tokra

Hallo zusammen, Firma xy hat vor kurzem einen Silber-MS-Partnerstatus erreicht. Nun hat ein Mitarbeiter mit einigen Zertifizierungen, welche ja "Punkte" bringen, gekündigt. Kann mir jemand sagen, ob das Unternehmen den Partnerstatus / Punkte verliert oder wie das abläuft? Bzw. wo ich es nachlesen kann.

Problem hat sich gelöst. Falls es mal jemand haben sollte: Es lag an einem nicht aktualisierten PTR-Eintrag in der Reverse-Lookup-Zone.

Hi, es handelt sich um einen ServerCore, der gleichzeitig RODC ist. Ein "netsh dhcp show server" zeigt alles richtig an. Auch der ADSI-Editor zeigt in der Konfigurationspartition des RODC alles richtig an, wodurch ich Replikationsprobleme ausschließen kann. Interessanterweise: Wenn ich mich mit einem Windows Server 2003 R2 am mit der DHCP-Server Konsole mit dem DHCP-Server verbinde, funktioniert es. Allerdings wird hier ein rotes Symbol für einen nicht autorisierten Server angezeigt, obwohl der Server eindeutig autorisiert ist (laut ADSI-Editor und er vergibt auch DHCP Leases). Diesen Anzeigefehler hatte ich allerdings schonmal irgendwo gesehen. Dieses Phänomen ist reproduzierbar; habe es jetzt auch mehreren W2K3 Maschinen getestet. Zu dem verlinkten MS-Artikel von "carlito" fällt mir noch ein: Ich habe auch das Objekt mit dem Namen "CN=DhcpRoot", Eigenschaft "dhcpServers" überprüft. Hier sind keine Einträge vorhanden.

Hi, danke für den Hinweis. Ich habe, wie im Artikel beschrieben, nochmal den alten DHCP-Server autorisiert. Danach steht auch bei beiden (nacheinander autorisiert) die richtige IP-Adresse im der DHCP-Konsole. Obwohl dort die richtige IP-Adresse und der richtige Name steht, verbindet er sich nach wie vor immer mit dem alten Server. Ich habe mir auch einmal das Objekt der Klasse "dHCPClass" im Configuration Context angeschaut (CN=Services,CN=NetServices). Dort steht beim Attribut "dhcpServers" des betroffenen DHCP-Server-Objektes die richtige IP-Adresse drin. Auch wenn man den alten Server nochmal autorisiert, bekommt er hier die richtige IP-Adresse. Das Löschen dieses Objektes und Neu-Autorisieren hat leider auch keine Abhilfe gebracht. Alle Sites sind vollständig repliziert. Auch auf anderen Sites sind die Objekte aktuell.

Hi, der DHCP-Server auf dem alten Server ist deaktiviert (auch der Dienst). Der neue wurde bereits neu gestartet. Wenn ich per DHCP-Konsole einmal die Autorisierung des neuen Servers aufhebe, und dann per "Autorisieren"-Button die IP-Adresse des neuen Servers eintrage, zeigt er hier immer den alten Server mit Namen an. Obwohl DNS ihn wie gesagt richtig auflöst. Es scheint so, als ob die IP-Namenszuordnung für die autorisierten DHCP-Server noch irgendwo im AD gespeichert werden; unabhängig vom DNS-Server.

Hallo zusammen, ich habe hier ein interessantes Phänomen vorliegen. Ein DHCP-Server wurde auf einen anderen Server umgezogen; die IP-Adressen der Server wurden getauscht. Die Server haben dynamisch ihre Registrierung beim DNS-Server erneuert. Der DNS-Server löst die richtigen IP-Adressen zu den Servernamen auf. In der DHCP-Server Konsole bei der Auswahl eines Servers "Autorisierte Server verwalten" sind dort zwei Felder "Name" und "IP-Adresse". Hier steht ausschließlich der neue Server (der im AD autorisiert wurde; dem alten wurde die Autorisierung entzogen), jedoch die falsche / alte IP-Adresse. Dadurch verbindet sich die Konsole immer mit dem alten Server. Weiß jemand, ob die Zuordnung der IP-Adresse noch woanders gespeichert wird? Alle DNS-Server sind repliziert und verweisen auf die richtige / neue IP-Adresse.

