[faq-o-matic.net » Windows Server 2008: Snapshots des Active Directory]
http://www.faq-o-matic.net/2007/04/30/windows-server-2008-snapshots-des-active-directory/

Wenn man sich allerdings etwas eingehender mit dieser Funktion beschäftigt, dann wird man recht schnell feststellen, dass man mit diesen Snapshots nicht viel anfangen kann. Wenn man zum Beispiel Veränderungen nachverfolgen möchte, die seit dem Erstellen des Snapshots aufgetreten sind, dann ist das mit den Boardmitteln des Servers recht mühselig beziehungsweise in größeren Umgebungen fast unmöglich. Deshalb habe ich schon des Öfteren darüber nachgedacht, ein Tool zu entwickeln, was automatisch diese Veränderungen auffinden kann und diese dann zur Darstellung bringt.

Bevor ich solche großen Projekte anfange, bemühe ich „google“, um eventuell Lösungsansätze oder auch schon fertige Anwendungen zu finden. Dabei ist mir das Tool „Directory Service Comparison Tool 1.2.1” aufgefallen, was durch Fredrik Lindström entwickelt wurde. Dieses MMC Snapin erfüllt alle Dinge, die man sich bei der Arbeit mit AD Snapshots nur wünschen kann.

Zu den Features zählen:

• Anzeigen von Unterschieden zwischen Objekten im produktiven Active Directory und einem Active Directory Snapshot
• Wiederherstellen von Objektattributen mit der Hilfe eines Snapshots
• Wiederherstellen gelöschter Objekte im produktiven Active Directory
• Wiederherstellen von Gruppenmitgliedschaften

Damit man mit diesem Tool arbeiten kann, benötigt man als Erstes einen AD Snapshot, der mit dem Kommandozeilenprogramm „dsamain“ bereitgestellt wurde. Wie Snapshots erstellt und bereitgestellt werden, wird in unserem oben aufgeführten Artikel erklärt.

Danach benötigt man natürlich noch das „Directory Service Comparison Tool 1.2.1”.
Nach dem Herunterladen und Installieren hat kann man es als Snapin in eine MMC hinzufügen.

Anschließend muss man eine Verbindung zum produktiven Active Directroy und zum bereitgestellten Snapshot herstellen.


Wenn die Verbindung erfolgreich war, kommt es noch zu einer kleinen Abfrage. Diese Abfrage ist notwendig, da bei einem Active Directory Snapshot die „highestCommitedUSN“ verändert wird. Dadurch erscheint der Snapshot aktueller als das produktive Active Directory. Diesen Bug hat Fredrik galant umschifft, indem er ein Attribut eines Benutzers solange aktualisiert, bis das produktive Active Directory eine höhere „highestCommitedUSN“ als der Snapshot hat.

Nachdem das erledigt ist, werden sofort die Unterschiede zwischen beiden Versionen angezeigt. Ich habe in meiner Demoumgebung alle Möglichkeiten nachgestellt. Als Erstes habe ich bei einer bereits existierenden Gruppe das Feld „Beschreibung“ ausgefüllt.

Auch mein neuerstellter Benutzer wurde einwandfrei durch das Tool erkannt.

Bei meinem dritten Versuch habe ich ein Objekt im produktiven Active Directory gelöscht. Das Tool erkennt dieses gelöschte Objekt und bietet auch das Wiederherstellen an. Der Vorteil des Wiederherstellens von Objekten aus einem Snapshot heraus besteht darin, dass man auch alle Attribute des Objektes wiederherstellen kann. Dadurch kann man zum Beispiel bei gelöschten Benutzern auch die Gruppenmitgliedschaften wiederherstellen.

Alles in allem kann man auf dieses Tool nicht verzichten, wenn man ernsthaft mit Active Directory Snapshots arbeiten will.

Vielen Dank an Fredrik für die Zeit und Mühe, die er in dieses Tool investiert hat.

Verwandte Beiträge:

1. Windows Server 2008: Snapshots des Active Directory
   (Dies ist die am 28. Februar 2009 überarbeitete Fassung des...
2. [Update] Bug im DSCT: Kein Recovery bei Backslash im Namen
   Fredrik Lindström hat uns das hervorragende Werkzeug “Directory Services Comparison...
3. ice:2009: AD-Recovery – die Folien
   Hier die Folien zu meiner Session “Active Directory Disaster Recovery:...

Verwandte Beiträge:

1. sa-Konto absichern
   Eigentlich ist es seit Jahren bekannt …… aber immer wieder...
2. Absichern der Willkommensmeldung ("HELO") in Exchange
   Eine der häufigsten Schwachstellen in einem Unternehmensnetzwerk ist immer der...
3. Warum kann ein Benutzer Dateien ändern, für die er keine Rechte hat?
   Benutzer können Dateien löschen, auf die sie keinen Zugriff haben....

Dabei bin ich über diesen Dialog gestolpert. Ab und zu scheinen die Entwickler bei Microsoft, einen eigenwilligen Humor zu entwickeln. Damit auch nicht euer Computer "verarmt", spendiert ihm doch einfach mal eine neue Platte oder etwas mehr RAM. Man will ja nicht, dass der eigene Rechner in die ewigen Jagdgründe geht…..

Verwandte Beiträge:

1. Windows-Clients neu in eine Domäne aufnehmen
   Windows-Rechner lassen sich seit Windows NT in eine Domäne aufnehmen....

ADAM (Active Directory Application Mode) ist eine Art abgespecktes Active Directory, mit dem man genau diese Dinge realisieren kann, ohne dabei sein Netzwerk in Gefahr zu bringen. Microsoft liefert für ADAM auch entsprechende Werkzeuge, damit man auch ohne Programmierkenntnisse zwischen Active Directory und der ADAM Instanz eine Synchronisation durchführen kann. Wie funktioniert aber jetzt das Ganze und was wird als Voraussetzung benötigt? Im einfachsten Fall reicht hier der Einsatz von Windows XP Professional als ADAM Server. Wer möchte, kann auch einen Windows 2003 Server einsetzen. Für diesen Artikel habe ich auf der Active Directory Seite und auf der ADAM Seite einen Windows Server 2003 R2 eingesetzt. Glücklicherweise kann man unter Windows Server 2003 R2 den ADAM Dienst direkt als Windows Komponente installieren.
OK, was muss man tun, um ADAM zu konfigurieren. Als Erstes muss man die Installation über die Windows Komponenten vornehmen.

