Probleme mit dem Umwandeln von Sids in Namen

Hallo liebe Freunde des AD. Wir haben diesmal als Thema eine Warnung vor potentiellen Problemen mit Windows Server 2012 Domain Controllern. Es gibt zwar schon eine beträchtliche Liste von „Known Issues“ für Windows Server 2012, die wenigsten betreffen dem Mischbetrieb mit anderen Windows-Versionen auf Domain Controllern und Mitgliedern. Wir haben jedoch nun ein Problem gefunden,… Read more

Was sind ATQ Threads und wenn ja, warum?

Wer sich schon einmal mit den Performance Countern von Active Directory beschäftigt hat, kann vielleicht zum Schluss kommen, dass es davon zu viele gibt um den Überblick zu behalten. Die Sache wird verschlimmert, wenn eine Abkürzung nicht bekannt ist, oder sich nicht auf den ersten Blick erschließt. „DRA“ ist auf der TechNet zum Beispiel noch… Read more

Checkliste zur Kerberos Konfiguration

Hallo, hier wieder einmal Rol mit einem Kerberos Thema. Diesmal geht es jedoch nicht um explizites Troubleshooting, sondern darum, welche Informationen notwendig sind, um ein Applikations-Setup von der Kerberos Seite zu verstehen. Der Informationsfluss ist nicht nur wichtig, wenn sich auf eurer (Kunden) Seite z.B. die AD Administratoren mit den Applikations-Admins unterhalten müssen, sondern auch… Read more

„Ich glaub ich steh im Wald“ – Kerberos hilf mir suchen!

Hier ist wieder einmal der Herbert. Heute möchte ich die Aufmerksamkeit auf ein bisher wenig beachtetes Feature in Windows Server 2008 R2 und Windows 7 lenken. Es ermöglicht, einen Service Principal Name (SPN) in mehreren Forests zu finden. Es kann nämlich Situationen geben, wo man nicht immer einen Server FQDN hat, oder man hat einen,… Read more

Event Warnung Netlogon 5807 fuer viele Clients hat seit W2k8 deutliche Auswirkungen

UPDATE 06.06.2014 Zu dieser Thematik gibt es für Windows Server 2008 R2 nun (also zweieinhalb Jahre später) ein Update der Netlogon.dll, mit dem man über eine DC Policy das Verhalten beeinflussen bzw. abstellen kann! 2922852 Update resolves a problem in which LDAP, Kerberos and DC locator responses are slow or time out with Windowshttp://support.microsoft.com/kb/2922852/EN-US Hallo, hier… Read more

Kerberos Einstellung SpnCacheTimeout für UNIX Kompatibilität

Hallo, nach langer Abstinenz hier mal wieder Andy mit einem Erfahrungsbericht, wie schnell man in scheinbar unerklärliche Probleme laufen kann. Meine Geschichte handelt von den kleinen aber feinen Unterschied bei der Interpretation von Standards. Ein Kunde hat folgendes Szenario. Ein Active Directory mit Windows Server 2008 (Windows Server 2003/2008 spielt hier keine Rolle) Weiterhin hat… Read more

Group Loop Erkennung

Hallo, hier ist mal wieder Andy aus dem Domain Team. Ich bin letztens mal wieder auf ein eigentlich banales Problem gestoßen, für das es aber nach meinen Recherchen keine fertige Lösung gibt. Im Active Directory ist es möglich Gruppen in Gruppen zu verschachteln. Aber was passiert wenn eine Gruppe A Mitglied der Gruppe B ist und… Read more

NTLM: Alte Zöpfe abschneiden ist nicht so einfach

Hallo, hier ist nochmal der Herbert. Wir sind in unserer Arbeit auf einen neuen Aspekt einer alten Geschichte gestoßen. Wir hatten ja schon gehofft, dass immer mehr Szenarien und Applikationen auf neue Anmeldemethoden wie Smartcards, Zertifikate und Kerberos umschwenken. Es gibt noch etliche Szenarien, bei denen wegen fehlender Verbindung zu DCs oder Kompatibilitätsgründen mit älteren… Read more

MaxTokenSize und seine Freunde

Hallo, hier wieder mal Rol mit einem Beitrag zum Troubleshooting und Verständnis von Kerberos MaxTokensSize. Hintergrund ist ein relativ aktueller Case, welchen wir in unserem Team arbeitet haben. Ein Sharepoint Kollege hatte uns hinzugezogen, da er für einen Benutzer (in unserem Beispiel ganz zufällig der FABIAN)  beim Kunden kein gültiges Ticket vom KDC bekommen konnte…. Read more

Kerberos im LOCAL SYSTEM Kontext und NTLM Fallback

Hallo zusammen, Fabian schreibt. In der letzten Zeit hatte ich mehrfach bei Kundenanfragen mit einer bekannten Fragestellung zu tun, die mit Kerberos Authentifizierung im SYSTEM Kontext und NTLM Fallbacks zu tun hat. Daher an dieser Stelle ein, zwei Zeilen dazu. Gleich zu Beginn der Hinweis, daß das Thema nicht nur auf Zertifikate und Autoenrollment anzuwenden… Read more