Hi, vielen Dank. Werde das mal ausprobieren.

Hallo zusammen, ich möchte das Windows 7 Wartungscenter auf Clients per GPO konfigurieren; dabei geht es mir um den Bereich "Meldungen aktivieren bzw. deaktivieren", in dem die einzelnen Überwachungsbereiche des Wartungscenters eingestellt werden können. Vorweg: Ich möchte das Action Center nicht abschalten, wie es in jedem anderen Eintrag der Fall ist, wenn man eine Suchmaschine bemüht. Das Wartungscenter soll eingeschaltet bleiben. Es sollen lediglich die Meldungsbereiche nicht mehr konfigurierbar / ausgegraut sein. Wie ich herausgefunden habe, speichert Windows die gewünschten Werte in folgenden Registry Keys: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Action Center\Checks] Nun wollte ich per Group Policy Preferences diese Registry Settings verteilen. Diese habe ich zuvor auf einem Clients exportiert und mir in einer Textdatei geöffnet. Beispiel für einen der vielen Werte: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Action Center\Checks\{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.101 Wert (binär): hex:23,00,41,00,43,00,42,00,6c,00,6f,00,62,00,00,00,00,00,00,00,\ 00,00,00,00,01,00,00,00,10,00,00,00,00,00,09,00 Wenn man genau das in die Registry-Elemente der GPP einträgt, zeigt es auf dem Client, der die GPO anwendet, keine Wirkung. Als Aktion des Registry Elements in der GPP wurde "Ersetzen" und auch ein mal "Aktualisieren" gewählt - beides zeigt keinerlei Wirkung. Als Werttyp wurde "REG_BINARY" ausgewählt. Hat hier jemand eine Idee?

Was spricht aus deiner Sicht dagegen? Ich sehe in der AD-LDS Instanz in der DMZ keinen Vorteil gegenüber einem RODC ohne cached Credentials - das scheint ja die hier bevorzugte Lösung zu sein.

Vielen Dank für eure Anregungen. Was mich noch interessieren würde: Habt ihr selbst oder kennt ihr Infrastrukturen, wo RODCs in der DMZ im Einsatz sind? Wenn ja, in welchen Szenarien werden diese dort ingesetzt? Ich würde auf dem RODC in der DMZ trotzdem kein Password Caching zulassen. Ich sehe da keinen Sinn drin, da sich DMZ und LAN physikalisch am gleichen Standort befinden. Die Kennwortreplikation macht ja eher bei Zweigstellen Sinn, um eine langsame WAN-Verbindung zu entlasten oder einem WAN-Ausfall vorzubeugen.

Wenn er Domänen-Admin-Rechte hat, kann er auch gleich Verbindung mit dem beschreibbaren DC im LAN aufnehmen. Alternativ könnte er die ADDS neu installieren und diesmal nicht als RODC.

Nehmen wir an ein Angreifer kompromittiert den RODC. Jetzt gibt es zwei Möglichkeiten: 1. Er kann die cached Password Hashes auslesen und versuchen diese zu knacken 2. Er kann zunächst keine Passwort Hashes auslesen -> Da so oder so eine Kommunikation vom RODC zu einem beschreibbaren DC im LAN notwendig ist, halte ich es für einen Sicherheitsgewinn, die Hashes nicht in der DMZ zu speichern Weiteres Angriffsszenario: Ein Angreifer kompromittiert den RODC und findet eine Sicherheitslücke, Daten auf einen beschreibbaren DC zu injizieren. Die Eintrittswahrscheinlichkeit dieses Risikos halte ich für gering, wodurch ein RODC in der DMZ durchaus in Frage kommt.