Nachdem die Installation abgeschlossen ist, findet man unter „Start -> Programme" den neuen Ordner „ADAM". Unterhalb des Ordners findet man eine Option „ADAM-Instanz erstellen". Mit dieser Option wird ADAM letztendlich lauffähig gemacht.

Da in meinem Demonetzwerk noch keine Instanz besteht, muss hier die Option „Eine eindeutige Instanz installieren" ausgewählt werden. Im nächsten Schritt wird jetzt der Instanzenname abgefragt. Da ich in diesem Artikel als Beispiel ein Telefonbuch installieren will, nenne ich meine Instanz kreativerweise „Telefonbuch FAQ-O-MATIC".

Im nächsten Schritt fragt der Assistent nach den Portnummern, auf denen die Instanz arbeiten soll. Wenn es sich bei dem Server, auf dem ADAM installiert wird, um einen Domänencontroller handelt, dann schlägt der Assistent automatisch Ports vor, die nicht von Active Directory belegt werden. Mein Demosystem ist ein einfacher Mitgliedsserver, auf dem kein Active Directory installiert ist. Deshalb werden vom Assistenten die Standardports für LDAP (389) und LDAP/SSL (636) vorgeschlagen.

Nachdem die Ports festgelegt wurden, möchte der Assistent eine Anwendungspartition erstellen. Die Anwendungspartition wird zukünftig die Benutzerobjekte aufnehmen, die die Telefonanlage dann über eine LDAP Suche abfragen kann. Ich übergehe diesen Schritt, um später demonstrieren zu können, wie man eine Partition auf der Kommandozeile anlegt.

Bei der nächsten Frage möchte der Assistent wissen, wo er die ADAM Datenbank ablegen soll. Hier sollte man prüfen, ob der Speicherplatz auf dem Systemlaufwerk noch ausreichend ist. In den seltensten Fällen macht sich ein Verschieben der Datenbanken auf eine andere Partition bzw. ein anderes Laufwerk erforderlich.

Im nächsten Schritt möchte der Assistent wissen, unter welchem Benutzerkonto der Dienst laufen soll. Auch hier kann man den Standardvorschlag bestehen lassen. Das Benutzerkonto „Netzwerkdienst" ist ein eingeschränkter Security Principal, der für diese Aufgabe geeignet ist.

Jetzt muss ein Benutzerkonto angegeben werden, was administrative Rechte über diese Instanz erhält. Der Einfachheit halber lasse ich hier den Domänen-Administrator stehen. Hier könnte man natürlich auch einen anderen „normalen" Benutzer auswählen.

Damit in einer ADAM Instanz überhaupt Objekte erstellt werden können, benötigt man ein Schema, was diese Objekte beschreibt. Auf der nächsten Seite des Assistenten hat man die Möglichkeit, bestimmte LDF Dateien für die Erweiterung des Schemas zu importieren. Wir benötigen diese Dateien nicht, da wir die Erweiterung später vornehmen.

Nachdem der Assistent noch kurz eine Zusammenfassung der Setup Parameter anzeigt, beginnt er anschließend mit der Installation.
Damit Objekte aus der bestehenden Active Directory Umgebung in die ADAM Instanz repliziert werden können, muss als nächstes das Schema erweitert werden. Im Installationsverzeichnis von ADAM befinden sich dafür zwei LDF-Dateien. Zum Einen ist das die Datei „MS-AdamSchemaW2K3.LDF" für das Schema eines Windows 2003 Active Directory und zum Anderen die Datei „MS-AdamSyncMetadata.LDF", die für den Objektabgleich benötigt wird.

Der Import der LDF Dateien wird über das aus Active Directory bekannte Kommandozeilenprogramm „ldifde" realisiert.
ldifde -i -f MS-AdamSyncMetadata.LDF -s localhost -c "cn=configuration,dc=x" #configurationNamingContext

ldifde -i -f MS-AdamSchemaW2K3.LDF -s localhost -t -c "cn=configuration,dc=x" #configurationNamingContext

Somit ist die ADAM Instanz vorbereitet. Was jetzt noch fehlt, ist die Anwendungspartition, die die Userobjekte anschließend aufnehmen soll. Für diese Aufgabe steht das Programm „dsmgmt.exe" zur Verfügung. Das Gleiche geht aber auch mit „ntdsutil".

Jetzt ist ADAM für die erste Synchronisation bereit. Für den Abgleich zwischen Active Directory und ADAM stellt Microsoft das Programm „adamsync" zur Verfügung. Adamsync benötigt eine XML-Konfigurationsdatei, in der alle wichtigen Parameter festgehalten sind. Im Installationsverzeichnis existiert bereits eine Beispieldatei. Diese muss nur noch auf die eigenen Bedürfnisse angepasst werden.

<?xml version="1.0"?>
<doc>
 <configuration>
  <description>FAQ-O-MATIC</description>
  <security-mode>object</security-mode>
  <source-ad-name>faq-o-matic.net</source-ad-name>
  <source-ad-partition>dc=faq-o-matic,dc=net</source-ad-partition>
  <source-ad-account></source-ad-account>
  <account-domain></account-domain>
  <target-dn>dc=faqomatic</target-dn>
  <query>
   <base-dn>dc=faq-o-matic,dc=net</base-dn>
   <object-filter>(&(objectclass=user)(telephoneNumber=*))</object-filter>
   <attributes>
    <include>givenname</include>
    <include>sn</include>
    <include>telephoneNumber</include>
    <exclude></exclude>
   </attributes>
  </query>
  <schedule>
   <aging>
    <frequency>2</frequency>
    <num-objects>600</num-objects>
   </aging>
   <schtasks-cmd></schtasks-cmd>
  </schedule>
 </configuration>
 <synchronizer-state>
  <dirsync-cookie></dirsync-cookie>
  <status></status>
  <authoritative-adam-instance></authoritative-adam-instance>
  <configuration-file-guid></configuration-file-guid>
  <last-sync-attempt-time></last-sync-attempt-time>
  <last-sync-success-time></last-sync-success-time>
  <last-sync-error-time></last-sync-error-time>
  <last-sync-error-string></last-sync-error-string>
  <consecutive-sync-failures></consecutive-sync-failures>
  <user-credentials></user-credentials>
  <runs-since-last-object-update></runs-since-last-object-update>
  <runs-since-last-full-sync></runs-since-last-full-sync>
 </synchronizer-state>
</doc>

