Logo faq-o-matic.net
Logo faq-o-matic.net

ADFS: Debug-Logging einschalten und auswerten

von veröffentlicht am29. Juni 2016, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

ADFS (Active Directory Federation Services), die Microsoft-Infrastruktur für Web-basiertes Single Sign-On mit Techniken wie SAML und OAuth, gehört zu den Techniken, die der Hersteller eher lieblos umgesetzt hat. Leider gilt das besonders für die Fehlersuche: Es gibt ungefähr 1.000 Stellen, an denen es haken kann. Kaum eine davon lässt sich einfach auswerten.

Möchte man direkt auf dem ADFS-Server Einblicke in die Verarbeitung erhalten und dort nach möglichen Fehlern suchen, kann man das Debug Logging aktivieren. Diese Funktion ist eigentlich für Web-Entwickler gedacht, lässt sich aber auch für administrative Zwecke nutzen. Sie produziert sehr viele Daten, die sehr aufwändig auszuwerten sind. Daher aktiviert man sie nicht dauerhaft, sondern immer nur gezielt.

… weiterlesen

AppLocker mit regsrv32.exe umgehen

von veröffentlicht am27. Juni 2016, 06:53 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Windows   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Der Sicherheitsexperte @subTee hat herausgefunden, wie man AppLocker mit einem einfachen Trick umgehen kann. Dadurch wird der Schutz vor “bösen” Applikationen in einigen Situationen wirkungslos.

Die Ursache liegt in dem Konstruktionsprinzip von AppLocker, das bestimmte Systemkomponenten niemals einschränkt. Dazu zählt auch regsvr32.exe – dieses Programm nutzt man normalerweise, um DLLs und andere Komponenten im System zu registrieren. Das Programm hat die wenig bekannte Eigenschaft, dass es nahezu beliebige Pfade zu den Komponenten akzeptiert – und dass es diese bei bestimmten Aufrufen einmal komplett ausführt. Das Ganze funktioniert auch mit Skripten aus dem Internet – und als normaler Benutzer ohne Adminrechte …

[subTee: Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files)]
http://subt0x10.blogspot.de/2016/04/bypass-application-whitelisting-script.html

Testskript: Ist der Reboot schon durch?

von veröffentlicht am22. Juni 2016, 06:31 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Administration, Batch, Downloads, Monitoring   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Als geplagter Admin muss man oft Rechner neu starten. Meist macht man das remote über eine RDP-Sitzung oder über einen Steuerbefehl. Danach beginnt das Ratespiel: Ist der Neustart schon abgeschlossen?

Eine einfache Möglichkeit, das zu überwachen, besteht in einem “Dauerping”: Mit ping -t fragt man den Zielrechner dauerhaft an. Vor dem Neustart antwortet er, während des Bootvorgangs kommt keine Antwort, und ist der Start abgeschlossen, kommt wieder eine Antwort zurück. Das reicht in den meisten Fällen völlig aus.

Der Nachteil der Methode: Schaut man nicht dauernd auf das Shell-Fenster mit den Ping-Ergebnissen, dann übersieht man den Statuswechsel leicht. Nach einiger Zeit ist der Abschnitt ohne Antwort nach oben aus dem Fenster gerollt. So kann man nicht einschätzen, ob der Rechner den Neustart noch gar nicht begonnen hat oder ob er schon längst fertig ist.

Für solche Zwecke habe ich mir ein kleines Skript gebaut, das den Vorgang etwas pfiffiger handhabt. Es pingt den Zielrechner ebenfalls an, stellt den Statuswechsel von “antwortet” zu “antwortet nicht” und umgekehrt aber deutlich und mit Zeitstempel dar.

image

Auf diese Weise lässt sich der Vorgang recht simpel überwachen. Die Syntax ist sehr einfach:

Get-PingStatusChange.bat <Zielrechner>

dabei ist <Zielrechner> der Kurzname, der volle DNS-Name oder auch die IP-Adresse des Computers, um den es geht. Möchte man die Überwachung beenden, so drückt man Strg-C und bestätigt den Abbruch. Wer will, setzt danach die Farbe des Shellfensters mit dem Kommando color auf den Normalzustand zurück.

Wer mehrere Rechner parallel auf diese Weise überprüfen möchte, kann das Skript in mehreren Instanzen mit einem Fenster pro Computer starten. Dazu eignet sich folgender Aufruf:

start /separate Get-PingStatusChange.bat <Zielrechner1>
start /separate Get-PingStatusChange.bat <Zielrechner2>
start /separate Get-PingStatusChange.bat <Zielrechner3>
start /separate Get-PingStatusChange.bat <Zielrechner4>

Als simple Lösung ist das durchaus praktikabel.

Download: Get-PingStatusChange.bat  Get-PingStatusChange.bat (809 bytes, 210 Downloads, letzte Änderung am 20. Juni 2016)

cim 2016: Die Anmeldung ist geöffnet

von veröffentlicht am20. Juni 2016, 06:29 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

imageDie Community-Konferenz cim (Community in Motion) in Lingen hat nicht nur eine schicke neue Webseite, sondern sie hat auch die Anmeldung für 2016 geöffnet. Die cim 2016 ist am 27. August 2016 wie immer kostenlos in Lingen.