Hi, es ist angedacht, die Struktur später mit AD-FS auf ein zweites AD auszudehnen, was sich in der DMZ befinden wird. Ich müsste jetzt schauen, ob die AD-LDS mit den AD-FS kombiniert werden können, aber momentan sehe ich bei den AD-LDS im Gegensatz zu einem RODC keinen Vorteil. Wenn eine Kommunikation aus der DMZ ins LAN so oder so nötig ist, halte ich es für den sinnvollsten Weg, die Kennwörter gar nicht erst in der DMZ zu speichern. Demnach würde die AD-LDS Instanz oder ein RODC in der Standardkonfiguration (speichert keine Kennwörter) in Frage kommen.

Hallo zusammen und danke für eure Rückmeldungen, Eben, er wird sie WIEDER replizieren, aber erst wenn eine Authentifizierung stattfindet und dann muss der RODC Kontakt zu einem RWDC aufnehmen -> DMZ->LAN-Kommunikation nötig Wenn ich alles in eine AD-LDS Instanz synchronisiere, liegen wiederrum alle Kennwörter in der DMZ. Ich frage mich gerade was das geringere Übel ist: Szenario 1: Egal ob durch RODC mit cached Passwords oder durch eine AD-LDS Instanz: Die Kennwörter liegen auf einem Server in der DMZ Szenario 2: Eine Art LDAP-Proxy (z.B. RODC ohne cached Passwords) fragt jedes mal bei einem RWDC im LAN nach -> Firewall muss von der DMZ ins LAN geöffnet werden

Hallo und danke für den Link, wie es aussieht, speichert der RODC also kein Kennwort mehr, sobald es geändert wird. Ich überlege gerade, ob es sinnvoll ist, einen RODC in die vorliegenden Umgebung zu stellen (gewisse Extranetapplikationen benötigen zwingend LDAP-Zugriff für Authentifizierungen). Ich wollte aber keinen Zugriff von der DMZ in das LAN, respketive auf einen beschreibbaren DC im LAN, gestatten, was ja in diesem Fall nötig wäre, damit der RODC Kennwörter abfragen kann (spätestens, wenn sie geändert wurden). Ich bin mir auch immer noch sehr unsicher, ob der RODC hier eine geeignete Maßnahme darstellt, da es ja primär für Zweigstellenszenarien entwickelt wurde. Andererseits gibt es ja nicht umsonst einen "Deploying RODC in perimeter networks" Guide von Microsoft. Prinzipiell würde es natürlich Sinn ergeben, auf dem RODC überhaupt keine Kennwörter zu speichern, so dass der RODC nur als Proxy für LDAP-Anfragen der DMZ agiert.

Hallo zusammen, ich habe eine kleine Verständnisfrage zum Thema RODCs. Nehmen wir folgendes Szenario an: Zwischen einem RODC und einem beschreibbaren Domänencontroller wurde die Replikation konfiguriert. Darüber hinaus wurde eine Kennwortreplikationsrichtlinie für bestimmte Benutzer konfiguriert, deren Kennwort auf dem RODC gespeichert werden darf. Mittels "Kennwörter auffüllen" werden die Kennwörter dann schon vorab auf dem RODC gespeichert. Was passiert, wenn nun das Kennwort eines Benutzers (welches auf dem RODC gecached ist) auf einem beschreibbaren Domänencontroller geändert wird? Ich könnte mir folgende Möglichkeiten vorstellen: 1. Der beschreibbare Domänencontroller repliziert das aktuelle Kennwort beim nächsten Replikationsintervall auf den RODC; der RODC ersetzt sein cached Passwort für diesen Benutzer 2. Der beschreibbare Domänenconroller repliziert das geänderte / aktuelle Kennwort nicht auf den RODC; authentifiziert sich ein Client am RODC, wird er an einen beschreibbaren Domänencontroller weitergeleitet. Erst danach wird das aktuelle Kennwort im Password Cache des RODC aktualisiertt. Wer weiß welcher Fall (oder ein anderer) eintritt?

