morpheus
-
Gesamte Inhalte
313 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von morpheus
-
-
Hallo,
wir führen gerade was ähnliches durch - allerdings haben wir uns für minimales externes Consulting entschieden. Das hängt auch damit zusammen, dass wir von derzeitphysikalischen DCs auf Hyper-V Hosts und virtualisierten DCs wechseln.
Im Grunde ist es in den meisten Fällen ein Ringtausch.
- Root einen neuen DC 2012 R2 hochziehen, andere nacheinander depromoten und neu hochziehen. Wenn fertig, dann den zusätzlichen wieder außer Betrieb nehmen
- selbiges in den Subdomänen
Wichtig sind die Rollen der jetzigen DCs
- FSMO
- sind sie GC und DNS
- evtl. noch andere Dienste die beachtet werden müssen nach der Neuinstallation
- Domänen- und Gesamtstrukturlevel
- bester Zeitpunkt zum "Ringtausch"
-
Auch ein Microsoft Support Call konnte es technisch nicht ausreichend klären - naja es lebe ANONYMOUS ;-)
Zitat:
"Das Logging ist in der Tat so, es werden in diesem Zusammenhang (Passwort Änderung durch einen Benutzer)(zwei Events geloggt, eines hat den Namen des Benutzer, das andere "NT Authority\Anonymous Logon" als den Benutzer der dies durchgeführt hat. Auch nach gründlicher Suche habe ich keine veröffentliche Dokumentation dazu gefunden die dies genauer erklärt warum im zweiten Event Anonymous Logon erscheint."
-
Hallo,
auf unseren Domaincontrollern (W2k8) im Securitylog erscheinen massig Eventlogeinträge nach folgendem Schema. Erst ein 4738 (Ein Benutzerkonto wurde geändert) und direkt gefolgt von einem 4723 (Es wurde versucht, das Kennwort eines Kontos zu ändern). Auffällig dabei ist, dass als Antragsteller "ANONYMOUS-ANMELDUNG" erscheint.
Kann mir jemand sagen was die Ursache dieser Meldungen ist?
Bsp-Event:
Es wurde versucht, das Kennwort eines Kontos zu ändern.
Antragsteller:
Sicherheits-ID: ANONYMOUS-ANMELDUNG
Kontoname: ANONYMOUS-ANMELDUNG
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x99890747
Zielkonto:
Sicherheits-ID: DOM\UserA
Kontoname: UserA
Kontodomäne: DOM
Weitere Informationen:
Berechtigungen - -
Hallo,
@Nilsk: Natürlich spricht ein Tokengrössenproblem nicht generell gegen agdlp, es kommt jedoch auf die Situation und Umgebung an. Befindet man sich in der Konzeptphase idt agdlp und konsequente Gruppkonsolidierung die erste Wahl. In einer grossen Umgebung die bereits lange in Betrieb ist, ist ein Redesign oftmals schwieriger als der Weg weg von agdlp - aber die Diskussion ist müsig
@Coloneltw:Ein maxtoken Problem kann ab einer Tokengröße von 12000 Byte auftreten. Im ungünstigsten Fall wird dieses bei einem Faktor von 40 Byte nach Adamriese bereits bei 300 Gruppen bzw.270 Gruppen erreicht. Deswegen mein Hinweis - Größenberechnung anschauen. Mit ntdsutil group membership evaluation lässt sich die Tokengröße recht gut berechnen. Wie kommst du darauf die Ressourcen ab 1015 Gruppenmitgliedschaften in eine andere Domäne zu verlagern?
Schau dir mal den Artikel an
-
Versuchst du es direkt auf dem domaincontroller oder remote? Was schreibt das eventlog?
-
Hallo Coloneltw,
Ich kenne das Problem. Tokensizeprobleme können in vielen Formen auftreten, je nachdem welche Gruppenzugehörigkeit gerade im Token fehlt. Auch die änderung des maxtokensize Regkeys ist keine Gewissheit für eine funktionierende Umgebung. D.h. du packst das Thema schon richtig an - nämlich in der Konzeptionierung.
Du musst auf jeden Fall Gruppen konsolidieren, indem du z.B. Gemeinsamkeiten findest und dafür nur eine Gruppe verwendest. Du solltest dir auch anschauen welcher Gruppentyp mit wieviel Byte zu buche schlägt und danach dein Gruppenkonzept designen.
PS: Meiner Meinung nach ist das klassische AGDLP Prinzip in großen Umgebungen, genau aus dem Tokenproblem, nicht mehr die erste Wahl.
