Jump to content

daabm

Expert Member
  • Posts

    4,655
  • Joined

  • Last visited

6 Followers

About daabm

  • Birthday 01/16/1967

Profile Fields

  • Member Title
    Expert Member

Webseite

Recent Profile Visitors

6,708 profile views

daabm's Achievements

Grand Master

Grand Master (14/14)

  • Dedicated Rare
  • Posting Machine Rare
  • Collaborator
  • First Post
  • Five Years In

Recent Badges

764

Reputation

65

Community Answers

  1. TGIF! Ich hab den Kaffee entsorgt und das Bier kaltgestellt
  2. Brrr - igitt... Und dann womöglich noch feucht
  3. Nimm Dich mal nen Glühwein, der Winter kommt Ich bleib noch beim Bier, hier hats grad kuschelige 5 Grad bei Nieselregen 🍻
  4. Ja, Kaffee holen reicht nicht, Du mußt ihn schon auch benutzen
  5. Bin jeden Abend hier, aber wenns nix zu sagen gibt, halte ich gern mal die Tastatur still
  6. Wir haben ne Domain Policy mit Kerberos ETypes (AES only). Das Problem ist nur, daß der Client wohl RC4 mitschicken muß, damit der Server das im richtigen Codezweig verarbeitet - oder irgendwas in die Richtung. Das INet ist diesbezüglich noch ziemlich wirr... @cj_berlin hat natürlich Recht - wenn bei uns jetzt plötzlich RC4-Tickets ausgestellt würden, hätte sich unser SOC schon längst gemeldet Und mit System.DirectoryServices werden wir das auch in unserer Produktion machen. Aber nicht mit dem DirectorySearcher, sondern mit Protocols.SearchRequest. Hat den Vorteil, daß wir in den paged Searches über jeweils 1000 Ergebnisse iterieren können und nicht alle Objekte auf einmal in einer Schleife landen. Hab mein Sample von oben mal in einer Testumgebung mit 300k Objekten laufen lassen -> 3 GB RAM. Prod hat bei uns "etwas" mehr Objekte JETZT hab sogar ich es kapiert. Ich war bei "Get-ADUser -Properties DistinguishedName", aber Du meintest beim Select ACK!
  7. Drei Kreuze, wenn morgen vorbei ist... Scheiß Patchday mal wieder 😫 Da hilft nur 🍺🍺🍺 - macht's zwar nicht besser, aber dann ist es einem egal 😂
  8. Wenn Du ganz viel lesen willst: https://www.google.com/search?client=firefox-b-d&q=evilgpo.blogspot.com+loopback Die ganz harte Tour: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html Der zweite Link hat ne Lösung dafür, die komplett universell und variabel ist. Der Anfangsaufwand ist allerdings nicht zu unterschätzen, wenn man damit noch nicht viel gemacht hat
  9. Spielt in dem Fall ausnahmsweise keine Rolle, weil Du nicht weiter "runter" kannst als das, was die AD-Cmdlets ohnehin einsammeln. Ansonsten ACK
  10. Oh ja, NTLM-Blocking ist ein echtes Abenteuer. HyperV-Cluster nicht mehr verwaltbar, Authentifizierung an Services nicht mehr möglich, das Identity Management (das mit Service Account und Keytab arbeitet) geht auf die Bretter. Ein Heidenspaß... Unsere Kunden haben btw. nichts davon mitbekommen - die laufen alle noch mit NTLM-Fallback.
  11. Problem: https://www.borncity.com/blog/2022/11/14/microsoft-besttigt-kerberos-authentifizierungsprobleme-nach-nov-2022-updates/ Schnelle kleine Lösung - nur für kleinere Umfelder geeignet, da wenig performant. Aber funktionsfähig $Results = [Collections.Arraylist]::new() $Filter = "(samaccountname=*)" $Results.AddRange( @( Get-ADComputer -LDAPFilter $Filter | Select-Object -Property * ) ) $Results.AddRange( @( Get-ADUser -LDAPFilter $Filter | Select-Object -Property * ) ) $Results.AddRange( @( Get-ADServiceAccount -LDAPFilter $Filter | Select-Object -Property * ) ) Foreach ( $Object in $Results ){ Set-ADObject $Object.DistinguishedName -Replace @{'msds-supportedencryptiontypes'=28} -Verbose } Wer sich über das Select-Object -Property * wundert - Stackoverflow mal durchsuchen, da gibt's ein Issue mit den AD-Cmdlets
  12. Mahlzeit. Wen hat's da denn sonst noch so erwischt? Bei uns hat's unternehmensweit Kerberos zerlegt, bis wir die SupportedEncryptionTypes für alle Computer/User/Service-Accounts auf 28 gesetzt haben (RC4/AES128/AES256)... Und alle Dokus im Netz (dirteam.com und MS KB) passen nicht zu unserem Fehlerbild. Und wir üben grad, wie man das Attribut aktualisiert für etwa 4 Millionen Accounts... (In mehreren Domains, aber trotzdem - #grütze Microsoft).
  13. Bin heute auch spät dran - schönen Feierabend, TGIF! 🍺
×
×
  • Create New...