Hi, in den Bereichseigenschaften (DNS) des DHCP-Servers ist eingestellt: - DNS-A und PTR-Einträge nur nach Aufforderung von DHCP-Client dynamisch aktualisieren Das erklärt aber leider auch nicht, wieso Clients mit statischen IP-Adressen (keine DHCP-Reservierung) keine Eintragsaktualisierung durchführen.

Hallo zusammen, danke für den Hinweis. War mir nicht mehr sicher, ob der DHCP- oder DNS-Client dafür zuständig ist. Es laufen aber beide Dienste.

Hi, ja, dynamische Updates sind zugelassen und zwar sichere und nicht sichere (bitte keine Kommentare darüber, ich bin dabei, dies bald umzustellen). Wenn ich den DNS-Eintrag lösche und ein "ipconfig /registerdns" ausführe, wird der Eintrag erstellt. Der Zeitstempel hat dann das aktuelle Datum, allerdings wieder eine (wie immer) gerade Uhrzeit. Scheint so, dass immer auf eine glatte Stunde abgerundet wird. Es kann auch nicht an statischer IP-Konfiguration liegen. Der eben getestete Host hat eine dynamische IP-Adresse, allerdings ist diese aufgrund einer DHCP-Reservierung immer gleich. Hier sollte zumindest eine "Eintragsaktualisierung" stattfinden, d.h. eine Aktualisierung des Zeitstempels. Ich habe einige Maschinen mit einem über einen Monat alten Zeitstempel. Dieser wird auch per "ipconfig /registerdns" nicht aktualisiert. Ich habe erst vermutet, dies läge am Betriebssystem, aber alte Zeitstempel habe ich sowohl bei W2K3 als auch bei W2K8 R2 Maschinen.

Hi, vielen Dank für deine Antwort. Auf der von dir verlinkten Technet-Seite steht schon mal ein interessanter Hinweis: Leider geschieht genau dies bei etlichen Computern nicht. Manche dynamischen Einträge sind mehrere Tage, manche sogar über einen Monat alt. Dadurch würden sie sofort gelöscht, wenn ich die Alterung aktiviere. Wenn ich ein "ipconfig /registerdns" ausführe, wodurch laut Microsoft eine "Eintragsaktualisierung" stattfinden sollte, kommt darüber hinaus folgender Hinweis: Der Zeitstempel des Eintrags wurde auf dem DNS-Server nicht aktualisiert; laut Technet sollte das geschehen. Ich habe auch mal 15 Minuten gewartet und im Eventlog des Clients steht nur das hier: Auf dem DNS-Server finde ich nichts ansprechendes im Eventlog. Vielleicht hat ja noch jemand eine Idee... Bei allen Einträgen ist die Option "Eintrag löschen, sobald er verfällt aktiv"; dadurch wären sie sofort vom Aufräumvorgang betroffen, wenn dieser aktiviert wird.

Hallo zusammen, ich möchte auf einem DNS-Server die Alterung und den Aufräumvorgang aktivieren. In der DNS-Zone sind allerdings viele (laut Zeitstempel) alte DNS-Einträge produktiver Server vorhanden, die dann gelöscht würden. Soweit ich weiß, werden dynamische DNS-Updates vom Client dann angestoßen, wenn ein "ipconfig /registerdns" ausgeführt wird oder ein Computerneustart erfolgt. Ich habe beides versucht; leider ändert sich am DNS-Eintrag nichts. Prinzipiell gibt es natürlich auch nichts zu aktualisieren, da die IP-Adresse, aufgrund dessen, dass sie statisch vergeben wurde, gleich bleibt; allerdings hätte ich erwartet, dass der Zeitstempel auf die aktuelle Zeit gesetzt wird, wodurch die Alterung im Falle einer Aktivierung nicht greifte. In den erweiterten Netzwerkeinstellungen des Servers (der das DNS Update durchführen soll) ist der Haken "Adressen dieser Verbindung in DNS registrieren" im IPv4 gesetzt. DNS-Client und DHCP-Client laufen auf dem Server. Ist es überhaupt möglich mit statischen IP-Adresse, aber dynamischer DNS-Registrierung zu arbeiten oder müssen DNS-Records solcher Systeme statisch definiert werden, wenn die Alterung aktiviert wird? Nebenfrage: Aus welchen Gründen haben alle Zeitstempel der DNS-Records eine gerade Uhrzeit (immer exakt 12Uhr, 11Uhr, 14 Uhr etc. etc.)?