Gruß
-
Hallo,
kennt jemand eine Möglichkeit InPrivate Filterung komplett zu deaktivieren? Ich möchte die Funktion auch nicht mehr in Menü "Sicherheit" vom IE8 haben. Außer einen Regkey um die Funktion dauerhaft einzuschalten kann ich nichts finden.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE]
"StartMode"=dword:00000001
Die GPO "InPrivate deaktivieren" deaktiviert anscheinend nur InPrivate Browsing.
Gruß
-
Hallo,
sehe ich auch so - DNS scheint nicht sauber zu sein:
3b56b977-d287-4d2c-b624-1adbc0a3d45f._msdcs.gapdom.local kann z.B. nicht aufgelöst werden.
Überprüfe bitte die Konfiguration und ein ipconfig/ registerdns auf beiden DCs schadet auch nicht.
Gruß
-
Wirklich strange.
Würde erstmal die basics überprüfen:
- Uhrzeit synchron
- Namensauflösung
- PDC erreichbar
Gruss
-
Ich hatte mal ein ähnliches Verhalten - ist der PDC in Ordnung?
-
Ansichtssache. Dann weis er noch nicht wo sie sind :-)
-
Hallo,
Du findest die im AD veröffentlichten Druckobjekte jeweils im AD unter dem Computerobjekt. Wenn du zum Auswerten kein Skript schreiben möchtest dann versuch es mal mit Softerra LDAPBrowser.
Gruss
-
Hallo -rk-,
ein Schema wird nicht stillschweigend erweitert - schon garnicht bei der Inbetriebnahme von ADMT. Damit ADMT sauber läuft musst du die Attribute/Klassen der Umgebung in die ADMT-Datenbank importieren. Für die Passwordmigration musst du in der Quellumgebung einen Dienst installieren ... usw. Wie NorbertFE schon schreibt - alles ein Thema für sich. Google mal nach "ADMT v3 Migration Guide" - wenn du die 292 Seiten durchgeackert hast, dann hast du eine gute Basis für eine erfolgreiche ADMT Migration :(
Noch mal zum technischen. ADMT migriert nur die, ich nenne sie mal "AD-Standardattribute". Im Anhang mal eine Liste der Defaultausnahmen. Wenn du in der Quellumgebung noch Schemaerweiterungen eingespielt hast, dann würden diese ebenfalls ausgenommen werden.
Gruß
-
Hallo,
Um einen ge'nauen migrationsplan \ projektplan kommst du nicht herum. Wenn deine firma intern nicht das wissen hat, brauchst du externe unterstützung.
Mein erster eindruck (nicht überbewerten) ist, dass du mit der admt migration beginnen solltest. Dabei werden die userobjekte von der 2003 umgebung in die 2008er umgebung migriert/kopiert (mit sid historie). Damit haben die neuen objekte zugriff auf alle ressourcen in der altumgebung. Danach solltest du dann die ressourcen (exchange, sql, usw.) angehen. Dabei ist aber jede ressource eine herausforderung für sich. Unterschätze das nicht. Für die exchange migration gibt es zb kostenlose tools mit funktionsabstrichen, oder kostenpflichtige tools zb von quest.
-
im zweifel das user profil (lokal und oder servergesp.) loeschen. ist das problem dann noch vorhanden, könnte es evtl. von einem anderen pc kommen?! dazu die security eventlogs des dcs nach kontosperrung durchsuchen. im detail findest du den verursachenden pcs.
gruss
-
Hallo Norbert,
das liegt am Gruppentyp.
globale Gruppen - können global verwendet werden, aber nur Konten der eigenen Domäne beinhalten
domainlocal Gruppen - können nur in eigener Domäne verwendet und Konten aus vertrauten Domänen beinhalten
univ. Gruppen - können überall verwendet werden und Konten aus anderen beinhalten
Du könntest die Gruppe dom\Administratoren verwenden.
Gruß
-
mal was anderes,
ich habe den sync erfolgreich hinbekommen. nach einigen minuten verschwinden auf einmal alle gesyncten benutzerobjekte?! eine idee? ich habe die instanz jetzt mehrfach neuinstalliert. hängen da evtl. irgendwo noch reste?
-
Hallo OLC,
ja genau das ist die Fehlermeldung. Aber wie ich unter W2k8 eine OU als TARGET hinterlegen kann, kann ich in dem Artikel nicht finden. Alternativ kann man anscheinend nur über mehrere Verzeichnispartitionen das Ziel erreichen.
Adamsync support for multiple domains
Schade.