Gehen wir die wichtigsten Elemente der XML Datei einmal durch. Im Element „<description>" wird nur eine Beschreibung festgelegt. Mit Hilfe dieser Beschreibung kann man durch „adamsync /list localhost" die installierten Konfigurationen besser identifizieren. Die Elemente „source-ad-name" und „source-ad-partition" identifizieren die Quelldomäne. Mit „source-ad-name" wird der FQDN der Quelldomäne festgelegt und mit „source-ad-partition" die Active Directory Partition, in der die zu synchronisierenden Objekte gesucht werden. Das Element „<target-dn>" gibt die Zielpartition an, in der die synchronisierten Objekte erstellt werden sollen. Adamsync ermittelt die zu synchronisierenden Objekte über eine LDAP Suche. Für diese Suche werden zwei Dinge benötigt. Als Erstes muss ein „<base-dn>" festgelegt werden. Dieser distinguished Name beschreibt den Ausgangspunkt der LDAP Suche. Danach wird der eigentliche Suchfilter festgelegt. Da wir die ADAM Instanz als Telefonbuch nutzen wollen, werden nur Benutzer synchronisiert, die auch eine Telefonnummer besitzen. Dadurch ergibt sich folgender LDAP Filter:

„(&(objectclass=user)(telephoneNumber=*))"

Das kaufmännische „Und" kann aber nicht in der XML Datei interpretiert werden. Deshalb muss dieses Sonderzeichen in der XML Datei kodiert werden.

„(&(objectclass=user)(telephoneNumber=*))"

Als nächstes kommen wir zu den Attributen, die für unsere Objekte mit repliziert werden sollen. Für ein Telefonbuch muss ja ein Userobjekt nicht mit allen Attributen repliziert werden. Für diesen Anwendungsfall sollte die Angabe von Vorname, Nachname und Telefonnummer ausreichen. Welche Attribute repliziert werden, kann man über das Element „<attributes>" steuern. Da für den Anwendungsfall „Telefonbuch" nur drei Attribute repliziert werden müssen, habe ich mich dafür entschieden, diese Attribute über „<include>" anzugeben. Wenn die Zahl der zu synchronisierenden Attribute überwiegen sollte und man nur einige wenige von der Synchronisation ausschließen will, dann kann man diese über „<exclude>" ausschließen. Ein weiterer wichtiger Punkt ist das „<aging>". Darüber kann gesteuert werden, was passieren soll, wenn ein Objekt in der Quelle gelöscht wird. Dazu aber an späterer Stelle mehr.

Nachdem alle Einstellungen in der XML Datei vorgenommen wurden, kann diese jetzt installiert werden. Dafür bietet das Tool „adamsync" den Schalter „/install" an.

adamsync /i localhost NAMEDERXMLDATEI.XMLJetzt ist ADAM für die erste Synchronisation bereit.

adamsync /sync localhost dc=faqomatic

Ein Wort zur Performance. In der Active Directory Domäne, die hier als Quelle genutzt wurde, existieren 20.000 Benutzerobjekte. Der erste Synchronisationsvorgang, zwischen Active Directory und ADAM, nahm ca. 2 Minuten und 30 Sekunden in Anspruch. Dabei wurden ca. 68,1 MB an Daten übertragen. Jede weitere Synchronisation wurde innerhalb von 5 Sekunden beendet und es wurden dabei ca. 69 KB übertragen.

Nachdem also die erste Replikation erfolgreich abgelaufen ist, kann man die oben stehende Kommandozeile als geplanten Task einrichten. Dadurch kann ein periodischer Abgleich zwischen Active Directory und ADAM sichergestellt werden. Was passiert aber mit den gelöschten Objekten? Diese bleiben bei der momentanen Konfiguration bestehen. Hier kommt jetzt das Element „<aging>" der XML Konfigurationsdatei ins Spiel. Über das Unterelement „<frequency>" kann bestimmt werden, aller wie viel Sychronisationszyklen eine Überprüfung auf gelöschte Objekte vorgenommen wird. Das Unterelement „<num-objects>" gibt an, wie viele Objekte auf einmal untersucht werden sollen. Wenn wir in unserem Beispiel für „<frequency>" den Wert „2" setzen und für „<num-objects>" den Wert 500, dann bedeutet dies, dass „adamsync" im schlimmsten Fall 80 Replikationszyklen benötigt, um alle Objekte auf einen eventuellen Löschvorgang zu prüfen. Findet adamsync ein im Active Directory gelöschtes Objekt, dann wird es auch in der Adaminstanz entfernt. Um die Performance hier einmal zu testen, habe ich mit drei verschiedenen Werten in „<num-objects>" gearbeitet.

Leider gibt es bei der Synchronisation einen unschönen Nebeneffekt. Adamsync scheint bei der Synchronisation der gelöschten Objekte den LDAP Filter „(&(objectclass=user)(telephoneNumber=*))" zu nutzen. Da bei einem Löschvorgang aber das Attribut „telephoneNumber" vom Objekt entfernt wird, kann adamsync ein gelöschtes Objekt nicht korrekt erkennen. Das kann dazu führen, dass adamsync alle synchronisierten Objekte verwirft und in den Container „LostAndFound" der ADAM Partition verschiebt. Dieser Tatsache kann man aber mit einem kleinen Hack entgegenwirken. Dazu muss man im Active Directory Schema der Quelle eine kleine Anpassung im Attribut „telephoneNumber" vornehmen. Durch das Verändern der Eigenschaft „searchflags" im Attribut „telephoneNumber" kann man verhindern, dass dieses Attribut von einem Objekt entfernt wird. Dazu muss die Eigenschaft „searchflags" des Attributs „telephoneNumber" auf den dezimalen Wert 8 gesetzt werden. Dieser Wert entspricht binär dem vierten Bit.

