Was sind ATQ Threads und wenn ja, warum?

Wer sich schon einmal mit den Performance Countern von Active Directory beschäftigt hat, kann vielleicht zum Schluss kommen, dass es davon zu viele gibt um den Überblick zu behalten. Die Sache wird verschlimmert, wenn eine Abkürzung nicht bekannt ist, oder sich nicht auf den ersten Blick erschließt. „DRA“ ist auf der TechNet zum Beispiel noch… Read more

Fehler "No certificate templates are available in Active Directory" beim GPO EFS Zertifikat Suchen

Hallo, hier wieder einmal Rol, heute mit einem Ausflug zu PKI, speziell zu EFS, dem Encrypting File System. Hier hatte unser PKI Experte Marius vor kurzem den Fall, daß obwohl beim Kunden einige Enterprise CAs eingerichtet waren, und auf zumindest einer davon mehrere neue EFS Certificate Templates, basierend auf dem Standard Basic EFS Template definiert waren,… Read more

Event Warnung Netlogon 5807 fuer viele Clients hat seit W2k8 deutliche Auswirkungen

UPDATE 06.06.2014 Zu dieser Thematik gibt es für Windows Server 2008 R2 nun (also zweieinhalb Jahre später) ein Update der Netlogon.dll, mit dem man über eine DC Policy das Verhalten beeinflussen bzw. abstellen kann! 2922852 Update resolves a problem in which LDAP, Kerberos and DC locator responses are slow or time out with Windowshttp://support.microsoft.com/kb/2922852/EN-US Hallo, hier… Read more

Group Loop Erkennung

Hallo, hier ist mal wieder Andy aus dem Domain Team. Ich bin letztens mal wieder auf ein eigentlich banales Problem gestoßen, für das es aber nach meinen Recherchen keine fertige Lösung gibt. Im Active Directory ist es möglich Gruppen in Gruppen zu verschachteln. Aber was passiert wenn eine Gruppe A Mitglied der Gruppe B ist und… Read more

NTLM: Alte Zöpfe abschneiden ist nicht so einfach

Hallo, hier ist nochmal der Herbert. Wir sind in unserer Arbeit auf einen neuen Aspekt einer alten Geschichte gestoßen. Wir hatten ja schon gehofft, dass immer mehr Szenarien und Applikationen auf neue Anmeldemethoden wie Smartcards, Zertifikate und Kerberos umschwenken. Es gibt noch etliche Szenarien, bei denen wegen fehlender Verbindung zu DCs oder Kompatibilitätsgründen mit älteren… Read more

Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht!

Hallo, Fabian hier. Wir hören und lesen oft von Kunden, die nach einem Zeitraum X „ungenutzte“ Computerkonten per Script deaktivieren oder löschen und dann später in Probleme laufen, weil sich Clients nicht mehr authentifizieren können und damit auch keine Benutzeranmeldung mehr möglich ist. Ein Aufräumvorgang ist grundsätzlich nicht verkehrt und sorgt für eine übersichtliche AD-Umgebung. Nur… Read more

Du kommst hier nicht rein! Oder doch?

Hallo! Wer kennt das nicht: Man will in einen Club hinein und der Türsteher sagt einem „Du kommst hier nicht rein“. Der Türsteher weiß das einfach so, er macht seine eigenen Regeln, die er auch keinem mitteilt. Für ein Authentifizierungs-System ist es da schon schwieriger, vernünftig verwaltbare Regeln aufzustellen. Euch ist sicher eine Reihe von… Read more

LSASS: 100% CPU

Das begleitet unser Team schon seit Jahren – Anfragen von Kunden die sich über 100% CPU Last auf einem oder allen Domain Controllern beklagen. Um gleich von Anfang an Klarheit zu schaffen: Das ist doch prima, dann weis man doch, dass die CPU nicht umsonst gekauft wurde. Und die Mär von „LSASS leakt doch” möchte… Read more

Zeichenbeschränkung bei Vor- und Nachname während des Anlegens neuer Benutzer über die "AD Benutzer und Computer" MMC

Servus, Fabian hier. Legt man unter Windows Server 2003 oder Windows Server 2008 neue Benutzer über die „Active Directory Benutzer und Computer“ MMC an, so kann man lediglich 28 Zeichen für den Vornamen als auch für den Nachnamen vergeben. Laut Schema stehen jedoch für diese beiden Attribute „givenName“ (=Vorname) und „sn“ (=Nachname) tatsächlich 64 Zeichen… Read more

Wie viele Mitglieder bzw. Objekte sollte eine Gruppe maximal haben?

Hallo, Fabian schreibt. Grundsätzlich ist es im Forestmodus Windows Server 2003 möglich, über 5.000 Objekte einer Gruppe zuzuordnen (siehe “How to raise domain and forest functional levels in Windows Server 2003” http://support.microsoft.com/default.aspx?scid=kb;EN-US;322692). Dabei kann es sich beispielsweise um Benutzer-, Computer-, Druckerobjekte oder ähnliches handeln. Es ist jedoch nicht empfehlenswert diese 5.000er Grenze tatsächlich zu überschreiten, da… Read more