Gruß
-
Hallo,
ich habe jetzt als Quelle und als Ziel einen Pfad mit OU angegeben. Das Logging zeigt folgenden Fehler:
Adamsync.exe, Version 1.0 (6)
Verbindung mit Zielserver localhost:10000 wird hergestellt.
Konfigurationsdatei auf TEST_10000.xml wird aktualisiert.
Konfigurationsdatei wird von TEST_10000.xml gelesen
Konfigurationsdatei wird in OU=Benutzer,DC=TEST,DC=ADLDS gespeichert
Die Erweiterungsklasse der Konfigurationsdatei wird an OU=Benutzer,DC=TEST,DC=ADLDS angeh„ngt.
Konfigurationsdatei wurde gespeichert.
Bei der angegebenen Zielpartition handelt es sich nicht um den Kopf einer Partition. AdamSync kann nicht fortgesetzt werden.
DN der Eingabe: OU=Benutzer,DC=TEST,DC=ADLDS
Bei der angegebenen Zielpartition handelt es sich nicht um den Kopf einer Partition. AdamSync kann nicht fortgesetzt werden.
DN der Eingabe: OU=Benutzer,DC=TEST,DC=ADLDS
-
Hallo olc,
ja sorry, habe wohl ein paar Fehler beim editieren mit eingebaut. Aber nichts desto trotz, wie funktioniert es denn? Sobald ich beim target-dn eine OU einbaue geht es nicht.
<?xml version="1.0"?>
<doc>
<configuration>
<description>Test - Syncfile</description>
<security-mode>object</security-mode>
<source-ad-name>DC1.test.dom</source-ad-name>
<source-ad-partition>dc=test,dc=dom</source-ad-partition>
<source-ad-account>saadlds</source-ad-account>
<account-domain>TEST</account-domain>
<target-dn>ou=Benutzer,dc=test,DC=adlds</target-dn>
<query>
<base-dn>dc=test,dc=dom</base-dn>
<object-filter>(|(objectClass=user))</object-filter>
-
Also die eigentliche Frage ist:
Kann man mehrere Domänen in eine ADLDS-Instanz syncen und diese Objekte in verschiedene OUs verteilen
-
Hallo,
hat von Euch schon mal jemand es hinbekommen einen ADAM-Sync von einer Quelldomäne (z.B. alle Userobjekte) in eine OU im ADAM durchzuführen? Problem das sich mir stellt ist, dass beim binding der XML Datei im Log folgende Fehlermeldung steht, sobald ich als targetdn eine organizationunit nutze:
EBei der angegebenen Zielpartition handelt es sich nicht um den Kopf einer Partition. AdamSync kann nicht fortgesetzt werden. DN der Eingabe: ou=Benutzer,dc=test,DC=adlds
Der XML Header sieht so aus:
<?xml version="1.0"?>
<doc>
<configuration>
<description>Test - Syncfile</description>
<security-mode>object</security-mode>
<source-ad-name>DC1.test.dom</source-ad-name>
<source-ad-partition>dc=test,dc=dom</source-ad-partition>
<source-ad-account>saadlds</source-ad-account>
<account-domain>TEST</account-domain>
<target-dn>ou=Benutzer,dc=test,DC=dom</target-dn>
<query>
<base-dn>dc=life,dc=dom</base-dn>
<object-filter>(|(objectClass=user))</object-filter>
Danke für Eure Rückinfos
-
Danke ... jetzt macht es wieder klick
-
Hallo,
wenn ich eine neue Gruppe im AD anlege erhält diese zusätzlich zu den Sicherheitsgruppen der übergeordneten OU weitere Gruppen unter "Sicherheit" eingetragen. Z.B. tauchen dort die Konten-Operatoren oder die Windows-Auth.Gruppe auf, obwohl sie in den darüberliegenden OUs nicht auftauchen!
Kann mir jemand sagen wo diese weiteren Rechte / Gruppen herkommen?
Danke.
Powershell Loginskript
in Windows Forum — Scripting
Geschrieben · bearbeitet von morpheus
Hallo,
Hat jemand Erfahrungen zum Thema Umstellung eines VB Loginskriptes auf Powershell? Wie ist der Performancevergleich? Gibt es schon erfolgreiche Projekte?
Umgebung Ad2012r2, citrixsrv 2008r2.
Im Loginskript werden z.b
- gruppenabhängige und userdomainabhängige Mappings gemacht
- Regkeys gesetzt
- Qds Datei auf Desktop generiert (Inhalt Gruppenabhängig)
....