Dadurch bleibt beim Löschen eines Objekts dieses Attribut am gelöschten Objekt erhalten und adamsync kann eine erfolgreiche Synchronisation durchführen.

Kommen wir jetzt zum letzten Punkt dieses Artikels. Jetzt muss nur noch sichergestellt werden, dass auch mit einer anonymen Anmeldung auf die Informationen im ADAM lesend zugegriffen werden kann. Um das zu ermöglichen, müssen zwei Schritte durchgeführt werden. Als erstes muss der anonymen Anmeldung erlaubt werden, sich ohne Authentifizierung mit der Telefonbuch Partition zu verbinden. Standardmäßig ist das nicht erlaubt. Um es zu ermöglichen, muss das „dsHeuristics" Attribut in den Eigenschaften des Directory Services Objekts der Konfigurationspartition auf den Wert „0000002001000" angepasst werden.

Jetzt kann zumindest schon ein LDAP Bind auf alle Partitionen der ADAM Instanz durchgeführt werden. Dadurch kann aber eine anonyme Anmeldung noch keine Objekte der einzelnen Partitionen lesen. Damit die einzelnen Partitionen auch durchsucht werden können, fügt man im einfachsten Fall das Konto „Anonymous-Anmeldung" in die ADAM Rolle „Readers" der entsprechenden Partition hinzu.

Jetzt können die Userobjekte in der ADAM Partition auch ohne Authentifizierung gelesen werden. Damit wäre es jetzt möglich, diese ADAM Instanz für das Erstellen eines Telefonbuchs zu nutzen.

Verwandte Beiträge:

1. AD Snapshots „Deluxe“
   Dass man unter Windows Server 2008 mit dem Kommandozeilenprogramm „ntdsutil“...
2. Wie kann ich beeinflussen, welche Attribute beim Kopieren eines Benutzers kopiert werden?
   Wenn man in Active Directory ein vorhandenes Benutzerobjekt kopiert, dann...
3. DNS für AD: Die offiziellen Empfehlungen
   Microsofts Support-Team hat nun die offizielle Liste der Empfehlungen für...

Der Ressourcen-Manager für Dateiserver ist also ein rundum nützliches Werkzeug, das in die Werkzeugsammlung eines jeden Administrators gehört. Ein weiterer Vorteil ist die sehr einfache Einrichtung und Konfiguration des Ressourcen-Manager für Dateiserver.

Neulich bei einem Kunden kam das Problem auf, dass der Platz für die Datensicherung nicht mehr ausreichte. Leider kann man bei diesem Kunden nicht mit Kontingenten auf den Laufwerken arbeiten. Die Mitarbeiter nutzen hier sehr große Videodateien und andere Binärdaten, die auch recht schnell auf ein Gigabyte und mehr anwachsen können. Die einzelnen Laufwerke der Server sind mit mehreren Terabyte an Daten gefüllt. Was liegt also näher, als einfach mal einen Speicherreport zu erstellen. Ziel des Speicherberichtes war es, Duplikate dieser Video- und Binärdateien aufzuspüren und dann entsprechend zu löschen. Nach einer kurzen Diskussion hatte ich die Freigabe des dort angestellten Administrators und konnte den Ressourcen-Manager für Dateiserver installieren. Nach der Installation und einem anschließenden Neustart machte ich mich an die Erstellung des Berichtes, und von da an nahm das Unheil seinen Lauf.

Nachdem ich das Laufwerk mit dem größten Datenvolumen identifiziert hatte, wollte ich für dieses Laufwerk einen Speicherbericht erstellen. Nach dem Einrichten und dem Klicken auf „OK“ ereilte mich diese Fehlermeldung:

Für mich kam diese Fehlermeldung genauso unerwartet wie für den Server. OK, was also tun? Der erste Blick ging also in das Ereignisprotokoll, denn das wurde mir ja in der sehr ausführlichen Fehlermeldung vorgeschlagen. Das offenbarte mir dann Folgendes:

Ereignistyp: Fehler
Ereignisquelle: FSRM
Ereigniskategorie: Keine
Ereigniskennung: 0
Datum:  19.01.2008
Zeit:  11:03:27
Benutzer:  Nicht zutreffend
Computer: W2K3-SRV1
Beschreibung:
Unerwarteter Fehler beim MMC-Snap-In Ressourcen-Manager für Dateiserver
bei Microsoft.Storage.SrmMmc.ReportTask.SaveChanges(ISrmReportManager reportManager)
bei Microsoft.Storage.SrmMmc.StorageReportTaskPropertySheet.SaveChanges()
bei Microsoft.Storage.SrmMmc.PropertySheet.OnOkButtonClicked(Object sender, EventArgs eventArgs)
Ungültiges Argument: NamespaceRoots[0] = 'E:\'
bei Microsoft.Storage.SrmMmc.ISrmReport.put_NamespaceRoots(Object[] namespaceRoots)
bei Microsoft.Storage.SrmMmc.ReportTask.SaveChanges(ISrmReportManager reportManager)
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Super! Das Laufwerk „E:\“ ist also ein ungültiges Argument. Warum es ein „ungültiges Argument“ ist, bleibt aber offen. Der Eintrag im Ereignisprotokoll brachte mich also auch keinen Schritt weiter.

Da ging mir kurzzeitig folgendes durch den Kopf: Da steh ich nun, ich armer Tor!
Und bin so klug als wie zuvor. (J.W.v.Goethe / Faust I)

Also hieß es wieder „selbst ist der Administrator“. Im nächsten Schritt habe ich mir gedacht, wenn das System mir nicht das Problem verraten will, dann muss ich selbst suchen. Eine andere Alternative blieb mir auch nicht übrig. Für alle Phänomene, die mit dem Dateisystem auftreten, bietet sich als Werkzeug „Filemon“ an. Mit Filemon kann man alle Zugriffe auf das Dateisystem in Echtzeit verfolgen. Also habe ich die Zugriffe des Ressourcen-Manager für Dateiserver protokolliert. Das Ergebnis sah so aus:

Aha, siehe da, ein „ACCESS DENIED“ für den Prozess „srmhost.exe“. Dieser Prozess ist der Dienst, unter dem der Ressourcen-Manager für Dateiserver läuft. Der Dienst selbst läuft unter dem Benutzerkonto „SYSTEM“. Warum kommt aber hier diese Fehlermeldung? Als Nächstes habe ich mir also die NTFS Berechtigung des Laufwerks angesehen und hier lag auch des Rätsels Lösung:

(Berechtigungen des Laufwerks)

(Standardberechtigungen eines NTFS Laufwerks nach der Formatierung)

Der Administrator vor Ort hatte die NTFS Berechtigungen des Laufwerks verändert und dem Benutzerkonto „SYSTEM“ die Zugriffsrechte auf das Laufwerk entzogen. Dadurch hat der Ressourcen-Manager für Dateiserver natürlich keinen Zugriff auf das Laufwerk.

