Account Lockout Policy Settings und der spezielle Einfluss des PDCs

Unter den Active Directory Administratoren ist Accont Lockout ein heißes Thema. Viel von der Brisanz entsteht aus den unterschiedlichen Zielen, die die Manager, AD Admins und Security Administratoren haben. In der Diskussion kommen die technischen Aspekte oft zu kurz und führen zu Missverständnissen. Oft kommen Techniker aus einer Welt, wo die Eingabe eines falschen Kennworts… Read more

Was sind ATQ Threads und wenn ja, warum?

Wer sich schon einmal mit den Performance Countern von Active Directory beschäftigt hat, kann vielleicht zum Schluss kommen, dass es davon zu viele gibt um den Überblick zu behalten. Die Sache wird verschlimmert, wenn eine Abkürzung nicht bekannt ist, oder sich nicht auf den ersten Blick erschließt. „DRA“ ist auf der TechNet zum Beispiel noch… Read more

Neuer Fix zur Lösung vieler Probleme mit langsamen Boot und langsamer Anmeldung

Hallo, hier ist mal wieder Herbert. Mit jedem Windows wird die Konfiguration komplexer, und auch die Umgebungen werden komplexer weil mehr Features genutzt werden und mehr Sicherheit dazu kommt. Damit wird das Betriebssystem in seinen Kernfunktionen erst einmal nicht schneller. Durch die vielen Variablen entstehen auch neue Probleme und manchmal entstehen unerwartete Verzögerungen. Einige von… Read more

Hair-Extensions, oder – so werden auch alte Zöpfe schön

Hallo, hier ist mal wieder Herbert. Der regelmäßige Leser dieses Blogs hat schon den Artikel zu den exzessiven NTLM-Anmeldungen durch die RPC Runtime und andere auf NTLM-Anmeldungen fixierte Applikationen gelesen. Seit neuestem gibt es nun einen Update für Windows Server 2008 R2. Mit diesem Update werden nun Time-Outs beim Warten auf einen API Slot in… Read more

Event Warnung Netlogon 5807 fuer viele Clients hat seit W2k8 deutliche Auswirkungen

UPDATE 06.06.2014 Zu dieser Thematik gibt es für Windows Server 2008 R2 nun (also zweieinhalb Jahre später) ein Update der Netlogon.dll, mit dem man über eine DC Policy das Verhalten beeinflussen bzw. abstellen kann! 2922852 Update resolves a problem in which LDAP, Kerberos and DC locator responses are slow or time out with Windowshttp://support.microsoft.com/kb/2922852/EN-US Hallo, hier… Read more

Ausfuehren des User Objekt Logon Scripts schlaegt mit Windows 2008 DCs fehl

Hallo, hier nochmal Rol mit einem Thema zum User Objekt Logon Script. Ein Team Kollege hatte eine Anfrage mit der Problemstellung, daß das Logon Script auf einem Windows 2003 Terminal Server nicht mehr ausgeführt wurde, nachdem die DCs größtenteils auf Windows 2008 (R2) migriert waren. Konfiguration in der MMC “Active Directory Users and Computers” >… Read more

Security Event 4625 alle 2 Minuten mit Logon Type 2 Interactive

Hallo, hier wieder einmal Rol mit einem Ausflug in Security Log. Ein Kollege hatte vor kurzem ein Fall, daß an einem Windows 2008 R2 Member Server alle 2 Minuten folgendes Event geloggt bekam: Log Name: Security Source: Microsoft-Windows-Security-Auditing Event ID: 4625 Task Category: Logon Level: Information Keywords: Audit Failure User: N/A Computer: MyServer Description: An… Read more

Kerberos Einstellung SpnCacheTimeout für UNIX Kompatibilität

Hallo, nach langer Abstinenz hier mal wieder Andy mit einem Erfahrungsbericht, wie schnell man in scheinbar unerklärliche Probleme laufen kann. Meine Geschichte handelt von den kleinen aber feinen Unterschied bei der Interpretation von Standards. Ein Kunde hat folgendes Szenario. Ein Active Directory mit Windows Server 2008 (Windows Server 2003/2008 spielt hier keine Rolle) Weiterhin hat… Read more

Ueberpruefung wann das Computer Passwort lokal und im Active Directory zuletzt geaendert wurde

Hallo, hier wieder einmal Rol mit einem Vorgehen zur Überprüfung, wann ein Computer Passwort lokal und im Active Directory zuletzt geändert würde. Auslöser für eine solche Untersuchung ist häufig der Umstand, daß Clients aus der Domäne gefallen sind, und kein gültiges Passwort mehr haben, mit dem sie sich erfolgreich im AD authentifizieren können. Mit dem… Read more

Isolated Names und identische Usernamen im gleichen Forest

Hallo, hier wieder einmal Rol mit einem Thema aus aktuellem Anlass. Diesmal geht es um “Isolated Names”. Wem es nicht geläufig ist – unter “Isolated Names” versteht man die Angabe eines Usernamens ohne dem entsprechenden Domänennamen, also ohne Prefix “Domain\Username” oder mittels UPN “Username@DomainFQDN“. Im aktuellen Kundenszenario wurde eine eigenentwickelte Applikation verwendet, welche als Eingabe… Read more