-
Gesamte Inhalte
5.206 -
Registriert seit
-
Letzter Besuch
Alle erstellten Inhalte von daabm
-
Womit Du natürlich Recht hast Warten wir mal entspannt auf den TO...
-
Ein- u. Ausgehende Windows Firewallregel für RDP
daabm antwortete auf ein Thema von ineedhelp in: Windows Forum — Security
Kennt die Windows-FW eine "Reihenfolge"? Wenn ich das richtig verstehe, ist die Regel-Rangfolge nicht ganz so einfach: https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/rules (die Formulierung "more specific rules take precedence" finde ich herzerfrischend. Wie ist das, wenn bei einer ein Set von IP-Ranges steht und bei der anderen ein Set von Ports?) Eine explizite Block-Regel gewinnt wohl immer, daher müsste man grundsätzlich für Inbound _und_ Outbound "Block" als Standard einstellen und dann per Allow gezielt wieder öffnen. -
Stimmt alles. Was aber auch stimmt: Wir tendieren dazu, die "Last" und damit das Sizing eines DC an der Größe der Physik festzumachen. Das ist aber nur die halbe Wahrheit. Die Menge an Objekten in AD hat mit der Physik zwar "regelmäßig" direkt zu tun, aber nicht zwingend. Beispiel? Gerne Ich hab irgendwann spaßeshalber in einer Umgebung mit 2 DCs, 2 Membern und 5 Usern 15.000 Sites und 50.000 Subnetze angelegt. Ergebnis: Domäne nahezu unbedienbar. Die reale Umgebung hat sich dabei nicht verändert, nur der Inhalt von AD. Netlogon/LSASS 100% CPU, KCC/ISTG werden nicht mehr fertig. Wenn ich damit in ein Forum gehe, weil meine dsa.msc fast unbedienbar ist: "Die Umgebung ist klein, nur 2 DCs und ne Handvoll Computer und User". Vielleicht lief mal ein Skript Amok und hat 2 Mio. User angelegt? Vielleicht gibt es endlose Gruppenverschachtelungen? "Etwas aus dem Lot" @NilsK ist da die zutreffende Formulierung, aber bisher kam vom TO nichts dazu. Und damit verweise ich wieder auf meinen Post oben: GPMC Debug Logging könnte helfen. Korrekte AV-Exceptions könnten helfen. Prüfen der DFS-Replikation (nicht dcdiag/repadmin!) könnte helfen. Und wenn man wüßte, welche Prozesse die 30% CPU verursachen, könnte das auch helfen. "Virenschutz" ist mir da zu pauschal - ist es ein bestimmtes Modul?
-
Ehm... https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services Unsere größte Domäne hat knapp 200.000 User -> direkt mal 16 GB RAM als unteres Limit.
-
GPOs sind zweiköpfige Monster. Der eine Kopf steckt in Active Directory, der andere in Sysvol. Und die zwei haben unterschiedliche Replikationsmechanismen... AD-Replikation vs. DFSR. "Replikation anschubsen" ist fast immer nur AD und nicht DFSR - und beim Bearbeiten der Inhalte ist immer DFSR relevant, fast nie AD. repadmin kannst Du Dir in dem Fall also sparen, der ist flüssiger als Wasser BTW: In GPMC kann man ein Debug Log aktivieren, das bei so was erstaunlich hilfreich ist - https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc737379(v=ws.10)?redirectedfrom=MSDN (gilt immer noch, auch wenn da 2003 im Link steht ) PS: Für AV-Exceptions auf DCs gibt es fertige Listen bei Microsoft - https://support.microsoft.com/en-au/topic/virus-scanning-recommendations-for-enterprise-computers-that-are-running-windows-or-windows-server-kb822158-c067a732-f24a-9079-d240-3733e39b40bc - die würde ich dringend empfehlen umzusetzen. PPS: Die SIDs S-1-5-80-... sind Service-SIDs. Die werden nicht aufgelöst, weil es den entsprechend benamsten Service auf dem jeweiligen Computer nicht gibt. Ich würde empfehlen, die drin zu lassen, wenn es keine untergeordneten GPOs gibt, die das "offiziell" setzen. Und S-1-5-32-549 sind die Server-Operatoren, die es nur auf Servern gibt, nicht auf Clients.