Was mich an diesem Sachverhalt sehr ärgert, ist nicht das fehlende Benutzerkonto bzw. die fehlenden Berechtigungen, sondern die miserable Fehlerbehandlung innerhalb des Ressourcen-Manager für Dateiserver. Mit einer Fehlermeldung à la „Kein Zugriff auf das Laufwerk E:\“ hätte ich ca. vier Stunden eher im Feierabend sein können. Schade, dass an der Fehlermeldung nicht dieser Button existierte:

http://www.youtube.com/watch?v=1Q_EPUXlyME

Ich hätte nur zu gern davon Gebrauch gemacht …

Keine verwandten Beiträge.

Leider bringt man dadurch sein Active Directory auch in Gefahr. Durch dieses Recht könnte eine Person, die entsprechende Berechtigungen besitzt, eine unbegrenzte Anzahl von Objekten anlegen. Das heißt also, sie kann die Datenbank durch unbedarfte Experimente oder mit bösen Absichten bis zum Platzen füllen. Dadurch würde dann ein erhöhtes Replikationsaufkommen zwischen den Domänencontrollern auftreten. Die Folge wären dann erhöhte Replikationslatenzen. Durch diese Latenzen könnte es passieren, dass wichtige Informationen verspätet auf andere Domänencontroller repliziert werden. Ein weiteres mögliches Szenario wäre das Überlaufen der Festplattenpartition, auf der sich die Active Directory Datenbank befindet. Wie einfach so ein Angriff zu realisieren ist, demonstriert folgendes Skript:

set objRootDSE = GetObject("LDAP://rootDSE")

set objOU = GetObject("LDAP://ou=OU-Delegiert," & objRootDSE.Get("defaultNamingContext"))

For i=1 To 1000000

  set objUser = objOU.Create("User","cn=BenutzerNr" & i)

  objUser.Put "sAmAccountName", "BenutzerNr" & i

  objUser.Put  "givenName","Testbenutzer"

  objUser.Put "mail","hallo@hallo.de"

  objUser.Put "telePhoneNumber", "++49 (351) 123454678"

  objUser.Put "sn", "Test"

  objUser.Put "wwwHomePage","www.faq-o-matic.net"

objUser.SetInfo

objUser.AccountDisabled = False

objUser.SetPassword "Geheim$$2008"

objUser.Setinfo

next

Durch dieses Skript werden so ganz nebenbei 1.000.000 Benutzerobjekte angelegt. Diese belasten natürlich unnötigerweise die Active-Directory-Datenbank. Was kann man aber dagegen tun, um solche DoS-Attacken auf das AD zu verhindern?

Seit Windows 2003 gibt es die Möglichkeit, Kontingente auf das Active Directory zu vergeben. Dadurch kann ein Administrator bestimmen, wie viele Objekte ein Benutzer oder auch eine Sicherheitsgruppe im AD anlegen kann.

Wie funktioniert das Ganze aber? Microsoft stellt für die Verwaltung bzw. Einrichtung von Kontingenten leider kein grafisches Verwaltungsprogramm zur Verfügung. Um Kontingente auf eine Verzeichnispartition zu vergeben, muss der Administrator die Kommandozeile bemühen. Wie sieht das nun in der Praxis aus?

Nehmen wir einmal an, dass in der AD-Domäne „faq-o-matic.net“ die OU „OU-Delegiert“ existiert. Auf diese OU hat der Benutzer „Paul Schmidt“ das Recht bekommen, neue Benutzer anzulegen.

Mit dem Kommandozeilenprogramm „dsadd quota“ kann der Administrator dem Benutzer jetzt ein Kontingent einrichten.

dsadd quota -part dc=faq-o-matic,dc=net –acct  faq-o-matic\p.schmidt -qlimit 500

Durch dieses Kontingent ist jetzt der Benutzer Paul Schmidt auf das Anlegen von 500 Benutzern beschränkt.
Wie kann man jetzt aber die bereits angelegten Kontingente einsehen? Für diese Aufgabe kann man zum einen das Snapin „Active Directory Benutzer und Computer“ benutzen oder auch die Kommandozeile bemühen.

Um alle Kontingente einzusehen, reicht ein:

dsquery quota

Wer es etwas genauer wissen will, kann die Kommandozeile noch erweitern.

dsquery quota | dsget quota -dn -acct -qlimit

Wenn man jetzt noch einsehen will, wieviel ein Benutzer bereits von seinem Kontingent verbraucht hat, kann man das Kommandozeilenprogramm „dsget“ einsetzen.

dsget partition „dc=faq-o-matic,dc=net“ -topobjowner

Durch dieses Kommando kann man einsehen, wie viele Objekte ein Benutzer oder eine Gruppe in der angegebenen Partition besitzt. Standardmäßig gibt „dsget“ die ersten top zehn Benutzer aus. Man kann hier hinter den Parameter „-topjobowner“ eine Zahl angeben, die beeinflusst, wie viele Benutzer oder Gruppen angezeigt werden. Durch die Angabe von „0“ werden alle Benutzer angezeigt.
Vorsicht! Bei der Angabe von „0“ kann der Domänencontroller stark ausgelastet werden und die Abfrage kann sehr viel Zeit in Anspruch nehmen.

