wieder ransetzen und die letzten Bugs beheben.
Viele Grüße
Frank
-
Hallo,
am einfachsten wäre, wenn Du das über die Tools csvde oder auch ldifde erledigst.
Viele Grüße
Frank
-
Hallo,
also das Erste, was ich bei KB Artikeln mache, ist auf englisch umschalten. Da geht es meistens besser:-).
Wieviel DCs habt ihr denn und welches BS?
BTW: Die 200€ würde ich auch nehmen.
Grüße
Frank
-
Hallo,
ich habe Dir doch schon die Lösung gepostet. Du musst nur noch blind den Artikel abarbeiten.
Grüße
Frank
-
Hallo,
ihr sucht an der falschen Stelle! Da der Zugriff mit der IP Adresse funktioniert, liegt es am Kerberos. Wenn man auf einen Windows Share mit der IP Adresse zugreift, dann erfolgt die Authentifizierung über NTLM und nicht über Kerberos.
In diesem Artikel wird Dir weitergeholfen:
Grüße
Frank
PDC Server
in Active Directory Forum
Geschrieben
Hi Nils,
das ist "ungefähr" richtig. W32Time hat eine Genauigkeit mit einer Abweichung von 1 - 2 Sekunden was für Kerberos und die meisten anderen Dienste mehr als ausreichend ist.
Bye,
Frank