Im April und Mai 2010 veranstaltet das Fachportal “heise Security” eine Security-Tour mit dem Schwerpunkt Virtualisierung und verteilten Systemen. faq-o-matic.net ist live dabei: Nils Kaczenski beleuchtet Sicherheitsfragen in der Servervirtualisierung. Ein Thema, das oft vernachlässigt wird, wie auch eine aktuelle Gartner-Studie belegt.

Kurzentschlossenen Lesern können wir ein besonderes Bonbon bieten: Wer sich über uns anmeldet, kann 100 Euro sparen! Näheres siehe unten.

… weiterlesen

Mit dem Kommando “dsmove” kann man seit Windows Server 2003 AD-Objekte per Kommandozeile verschieben. Anders als die anderen ds*-Tools kommt dsmove leider nicht mit dem Piping klar: Zwar kann man etwa die Ausgabe eines “dsquery”-Befehls per Pipe an dsmove weiterleiten und so nacheinander mehrere Objekte an den Befehl verfüttern – doch dsmove wird nur das erste übergebene Objekt verschieben und danach einen Fehler ausgeben. Leider gilt das auch noch in Windows Server 2008 R2.

… weiterlesen

Seit jeher lässt Windows zu, für einen Benutzer Anmeldezeiten zu definieren – seit Windows NT und auch jetzt in Active Directory. Darüber lässt sich festlegen, an welchen Wochentagen und zu welchen Uhrzeiten dem Benutzer die Anmeldung mit dem jeweiligen Konto gestattet ist. Nicht ganz einfach ist es allerdings, diese Zeiten auszulesen. Zwar gibt es natürlich ein GUI dafür, und auch der Kommandozeilenbefehl “net user” gibt darüber Auskunft. Das war es aber auch schon. Insbesondere per Skript ist es alles andere als bequem, an diese Daten zu kommen.

… weiterlesen

RDP ist eine wunderbare Technik, um remote auf Windows-Rechner zuzugreifen. Wer dies wie ich intensiv nutzt, gewöhnt sich aber schnell so sehr daran, dass er nicht mehr bemerkt, dass es sich schon um eine besondere Art des Zugriffs handelt.

Gerade entwerfe ich für einen Kunden einige Sicherheitseinstellungen für Active Directory. Unter anderem wollen wir per Gruppenrichtlinie steuern, wer sich an welchen Maschinen anmelden darf. Kein Problem – GPO auf die passende OU verlinken, in der die Computer stecken, und dort über die Sicherheitseinstellungen das Recht “Lokale Anmeldung erlauben” vorgeben. In meinem Fall sollen nur die “Administratoren” und die Gruppe “DOM\Abt02-Erlauben” drinstehen.

… weiterlesen

dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es in einer Extremsituation zu nutzen.

In einem Testszenario sollten für 16.308 Benutzerkonten die AD-Zugriffsberechtigungen geändert werden. Für jedes einzelne Objekt gab es sieben Änderungen: Zwei vorhandene Berechtigungen wurden entfernt und fünf neue hinzugefügt. Das Ganze wurde über eine große Batchdatei gesteuert, die für jedes der Objekte die sieben dsacls-Kommandos ausführte. Das passierte auf einem Domänencontroller unter Windows Server 2008 R2, der in einer nicht optimierten VM lief (nur 512 MB RAM und eine einzige virtuelle Festplatte).

Der Vorgang dauerte etwas weniger als zwei Stunden. Erst war ich überrascht über die lange Bearbeitungszeit, aber dann habe ich mal nachgerechnet:

• 16.308 Objekte mit jeweils sieben ACL-Änderungen ergibt 114.156 einzelne ACL-Änderungen.
• Die Ausführung dauerte etwas weniger als zwei Stunden, was etwa 1000 ACL-Änderungen pro Minute ergibt.
• Das wiederum bedeutet, dass etwas mehr als 15 Änderungen pro Sekunde erfolgten.
• Hierbei muss man – neben dem geringen Arbeitsspeicher des Servers – berücksichtigen, dass jede Änderung im Ereignisprotokoll mitgeschrieben wurde und dass dsacls bei jeder Ausführung die Berechtigungen des Objekts als Text ausgibt, hier umgeleitet in eine Datei.
• Die Datenbank-Dateigröße des AD änderte sich durch diesen Vorgang übrigens nicht, was wahrscheinlich auf die pro Objekt geringe Anzahl geänderter ACLs zurückzuführen ist.