Was ist aber, wenn Paul vorhandene Objekte gelöscht hat? Werden diese Objekte auch in das Kontingent mit einbezogen? Die Antwort für diese Frage lautet „jein“. Wenn der Benutzer Objekte löscht, dann werden diese zu 100% für die Dauer der Tombstone Lifetime auf sein Kontingent angerechnet. In einer einheitlichen Umgebung unter Windows 2003 SP1, die nicht durch ein Update von Windows 2000 bzw. Windows 2003 installiert wurde, beträgt die Tombstone Lifetime 180 Tage. Unser Benutzer muss also für 180 Tage auch mit den gelöschten Objekten leben.
Windows wäre aber nicht Windows, wenn es dort nicht noch eine Möglichkeit gäbe, dieses Problem zu umgehen. Man kann für jede Partition eine globale Einstellung vornehmen, zu wie viel Prozent ein gelöschtes Objekt in die Kontingentberechnung eingeht. Diese Festlegung kann über die Kommandozeile getroffen werden:

dsmod partition "dc=faq-o-matic,dc=net" -qtmbstnwt 10

ACHTUNG! Der Parameter „-qtmbstnwt“ ist in der Hilfe von „dsmod partition“ falsch dargestellt. Dort steht als erforderlicher Parameter „-qtmbstawt“. Dieser Eintrag ist falsch!

Was heißt das nun in der Praxis:

In der obigen Kommandozeile haben wir also den Prozentsatz für die gelöschten Objekte in der Domänenpartition auf 10 Prozent festgelegt. Wenn unser Nutzer Paul ein Kontingent von 350 Objekten hat, dann kann er 3500 gelöschte Objekte besitzen, bevor sein Kontingent erschöpft ist.

Jetzt kommt natürlich der Test, ob unser oben angelegtes Kontingent auch Wirkung zeigt. Paul wird jetzt das Skript auf unser AD loslassen und damit den Versuch starten, unser AD lahm zu legen. Kurz nachdem Paul das Skript ausgeführt hat, schmettert ihm das Active Directory eine Fehlermeldung entgegen.

Pauls Kontingent wurde erschöpft und er kann keine weiteren Objekte im Active Directory anlegen. Dadurch wurde Pauls Angriff auf das AD verhindert.

Verwandte Beiträge:

1. DHCP-Server autorisieren ohne Organisations-Admin-Rechte
   Um in einer Active-Directory-Umgebung einen auf Windows 2000/2003 basierenden DHCP-Server...
2. IIR Admin Tech Talk 2010: Folien und Skripts meiner AD-Sessions
   Am 27. und 28. September 2010 fand in Oberursel bei...
3. Wie kann ich den Pfad zum Home-Folder mehrerer Benutzer (oder auch andere Werte) ändern?
   Unter Windows 2000 war es leider nicht möglich, bei mehreren Objekten...

Um die Kennwortrichtlinien technisch zu realisieren, hat Microsoft zwei neue Klassen im AD definiert. Um diese Klassen bzw. die eigentliche Funktion nutzen zu können, muss sich die Domäne im Funktionslevel "Windows Server 2008" befinden. Die Klasse "ms-DS-Password-Settings-Container" ist dafür zuständig, neue Kennwortrichtlinien aufzunehmen.
Das eigentliche Objekt dafür wird automatisch während der Installation von Active Directory in der Domänenpartition eingerichtet. Die Klasse "ms-DS-Password-Settings"  stellt die eigentlichen Kennwortrichtlinien dar. Diese Richtlinien müssen innerhalb des Containers "Password Settings Container" angelegt werden. Finden kann man diesen Container unter folgendem Distinguished Name:

"CN=Password Settings Container,CN=System,DC=testdom,DC=de"

Wer jetzt denkt, dass er die angelegten Richtlinien mit einer Organisationseinheit verknüpfen kann, ist leider auf dem Holzweg. Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen. Dies muss aber kein Nachteil sein, denn man kann dadurch Mitglieder einer administrativen Gruppe zwingen, wesentlich sicherere Kennwörter zu nutzen als die normalen Benutzer, die sich in der gleichen Organisationseinheit befinden.

Jetzt könnte es durch diesen Sachverhalt passieren, dass durch direkte oder indirekte Gruppenmitgliedschaften der Benutzer mit mehreren Kennwortrichtlinien verknüpft ist. Um die effektive Richtlinie zu ermitteln, nutzt der Windows-Server-2008-Domänencontroller das Attribut "ms-DS-Password-Settings-Precedence" der Klasse "ms-DS-Password-Settings". Dieses Attribut kann mit einem beliebigen Integer-Wert gefüllt werden. Als Mindestwert ist hier "1" vorgegeben. Die Kennwortrichtlinie mit dem niedrigsten Wert im Attribut "ms-DS-Password-Settings-Precedence" hat die höchste Priorität und setzt alle anderen Richtlinien außer Kraft. Sollte es passieren, dass zwei Richtlinien die gleiche Priorität besitzen, dann wird die Richtlinie gezogen, die die kleinste GUID hat. Dieser Vorgang ist natürlich nicht sonderlich transparent. Deshalb empfiehlt Microsoft, für jede Kennwortrichtlinie eine eindeutige Priorität zu vergeben. 

Ablaufdarstellung der Kennwortrichtlinienauswertung

Zum Anlegen einer eigenen Richtlinie ist im Container "Password Settings Container" ein neues "msDS-Password-Settings" Objekt zu erstellen.

Als Erstes gibt man dem Objekt einen CN. In meinem Beispiel habe ich den Namen "Policy-Restricted" gewählt.

Im nächsten Schritt werden alle verbindlichen Attribute des Objekts abgefragt.

