Domänencontroller in unterschiedlichen Sprachen – möglich oder nicht?

Hallo, Fabian hier. Ab und an stellt sich bei unseren Kunden die Frage ob es problemlos möglich ist, Domänencontroller in unterschiedlichen Sprachen innerhalb einer Windows Server 2003 Domäne einzusetzen. Die Antwort lautet – wie so oft – ganz eindeutig: Jein – oder: Kommt drauf an. ­čśë Gleich zu Beginn sei gesagt, daß es grundsätzlich auf jeden Fall… Read more

Schema Erweiterungen – Riskant oder unkritisch?

Das Schema ist quasi die Vorlage für alle Objekte die im Active Directory vorhanden sind oder angelegt werden können, basierend auf den im Schema definierten Klassen und Attributen. Wobei mit der Installation des AD nur das Default Schema angelegt wird (siehe dazu auch Details unter http://msdn.microsoft.com/en-us/library/ms674984(VS.85).aspx sowie http://msdn.microsoft.com/en-us/library/ms675085(VS.85).aspx). Vielen Anwendungen reichen diese Standard Attribute jedoch… Read more

Schutz vor Account Lockouts auch für andere Konten als “Administrator”?

Hallo, Fabian hier. Neulich habe ich an einer Kundenanfrage gearbeitet, bei der ich feststellen mußte, daß die Antwort bisher nicht besonders gut dokumentiert bzw. in unseren Dokumentationen nicht sonderlich gut herausgearbeitet wurde: Ist es möglich, neben dem ersten Administrator Konto (standardmäßig mit dem sAMAccountName “Administrator”) einer Windows Server 2003 Domäne, auch andere Benutzerkonten vor Account… Read more

Hilfe zur Selbsthilfe – "Deutschinstallierer" und die Knowledge Base

Ich möchte meinen Einstand in diesem Blog mit einem ganz allgemeinen Beitrag beginnen. Im folgenden werde ich also nicht die PKI-Probleme dieser Welt lösen und auch nicht das Ende aller Login-Probleme verkünden. Die Knowledge Base (KB) ist sicher jedem Leser hier bekannt und jeder hat bestimmt schon viele, viele Suchanfragen abgeschickt. Das Verhältnis zwischen “gesucht” und “gefunden” ist… Read more

Grundsätzliche Informationen zum Security Event Logging / Auditing

Hallo, Fabian am Apparat. Ab und an bearbeiten wir auch Anfragen, in denen wir auf ein Security Logging / Auditing angewiesen sind, so z.B. bei ungewollten Account Lockouts oder Rechteänderungen auf Objekten, die nachvollzogen werden sollen. Es gibt dabei einige Grundsätze, die man nach Möglichkeit bei einem Logging beachten sollte. Dieser Eintrag behandelt (wie immer)… Read more

DCs beschützen ihre SPNs

Hi, wieder mal eine kurze Info J. Ein Kunde von mir wollte gerne zusätzliche SPNs (Service Principal Name) auf das AD Objekt von DCs (Domänenkontroller) setzen. Der Typ des SPNs war „host“, und er beobachtete, daß diese SPNs zwar zunächst erfolgreich zum Objekt hinzugefügt waren, aber nach einigen Minuten dann wieder gelöscht wurden. Für DCs… Read more

Von PKI Cloning, verwaisten Zertifikaten und ungewollten Zwillingen

(Dieser Post handelt von einer PKI Disaster Recovery Strategie, welche zu ungewollten Seiteneffekten führte.)   PKI Cloning Bekanntermaßen ist der CA Dienst unter Windows Server 2003 nicht Clusterfähig. Aus diesem Grund hatte mein Kunde, aus bestimmten betriebsbedingten Zwängen, die folgende Disaster Recovery Strategie gewählt – was den CA Server hochverfügbar gemacht – dabei aber Seiteneffekte… Read more

Access Denied für Share Zugriff im Computer Kontext mit Kerberos Fehler 3, Code 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN

Hallo, hier nun mal wieder euer Rolo mit einem Thema, welches in letzter Zeit öfters mal hochgekommen ist. Auch diesmal geht es um Kerberos… Dieses Problem Szenario tritt auf, wenn eine Applikation oder Dienst, konfiguriert für Local System oder Network Service Kontext, Zugriff auf ein Share benötigt. Typisches Beispiel ist der SMS Client oder Site Server… Read more

Active Directory Migration Tool ADMT V3.1 veröffentlicht – Unterstützung für Windows 2008 Domänen

Das Active Directory Migration Tool  ADMT V3.1 wurde vor kurzem veröffentlicht und steht zum Download bereit.  ADMT V3.1 ist das einzige Tool, welches Windows 2008 Domains unterstützt.  Die zentrale Downloadseite lautet: http://www.microsoft.com/downloads/details.aspx?FamilyID=ae279d01-7dca-413c-a9d2-b42dfb746059&displaylang=en Mit enthalten sind neue Versionen des Passwort Export Service (32/64-bit) und ein aktialisierter Migrations-Leitfaden. Wer des Englischen mächtig ist, dem sei diese Lektüre… Read more

PCNS und seine Tücken

PCNS, Password Change Notification Service, ist eine Erg├Ąnzung zu MIIS/ILM und dient dazu Passw├Ârter zu synchronisieren. Der grunds├Ątzliche Aufbau ist quasi ein Source Forest in dem man die Password ├änderungen aufnimmt und ein Target Forest in die dann das ge├Ąnderte Password synchronisiert werden soll. Vorsicht hier vor einer Schleife, wer von beiden Seiten hin-und-her synchronisieren… Read more