Exchange Server 2007 bringt ein PowerShell-Skript mit, mit dem man zu allen Öffentlichen Ordnern eines Exchange-Servers ein Replikat hinzufügen kann. Muss es auch, denn die grafische Ordnerverwaltung hat diese Funktion leider nicht mehr …

Leider schlägt das Skript aber oft fehl und meldet, es könne einen Parameter nicht erkennen. Dabei handelt es sich dann um einen Teil des Ordnernamens. Es liegt auf der Hand: Das Skript kommt nicht mit Leerzeichen klar. (Eigentlich ziemlich peinlich, aber lassen wir das.)

Die Abhilfe ist zwar einfach, aber man kommt kaum selbst drauf: Man füge in die Angabe des Ordnernamens innerhalb der doppelten Anführungsstriche noch einmal “einfache” Anführungsstriche hinzu (besser gesagt: Apostrophen). So:

AddReplicatoPFRecursive.ps1 -TopPublicFolder "'\PublicFolder with space'" -ServerToAdd NeuerServer

Hier noch die Quelle – Ehre, wem Ehre gebührt:

[Managing spaces in AddReplicaToPFRecursive.ps1 script | Zero Hour Sleep]

http://www.zerohoursleep.com/2009/12/managing-spaces-in-addreplicatopfrecursiveps1-script/

Möchte man das Datum herausfinden, zu dem Active Directory zuletzt gesichert wurde, so gibt es eine recht einfache Methode: Ab Windows 2003 (SP1) beantwortet repadmin diese Frage.

repadmin /showbackup

Die Ausgabe sieht ungefähr so aus:

Da ich gerade an der neuen Version 3.0 meines AD-Dokumentationswerkzeugs José arbeite, wollte ich diese Daten aber per Skript herausfinden, ohne auf repadmin angewiesen zu sein. Das stellte sich als gar nicht so einfach heraus, denn die Information ist im AD gut versteckt.

… weiterlesen

Exchange-MVP Walter Steinsdorfer hat einen lesenswerten Artikel zu der Marketingaussage geschrieben, dass Exchange 2010 aufgrund seiner Verfügbarkeits-Architektur kein Backup mehr benötige. Sein Fazit: “Exchange 2010 ohne Backup zu betreiben geht. Allerdings in engen Grenzen.”

Hier geht’s zum Artikel:

[Microsoft, Exchange 2010 und die Datensicherungsstory - Exchange, Security and Active Directory]
http://msmvps.com/blogs/wstein/archive/2010/02/24/microsoft-exchange-2010-und-die-datensicherungsstory.aspx

Auf der diesjährigen CeBIT, die schon in der nächsten Woche in meiner Heimatstadt stattfindet, werde ich zwei Vorträge für den heise-Verlag halten.

• Am Mittwoch, 3. März um 12:00 Uhr geht es in Halle 5, Stand E 38 um IT-Sicherheit: “Sicherheit? Ich hab doch ‘ne Firewall! Was Sie vielleicht noch nicht bedacht haben”
  [Heise Events | 2010 | heise Forum | Programm]
  http://www.heise.de/events/2010/heise_forum/plan_tag2/
• Am Donnerstag, 4. März um 15:30 stelle ich in Halle 3, Stand G06, ein Kundenprojekt mit Hyper-V vor.
  [iX-Konferenz: iX CeBIT Forum 2010]
  http://www.ix-konferenz.de/programm.php?vortyp=Cluster%2FVirtualisierung&konferenzid=79&st=Programm

In Exchange 2007 und 2010 sind neue Mail-Verteilergruppen standardmäßig nur intern nutzbar. Möchte man einen Verteiler einrichten, der von außen per Mail erreichbar ist, muss man dies ausdrücklich einstellen. Anderenfalls erhält man die Fehlermeldung:

#550 5.7.1 RESOLVER.RST.AuthRequired; authentication required

Zur Umstellung öffnet man in der Exchange-Konsole (GUI) den Verteiler, dort die Registerkarte „Nachrichtenübermittlungseinstellungen“ und dort „Einschränkungen für die Nachrichtenzustellung“. Die dortige Einstellung „Authentifizierung aller Absender anfordern“ ist bei Exchange 2007 und 2010 standardmäßig für neue Gruppen aktiviert. Wenn der Verteiler von außen erreichbar sein soll, muss man das Häkchen entfernen.