• msDS-PasswordSettingsPrecedence = Kennwortrichtlinienpriorität
• msDS-PasswordReversibleEncryptionEnabled = Kennwort mit umkehrbarer Verschlüsselung speichern
• msDS-PasswordHistoryLength = Kennwortchronik erzwingen
• msDS-PasswordComplexityEnabled = Kennwort muss Komplexitätsvoraussetzungen entsprechen
• msDS-MinimumPasswordLength = Minimale Kennwortlänge
• msDS-MinimumPasswordAge = Minimales Kennwortalter
• msDS-MaximumPasswordAge = Maximales Kennwortalter
• msDS-LockoutThreshold = Kontensperrschwelle
• msDS-LockoutObservationWindow = Zurücksetzungsdauer des Kontosperrungszählers
• msDS-LockoutDuration = Kontosperrdauer

Bei allen Attributen, die mit Zeitwerten zu tun haben, muss der Administrator etwas Rechenarbeit leisten. Diese Zeitwerte werden als ein Vielfaches von -100 Nanosekunden dargestellt. Dadurch wird zum Beispiel das minimale Kennwortalter von einem Tag folgendermaßen errechnet:

-24*60*60*(10ˆ7) = -864000000000

Ich habe für meine Testrichtlinie folgende Werte festgelegt:

msDS-MinimumPasswordAge = -864000000000  = 1 Tag
msDS-MaximumPasswordAge = -17280000000000 = 20 Tage
msDS-LockoutObservationWindow = -36000000000 = 1 Stunde
msDS-LockoutDuration = -72000000000 = 2 Stunden

Im nächsten Schritt muss diese Richtlinie einem Benutzer oder einer Gruppe zugewiesen werden. Ich habe mich in diesem Beispiel für eine Gruppe entschieden. Dadurch habe ich die Möglichkeit, durch die Mitgliedschaft in dieser Gruppe die Kennwortrichtlinien zu steuern, die sich auf ihre Mitglieder auswirken. Jede definierte Richtlinie besitzt ein Attribut mit dem Namen "msDS-PsoAppliesTo". Dieses Attribut ist ein multivalued Attribut, das also mehrere Werte aufnehmen kann. Als Wert müssen hier die Distinguished Names der einzelnen globalen Gruppen oder Benutzer hinterlegt werden, auf die sich diese Richtlinie auswirken soll.

In meiner Testumgebung habe ich eine Organisationseinheit mit dem Namen "Password-Policies" unterhalb der Domäne angelegt. In dieser Organisationseinheit befindet sich eine globale Gruppe  "Pass-Test". Mit dieser Gruppe möchte ich meine Kennwortrichtlinie verknüpfen.

Ich fülle also das Attribut "msDS-PsoAppliesTo"  meiner Kennwortrichtlinie mit dem Distinguished Name meiner globalen Gruppe.

CN=Pass-Test,OU=Password-Policies,DC=testdom,DC=de

Zusätzlich befindet sich in meiner Organisationseinheit ein Benutzer "Frank Röder". Diesen Benutzer mache ich zum Mitglied der Gruppe "Pass-Test". Dadurch wirken sich jetzt die Einstellungen meiner Richtlinie auf diesen Benutzer aus.
Überprüfen kann man die effektive Richtlinie natürlich auch. In der MMC "Active Directory Benutzer und Computer" befindet sich in den Eigenschaften eines Benutzerobjekts eine Registerkarte "Attribute Editor". Darüber kann man alle Attribute eines Benutzerobjekts einsehen. Für uns ist hier das Attribut "msDS-ResultantPSO" interessant. Dieses Attribut wird mit dem distinguished Name der effektiven Kennwortrichtlinie aufgefüllt.

ACHTUNG! Bei diesem Attribut handelt es sich um ein "constructed Attribute", das bedeutet, es wird zur Laufzeit erstellt und kann nicht in LDAP-Suchfiltern verwendet werden. Man kann also keine Suche starten à la "Gib mir bitte alle Benutzer zurück, auf die sich Richtlinie "xyz" auswirkt." 

Verwandte Beiträge:

1. Abgestufte Kennwortrichtlinien endlich komfortabel
   Windows Server 2008 hat als neue Funktion die so genannten...
2. Mitglieder einer AD-Gruppe mit Zusatzdaten ausgeben
   MItglieder einer Gruppe werden in Active Directory an zwei Stellen...
3. Flexible Kennwortrichtlinien
   In vielen Firmen ist die Situation hinsichtlich der Kennwortsicherheit leider...

Um dieses Ziel zu erreichen, haben Nils Kaczenski und ich ein kleines VB-Script geschrieben, das diesen Job übernimmt. Das Skript liest in einer bestimmten OU alle Benutzerkonten aus und verwendet von diesen den SamAccountName (Prä-Windows-2000-Anmeldename) plus das Standardkennwort, um ein Netzlaufwerk auf einem Fileserver zu mappen. Wenn dieses Netzlaufwerkmapping gelingt, dann kann man davon ausgehen, dass dieses Benutzerkonto noch das Standardkennwort verwendet. Sollte ein Fehler dabei auftreten, dann verwendet dieses Konto kein Standardkennwort mehr.

Alle Benutzerkonten, unter denen das Netzlaufwerkmapping funktioniert, werden in einer Textdatei protokolliert. Wichtig ist noch, dass der Fileserver, auf dem die Testfreigabe erstellt wurde, um das Netzlaufwerk zu mappen, kein DC ist (dieser würde nicht mehrere Verbindungen unter verschiedenen Benutzerkontexten gleichzeitig vom selben Rechner zulassen), sondern ein Memberserver oder im einfachsten Falle eine Workstation.

Das Skript wird folgendermaßen in der CMD aufgerufen:
cscript check_standard_password.vbs

Das Skript hier einfach per Copy&Paste in eine Textdatei einfügen und als „check_standard_password.vbs“ abspeichern.

   1: '=================================================================

   2: '

   3: '

   4: ' NAME: check_standard_password 

   5: '

   6: ' AUTHOR: Nils Kaczenski, Frank Röder

   7: ' DATE  : 17.01.2007

   8: '

   9: ' COMMENT: Teamarbeit;-)

  10: '

  11: '=================================================================

  12: 'Hier die einzelnen Variablen definieren

  13: 'DN der OU, die durchsucht werden soll

  14: strDN = "" 'Beispiel "OU=TestOU,OU=oberOU,DC=test,DC=de"

  15: 'Pfad zum Logfile, in dem die User mit Standardkennwort eingetragen werden

  16: sollen

  17: strLogPath = "" 'Beispiel "c:\logfile.txt"

  18: 'UNC-Pfad, der zum Test gemappt werden soll

  19: strTestUNC = "" 'Beipiel "\\testserver\testshare"

  20: 'Wie sieht das Standardkennwort aus?

