Account Lockout Policy Settings und der spezielle Einfluss des PDCs

Unter den Active Directory Administratoren ist Accont Lockout ein heißes Thema. Viel von der Brisanz entsteht aus den unterschiedlichen Zielen, die die Manager, AD Admins und Security Administratoren haben. In der Diskussion kommen die technischen Aspekte oft zu kurz und führen zu Missverständnissen. Oft kommen Techniker aus einer Welt, wo die Eingabe eines falschen Kennworts… Read more

Probleme mit dem Umwandeln von Sids in Namen

Hallo liebe Freunde des AD. Wir haben diesmal als Thema eine Warnung vor potentiellen Problemen mit Windows Server 2012 Domain Controllern. Es gibt zwar schon eine beträchtliche Liste von „Known Issues“ für Windows Server 2012, die wenigsten betreffen dem Mischbetrieb mit anderen Windows-Versionen auf Domain Controllern und Mitgliedern. Wir haben jedoch nun ein Problem gefunden,… Read more

Was sind ATQ Threads und wenn ja, warum?

Wer sich schon einmal mit den Performance Countern von Active Directory beschäftigt hat, kann vielleicht zum Schluss kommen, dass es davon zu viele gibt um den Überblick zu behalten. Die Sache wird verschlimmert, wenn eine Abkürzung nicht bekannt ist, oder sich nicht auf den ersten Blick erschließt. „DRA“ ist auf der TechNet zum Beispiel noch… Read more

Checkliste zur Kerberos Konfiguration

Hallo, hier wieder einmal Rol mit einem Kerberos Thema. Diesmal geht es jedoch nicht um explizites Troubleshooting, sondern darum, welche Informationen notwendig sind, um ein Applikations-Setup von der Kerberos Seite zu verstehen. Der Informationsfluss ist nicht nur wichtig, wenn sich auf eurer (Kunden) Seite z.B. die AD Administratoren mit den Applikations-Admins unterhalten müssen, sondern auch… Read more

Unerwartetes Problem mit Root Certificate Updates

Hallo! Diesmal meldet sich Herbert mit einem Thema, das normalerweise nicht im Zentrum seiner Aufmerksamkeit liegt. Es wird seit Juni 2012 ein optionaler Update angeboten auf Windows Update, mit dem das Aktualisieren von Stammzertifikaten durch die Computer über das Internet möglich wird: 2677070 An automatic updater of revoked certificates is available for Windows Vista, Windows… Read more

Fehler "No certificate templates are available in Active Directory" beim GPO EFS Zertifikat Suchen

Hallo, hier wieder einmal Rol, heute mit einem Ausflug zu PKI, speziell zu EFS, dem Encrypting File System. Hier hatte unser PKI Experte Marius vor kurzem den Fall, daß obwohl beim Kunden einige Enterprise CAs eingerichtet waren, und auf zumindest einer davon mehrere neue EFS Certificate Templates, basierend auf dem Standard Basic EFS Template definiert waren,… Read more

„Ich glaub ich steh im Wald“ – Kerberos hilf mir suchen!

Hier ist wieder einmal der Herbert. Heute möchte ich die Aufmerksamkeit auf ein bisher wenig beachtetes Feature in Windows Server 2008 R2 und Windows 7 lenken. Es ermöglicht, einen Service Principal Name (SPN) in mehreren Forests zu finden. Es kann nämlich Situationen geben, wo man nicht immer einen Server FQDN hat, oder man hat einen,… Read more

CertSrv Request – DCOM Fehler 2147942405 beim Aktivieren von Class ID {D99E6E74-FC88-11D0-B498-00A0C90312F3}

Hallo, hier wieder Rol mit einem Beitrag aus der Feder von Kollege Tobias aus dem Fachbereich PKI, zu einem Fehler der wohl häufiger auftritt, bis dato aber nicht näher dokumentiert ist – also ein guter Grund für einen Blog. Wenn man beim Anfordern eines Zertifikates eine ähnliche Fehlermeldung wie die folgende bekommt: „DCOM got an… Read more

Security Event 4625 alle 2 Minuten mit Logon Type 2 Interactive

Hallo, hier wieder einmal Rol mit einem Ausflug in Security Log. Ein Kollege hatte vor kurzem ein Fall, daß an einem Windows 2008 R2 Member Server alle 2 Minuten folgendes Event geloggt bekam: Log Name: Security Source: Microsoft-Windows-Security-Auditing Event ID: 4625 Task Category: Logon Level: Information Keywords: Audit Failure User: N/A Computer: MyServer Description: An… Read more

Ueberpruefung wann das Computer Passwort lokal und im Active Directory zuletzt geaendert wurde

Hallo, hier wieder einmal Rol mit einem Vorgehen zur Überprüfung, wann ein Computer Passwort lokal und im Active Directory zuletzt geändert würde. Auslöser für eine solche Untersuchung ist häufig der Umstand, daß Clients aus der Domäne gefallen sind, und kein gültiges Passwort mehr haben, mit dem sie sich erfolgreich im AD authentifizieren können. Mit dem… Read more