Hallo zusammen, ich habe mit auditpol das Überwachen von Verzeichnisdienständerungen aktiviert. Zusätzlich habe ich auf Domänenebene die SACL modifiziert und dort ACEs für untergeordnete Benutzer-Objekte definiert. Wenn ich dort beispielsweise "Alle Eigenschaften schreiben" einstelle, bekomme ich wie gewünscht im Security-Log Events mit der ID 5136, die mir beispielsweise eine Änderung des company-Attributs anzeigen. Aktiviere ich hingegen "Erfolg" bei "Kennwort zurücksetzen" zeigt dies keine Wirkung. Es wird einfach nichts protokolliert. Die SACLs der Benutzer habe ich bereits kontrolliert; hier wurde die Vererbung erfolgreich angewendet. Auch andere Rechte wie "Kennwort ändern" und "Alle Eigenschaften schreiben" habe ich schon zusätzlich aktiviert - was natürlich nicht gebracht hat. Ich vermute, dass hier noch weitere Eigenschaften aktiviert werden müssen, damit es wie gewünscht läuft. Kann mir da jemand einen Tipp geben?

Danke. Also stimmt die erste Aussage, das war auch das, was ich auch einem anderen Buch kenne.

Hallo zusammen, ich habe hier das 70-640er Buch und bin gerde am Thema Gruppen (Kapitel 4). Auf Seite 168 ("Möglichkeiten in Bezug auf Gruppenmitgliedschaften - Zusammenfassung") steht: - Globale Gruppen können nur Mitglieder der gleichen Domäne umfassen (Benutzer, Computer oder andere globale Gruppen der Domäne) Soweit so gut, ich dachte das stimmt, aber in den Antworten der Lernzielkontrolle (S. 1008 Kapitel 4, Lektion 1, letzte Frage) wird nun behauptet: - Richtig: Globale Gruppen können Benutzer in vertrauten Domänen umfassen - Richtig: Globale Gruppen können Benutzer in der gleichen Gesamtstruktur umfassen Wer kann mir sagen, was nun stimmt? Ich bin davon ausgegangen, dass wie in der ersten Info beschrieben, globale Gruppen nur Mitglieder der gleichen Domäne umfassen können.

Hallo zusammen, ich versuche gerade Drucker via GPP bereitzustellen. Dazu habe ich in einer GPO unter: "Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Drucker" entsprechende "freigegebene Drucker" mit Aktion "Erstellen" hinzufügt. Auf dem Test-Client System (Win 7 Pro x86, abgeschaltete UAC) kann der entsprechende Drucker leider nicht hinzugefügt werden, wenn das System über keinen Treiber verfügt. 0x80070bcb Der angegebene Druckertreiber wurde nicht im System gefunden und muss heruntergeladen werden Ja, das stimmt. Ich bin davon ausgegangen, dass der Treiber vom Druckserver geladen wird. Wenn man den Drucker nämlich manuell verbindet, lädt der Client den richtigen Treiber vom Druckserver. Über die GPP scheint das leider nicht zu funktionieren. Wenn man den manuell hinzugefügten Drucker löscht und dann ein gpupdate erzwingt (Drucktreiber also noch auf dem Client vorhanden), funktioniert es. Die Domäne läuft auf Funktionslevel 2003. Wie könnte man das lösen bzw. lassen sich in den GPP Einstellungen vornehmen, dass die Treiber ebenfalls heruntergeladen werden?