  21: strPass = "" 'Beispiel "Standardkennw0rt"

  22: 'AB HIER NICHTS MEHR VERÄNDERN!

  23: '===========================================================================

  24:

  25: Set objOU = GetObject ("LDAP://" & strDN)

  26: objOU.Filter = Array("User")

  27: Set objNet = CreateObject ("WScript.Network")

  28: Set objFso = CreateObject("Scripting.FileSystemObject")

  29: Set objTs = objFso.OpenTextFile(strLogPath, 2, True)

  30: objTs.WriteLine Now

  31: objTs.writeline("Folgende Benutzer verwenden noch " _

  32:     & "das initiale Kennwort:")

  33: Set WshShell = WScript.CreateObject("WScript.Shell")

  34: On Error Resume Next

  35: For Each user In objOU

  36:     ' Usernamen ausgeben

  37:     WScript.Echo user.Name

  38:     ' Test: Laufwerk verbinden

  39:     objNet.MapNetworkDrive "X:", strTestUNC, _

  40:         , user.SamAccountName, strPass

  41:     ' Fehler aufgetreten?

  42:     If Err.Number = 0 Then

  43:         ' Nein, User protokollieren

  44:         objTs.writeline(user.Samaccountname)

  45:     Else

  46:         ' Ja, Fehler anzeigen

  47:         WScript.Echo "Fehler " & Err.number _

  48:             & " (" & Err.Description & ") " _

  49:             & "bei User: " & user.Name

  50:         Err.Clear

  51:     End If

  52:     objNet.RemoveNetworkDrive "X:"

  53: Next

Verwandte Beiträge:

1. Benutzern einmalig Nachrichten anzeigen
   Problem Wegen Updates oder ähnlichem ist es nötig, zu unterschiedlichen...
2. Dienst- und Task-Konten identifizieren
   Es ist keine schlechte Idee, die Kennwörter von Dienst- und...
3. AD-Informationen schnell auslesen
   Neben eineAm klassischen ADSI-Skript gibt es eine relativ einfache Möglichkeit,...

ACHTUNG: Die Freigabe selbst wird nicht ausgeblendet, auch wenn der Benutzer keine Zugriffsrechte hat. Lediglich der Inhalt einer Freigabe wird ausgeblendet, auf den keine Zugriffsrechte bestehen.

Was benötigt man dafür:

• Windows 2003 Server SP1
• Download ABE

Der Download für ABE ist ca. 800 KB groß. Nachdem man es heruntergeladen und installiert hat, ist man sofort einsatzbereit. In den Eigenschaften des freigegebenen Ordners findet man jetzt eine neue Registerkarte "Access Based Enumeration", mit der man das Feature aktivieren kann. Microsoft sagt, das sich dieses Feature nicht negativ auf die Performance des Fileservers auswirkt.

Weitere Informationen findet ihr auch bei Microsoft in TechNet.

Einige hochwertige Drittanbieter-Systeme haben ABE übrigens ebenfalls integriert. Das trifft beispielsweise auf die Storage-Systeme (Filer) von Network Appliance zu, die seit der Betriebssystemversion Data ONTAP 7.2 (Herbst 2006) das ABE-Feature unterstützen.

Verwandte Beiträge:

1. Servermigration mit Netbios-Aliases
   Sunday, 24 October 2004 Es gibt seit Windows NT die...
2. NTFS-Platten mit NT4 und Windows 2003 nutzen
   Aus einer aktuellen Situation in einem Migrationsprojekt habe ich getestet,...
3. Warum kann ein Benutzer Dateien ändern, für die er keine Rechte hat?
   Benutzer können Dateien löschen, auf die sie keinen Zugriff haben....

Was liegt da näher, als solche dringenden Nachrichten direkt per SMS auf ein Handy zuzustellen. Grundsätzlich ist der Versand von SMS Nachrichten über ein an dem Com-Port angeschlossenes Handy über AT-Befehle möglich. Diese könnte man mit dem Hyperterminal an das Handy senden. Leider lässt sich aber das Hyperterminal nicht automatisieren. Durch Zufall bin ich auf die Webseite www.smslib.org aufmerksam geworden.

Der Autor Thanasis Delenikas hat dort eine Library veröffentlicht, mit der man unter .NET 2.0 SMS versenden kann. Ich habe diese Library genutzt und eine kleine C# Konsolenanwendung erstellt, die es ermöglicht, SMS von der Kommandozeile aus zu versenden. Nach der Installation kann man diese Anwendung folgendermaßen aus einer Batchdatei aufrufen:

cmdsms.exe -Comport COM1 -Baudrate 57600 -Nummer +491722344321 -Message "EineNachricht mit max. 160 Zeichen"

Der Parameter "-Comport" gibt den COM-Port an, an dem das Handy angeschlossen ist. Über den Parameter "-Baudrate" wird die Baudrate für die Kommunikation mit dem Handy festgelegt. Über den Parameter "-Nummer" wird die Empfängernummer festgelegt. Bitte hier versuchen, das internationale Format zu nutzen. Mit dem Parameter "-Message" wird die Nachricht festgelegt. Die Länge der Nachricht ist auf 160 Zeichen beschränkt. Sollte die Zeichenanzahl überschritten werden, dann schneidet "cmdsms.exe" alle weiteren Zeichen ab.

Das Tool kann hier heruntergeladen werden:

ACHTUNG! Ich übernehme keinerlei Garantie für die korrekte Funktionsweise des Tools und kann natürlich auch keinerlei Support leisten. Sie können dieses Tool frei einsetzen und auch weiterverbreiten.

Vorraussetzungen:
.Net 2.0 Framework
Ein an einem COM-Port angeschlossenes Handy (bzw. ein GSM-Modem)

Verwandte Beiträge:

1. Kann ich eine Domäne oder einen DC umbenennen?
   Das Umbenennen einer Domäne oder eines Domänencontrollers wurde zwischen Windows...
2. Wie kann ich die Mitglieder einer Gruppe in eine Datei schreiben?
   Natürlich gibt es auch hierzu mehrere (kostenlose) Möglichkeiten – hier...
3. Sparkassen-Sicherheit: Eine Reaktion
   Vor einigen Tagen berichtete ich über ein IT-Sicherheitsproblem, das mir...