-
Zeit vergeht linear - das Erleben ist exponentiell in beide Richtungen
-
Security für Admin-Accounts
daabm antwortete auf ein Thema von soulseeker in: Windows Forum — Security
Ein Account für CyberArk und individuelle Tresore mit den Zielaccounts. -
Internetoptionen für TLS Einstellungen werden ständig zurückgestellt.
daabm antwortete auf ein Thema von bavarianguy in: Windows Forum — Allgemein
Kennt IEM schon TLS1.2? "gpresult durchsucht" - welche Art von Report und wie durchsucht? Und was passiert, wenn man das manuell ändert und gpupdate aufruft - dann auch wieder falsch? -
Beschriftung von Basisordnern / Server 2022
daabm antwortete auf ein Thema von OnkelDittmeyer in: Windows Server Forum
Da brauchst nicht mal Skript, das geht mit Zielgruppenadressierung auch direkt per GPP Environment aus den AD-Attributen -
Im RSoP (gpresult /h report.html) stehen die Sicherheitsgruppen drin, in denen der Computer/User zum Zeitpunkt der GPO-Verarbeitung drin war. Vergleichen könnte helfen.
-
Beschriftung von Basisordnern / Server 2022
daabm antwortete auf ein Thema von OnkelDittmeyer in: Windows Server Forum
Aber ich Das Homelaufwerk aus dem AD-Account wird beim Laden des Profils und _vor_ der GPO-Verarbeitung verbunden. Die GPO-Zuordnung würde lediglich die bereits vorhandene Zuordnung um die Beschriftung ergänzen. @NilsK Das mit den Umgebungsvariablen funktioniert nur teilweise, weil das "zu spät" ist und nicht im Explorer-Shellprozess ankommt. Auch mit Ordnerumleitung funktioniert das nicht, die ist da ja auch schon passiert - wenn man es nicht komplett nachbaut: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html. Aber ACK - mir wär das auch zu viel Aufwand... -
Beschriftung von Basisordnern / Server 2022
daabm antwortete auf ein Thema von OnkelDittmeyer in: Windows Server Forum
Mach doch einfach beides -
Ändern des primären DNS Suffix
daabm antwortete auf ein Thema von IVZ-Flo in: Active Directory Forum
Ich werf mal noch SPNs in den Raum... FQDN und SPN sollten matchen, sonst hat's Kerberos schwer. -
Freitags brauch ich keinen Kaffee - da ist das WE schon am Horizont 👍 Wird ein warmes Wochenende, hier mittags schon 23° strahlender Sonnenschein, der Frühling erwacht 🪻
-
Windows 11 - Kerberos - Login SQL-Server
daabm antwortete auf ein Thema von wznutzer in: Active Directory Forum
Und wenn man heiratet oder sich scheiden läßt? Eigennamen sind der schlechteste Anmeldename ever im Unternehmensumfeld. -
Windows 11 - Kerberos - Login SQL-Server
daabm antwortete auf ein Thema von wznutzer in: Active Directory Forum
Fällt mir grad noch so ein - Windows verbindet sich nicht "einfach so" mit einer Datenbank. Was für eine Anwendung steckt dahinter? Fuschelt die irgendwie mit Credentials rum? Oder wie prüfst Du, ob der Zugriff funktioniert - SSMS? -
Heute Waschanlage fürs Auto, die Dune2-Werbung loswerden Und auch hier wieder kühl und windig.
-
Windows 11 - Kerberos - Login SQL-Server
daabm antwortete auf ein Thema von wznutzer in: Active Directory Forum
Der ist eigentlich nicht zweideutig... # for hex 0xc000006a / decimal -1073741718 : STATUS_WRONG_PASSWORD ntstatus.h -
Aktuell strahlender Sonnenschein und 29°... Morgen wieder Saharastaub.
-
Was ist "englisch"? 😂 Ich stell mal nen Pitcher hin, bedient Euch 🍺
-
Iste ein Backplane Lüfter bei SSDs zwingend erforderlich?
daabm antwortete auf ein Thema von gerd33 in: Windows Server Forum
Einfach mal nen HW-Monitor und nen Stresstest gleichzeitig laufen lassen und zuschauen, was mit den Temps passiert -
Ich dimm mal das Licht und zünde ein paar 🕯️🕯️🕯️ an
-
Batch XCopy funktioniert nicht
daabm antwortete auf ein Thema von kappa in: Windows Forum — Scripting
"xcopy /?" - das Ergebnis mit den Parametern ist das erwartete. -
Notfall Szenario Idee Domaincontroller Kopie statt Restore
daabm antwortete auf ein Thema von Pipeline in: Active Directory Forum
Wir betreiben alle unsere dedizierten Kundendomains mit 2 DCs. Auch die mit >3.000 Usern. Gab noch nie Schwierigkeiten damit. In 20 Jahren ist uns glaub 2 mal eine Domain "ohne menschliches Versagen" so kaputt gegangen, daß wir ein Backup brauchten - bei ~700 Domains. Statistisch wäre das eine Domäne alle 7000 Jahre. -
Sag Grüße von Schrödingers Katze