[cim lingen | community in motion – anmeldung]
http://www.cim-lingen.de/anmeldung/art_366.html

Fehler in adrestore: AD-Objekt doch nicht wiederhergestellt

von veröffentlicht am15. Juni 2016, 06:13 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Wiederherstellung   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

In einer Foren-Diskussion trat neulich ein Fehler in dem Sysinternals-Programm adrestore.exe zutage. Dieses ältere Programm erlaubt es, gelöschte AD-Objekte (sogenannte “Tombstones”) wiederherzustellen. Auch wenn das Tool schon ziemlich alt ist, funktioniert es prinzipiell auch auf modernen Domänencontrollern und arbeitet auch mit dem AD-Papierkorb zusammen.

adrestore.exe setzt voraus, dass der Container bzw. die OU, aus der ein Objekt gelöscht wurde, beim Restore noch vorhanden ist. Es arbeitet nämlich recht simpel und legt das restaurierte Objekt in dem Pfad ab, der unter “lastKnownParent” in dem Tombstone gespeichert ist. Existiert dieser Pfad nicht mehr, dann erfolgt kein Recovery. Das Dumme aber: adrestore.exe behauptet in diesem Fall trotzdem, dass der Vorgang erfolgreich war.

Einige andere Programme zum Wiederbeleben gelöschter Objekte arbeiten hier besser und prüfen den Erfolg tatsächlich. Dabei ist es bei manchen auch möglich, statt der Original-OU eine andere anzugeben. Dazu zählt das Actice Directory Administrative Center (ADAC), das seit Windows Server 2012 verfügbar ist.

… weiterlesen

Active Directory: Das AD-Recovery-Kennwort zentral steuern

von veröffentlicht am13. Juni 2016, 06:02 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Bei der Installation eines Domänencontrollers für Active Directory muss man ein Recovery-Kennwort angeben. Dieses dient dazu, den DC im Notfall ohne Active Directory starten und sich trotzdem anmelden zu können. Zu diesem Zweck wird dieses Kennwort lokal gespeichert, es hat nichts mit einem AD-Konto zu tun.

Das bedeutet natürlich auch, dass jeder DC sein eigenes Recovery-Kennwort hat (bzw. haben sollte). Dies wiederum heißt, dass man das Kennwort gut und sicher dokumentieren sollte.

Ein wenig bekanntes Feature erlaubt es, dieses Kennwort zentral über das AD zu verwalten, solange die Domäne und die DCs ordnungsgemäß laufen. Die Funktion erlaubt die Angabe eines Kontos als “Vorlage”, dessen Kennwort dann auf das Recovery-Konto übertragen wird.

Der folgende Artikel beschreibt das Verfahren.

[DS Restore Mode Password Maintenance | Ask the Directory Services Team]
https://blogs.technet.microsoft.com/askds/2009/03/11/ds-restore-mode-password-maintenance/

José Active-Directory-Dokumentation: Neue Version 3.10

von veröffentlicht am8. Juni 2016, 06:21 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Jose   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Wir haben die neue Version 3.10 unseres AD-Dokuwerkzeugs José freigegeben. Folgendes ist neu:

  • Exchange-Schema 2016 CU1
  • AD-Schema WS 2016 TP5
  • erkennt das Optional Feature "Privileged Access Management"
  • Korrekturen bei den Pfad-Verweisen in der HTML-Datei (jetzt kann man den Reports-Ordner wirklich woanders hin kopieren)

Wie immer findet José sich hier:

http://faq-o-matic.net/jose/

Die englische Fassung ist unter folgendem Link erhältlich:

http://faq-o-matic.net/jose-en/

CDC Germany 2016: Die Videos sind online

von veröffentlicht am6. Juni 2016, 06:09 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Cloud, Events, Videos, Virtualisierung   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Microsoft hat die Videos der Community-Konferenz Cloud & Datacenter Conference Germany 2016 auf Channel 9 bereitgestellt. Man kann sie sich dort kostenlos ansehen.

[Cloud & Datacenter Conference Germany 2016 | Channel 9]
https://channel9.msdn.com/Events/community-germany/Cloud–Datacenter-Conference-Germany-2016

BGInfo per PowerShell konfigurieren

von veröffentlicht am1. Juni 2016, 06:43 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Administration, PowerShell, Tools   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Dieser Beitrag erschien zuerst auf Kohns|tech|blog.

Um den Überblick zu behalten, empfehle ich grundsätzlich, in einer verwalteten Windows-Umgebung alle Server mit BGInfo auszustatten. Es gibt viele Wege dies zu bewerkstelligen, u.a. auch über Gruppenrichtlinie, manchmal wünscht man aber auch eine manuelle Aktivierung auf einem Server. Hierfür habe ich mir ein kleines PowerShell-Skript geschrieben, welches ich euch nicht vorenthalten möchte.

… weiterlesen

Hyper-V-Sicherheit: 7 gute Hinweise

von veröffentlicht am30. Mai 2016, 06:33 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Virtualisierung   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

In einem etwas älteren Artikel beschreibt der Hyper-V-Experte Eric Siron sieben wichtige Hinweise zur Sicherheit für Hyper-V.

[7 Keys to Hyper-V Security – Hyper-V Security Best Practices]
http://www.altaro.com/hyper-v/7-keys-to-hyper-v-security/

© 2005-2016 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!