In einem Kundenprojekt hatte ich neulich ein seltsames Phänomen. In der Umgebung läuft VMware vSphere 4 zur Virtualisierung einiger Serversysteme. Alle neu eingerichteten virtuellen Maschinen starteten dort mit einer nicht korrekten Systemzeit: Meist waren sie mehrere Stunden in der Zukunft. Ein Zeitzonenproblem war es nicht, denn die Abweichung war “krumm” und nicht auf volle Stunden beschränkt.

Die Besonderheit: In der Umgebung des Kunden läuft ein eigener NTP-Server zur Zeitsynchronisation, die Gesamtumgebung nutzt also nicht die allgemein im Internet verfügbaren Zeitserver. Wie sich herausstellte, war genau das das Problem.

… weiterlesen

Ned Pyle vom Active-Directory-Teamblog bei Microsoft hat eine Liste von Empfehlungen zusammengetragen, die der Microsoft-Support an Kunden ausspricht, wenn es um die DNS-Konfiguration von Domänencontrollern geht. Die meisten der Argumente und Empfehlungen entsprechen dem, was auch in unseren eigenen Artikeln genannt ist.

Der Originalartikel ist hier:

[Friday Mail Sack: Saturday Edition – Ask the Directory Services Team – Site Home – TechNet Blogs]
http://blogs.technet.com/b/askds/archive/2010/07/17/friday-mail-sack-saturday-edition.aspx

Und hier die Liste als vollständiges Zitat:

… weiterlesen

Nur noch 47 Tage! Am 14. August findet in Lingen die \\ice:2010 statt. Die 300 Plätze sind ausgebucht. Doch noch ist die Hoffnung nicht verloren: Ab dem 26. Juli verlosen wir auf faq-o-matic.net die letzten zehn Last-Minute-Karten!

Wenn ihr über das reguläre Verfahren also keinen Platz mehr bekommt – schaut am 26. Juli hier vorbei. Alles Nähere findet ihr dann hier!

  Gadget: ice:2010-Countdown (16,8 KiB, 3.212-mal heruntergeladen, letzte Änderung am 28. März 2010)

Aufgrund vielfacher Nachfrage bieten wir euch in diesem Sommer ein faq-o-matic.net-T-Shirt an! Weil wir aber immer ein wenig anders sind und weil zur Community eben auch das Selbermachen gehört, könnt ihr bei uns keine fertigen Shirts bestellen. Stattdessen bekommt ihr eine Druckvorlage – Farbe, Form und Größe eures Shirts bestimmt ihr damit vollkommen selbst. Ladet euch einfach das Vorlagenset herunter und nutzt die vordere (Pfeil-Motiv) sowie die hintere Vorlage (faq-o-matic.net-Logo) im passenden Format bei dem Dienstleister eurer Wahl.

Wäre doch gelacht, wenn wir die Sommermode 2010 nicht noch gedreht kriegten! 😉

… weiterlesen

Seit Kurzem gibt es zum Themenfeld Active Directory eine deutschsprachige Mailingliste. Das ist quasi ein Support-Forum per E-Mail. Wer der Liste beitritt, erhält alle Beiträge und kann auch selbst Frane oder Antworten an alle Mitglieder senden.

Bereits nach wenigen Tagen hat die Gruppe laut Gründer Yusuf Dikmenoglu die Marke von 50 Mitgliedern erreicht. Darunter sind Admins, Berater, MVPs und auch Support-Mitarbeiter von Microsoft. Die Diskussionsfrequenz ist beachtlich, und das technische Niveau lässt auch knifflige oder exotische Fragen zu. Ein echter Tipp!

Anmeldung über:

[FreeLists / Die erste deutschsprachige "Active Directory" Mailingliste]
http://www.freelists.org/list/adde

Listen-Archiv:

[adde Mailing List Archive]
http://www.freelists.org/archive/adde

Mit dem Service Pack 3 für Exchange Server 2007 ist es jetzt möglich, auf dem Windows Server 2008 R2 Exchange 2007 zu installieren. Allerdings gibt es Einschränkungen, welche zu beachten sind.

Nicht unterstützt ist die Installation von Exchange 2007 Service Pack 3:

• auf einem auf Windows Server 2008 R2 basierenden Computer, auf dem ein Upgrade aus Windows Server 2008 ausgeführt wurde.
• bei einem Upgrade aus Exchange 2007 SP2 auf Exchange 2007 SP3 auf einem auf Windows Server 2008 R2 basierenden Computer, auf dem ein Upgrade aus Windows Server 2008 ausgeführt wurde
• bei einem Upgrade des Betriebssystems aus Windows Server 2008 auf Windows Server 2008 R2 auf einem Computer, auf dem Exchange 2007 SP3 installiert ist.

Siehe ebenfalls:

Neuerungen in Exchange Server 2007 SP3

Exchange Server Supportability Matrix

Die Kennworteinstellungen in Active Directory nehmen in der Verarbeitung von Gruppenrichtlinien eine Sonderstellung ein. Zwar ist es in jedem Gruppenrichtlinienobjekt (Group Policy Object, GPO) möglich, Vorgaben für Kennwörter zu hinterlegen. Doch anders, als viele Admins annehmen, wirken sich solche Einstellungen nicht auf Domänenbenutzer aus, wenn man sie auf beliebige OUs verknüpft. In solchen Fällen haben die auf OUs gelegten Kennwortvorgaben nur einen Effekt auf Computerkonten, die in diesen OUs liegen, und konfigurieren dann die Einschränkungen für lokale Benutzerkonten dieser Rechner.

Die einzige Ebene, auf der sich Kennworteinstellungen für Domänenbenutzer festlegen lassen, ist die Domänenebene – damit gelten die Vorgaben immer für die gesamte Domäne. Erst in Windows Server 2008 hat Microsoft mit den “Fine-grained Password Policies” eine Möglichkeit eingeführt, differenziertere Konfigurationen einzusetzen.

Die Besonderheiten gehen aber noch weiter. Entgegen der allgemeinen Empfehlung, die beiden vordefinierten GPOs “Default Domain Policy” und “Default Domain Controllers Policy” nach Möglichkeit unberührt zu lassen und für eigene Richtlinien zusätzliche GPOs zu definieren, sollte man Kennworteinstellungen ausschließlich in der “Default Domain Policy” setzen. Warum ist das so?

… weiterlesen

Skripten in VBScript fehlt eine Möglichkeit, Kennwörter mit einem verdeckten Eingabefeld einzutippen. Eine halbwegs elegante Methode bietet sich per HTML, denn dort gibt es einen speziellen Typ des Steuerelements “INPUT”, das verdeckte Eingaben ermöglicht. Nun eignet sich aber längst nicht jedes Skript dazu, in eine HTML-Seite eingebettet zu werden, denn der im Internet Explorer enthaltene Skript-Host kennt einige Funktionen des WSH nicht. Mit anderen Browsern geht es gleich gar nicht.

… weiterlesen

Bei der Migration von einem IMAP-basierten Mailsystem nach Exchange 2010 tut sich eine unerwartete Hürde auf: Für IMAP gelten nämlich eigene Begrenzungen in der Mailgröße. Wer also vorhandene Daten per IMAP4 bei Exchange abliefern will, erhält bei Mails über 10 MB Größe Fehlermeldungen, und diese Objekte lassen sich nicht importieren.

Die üblichen Limitierungen, die bei Exchange 2010 nach der Installation auch meist auf 10 MB stehen, helfen hier nicht: Auch wenn man auf der Organisations-, Server- und Datenbankebene die Größenbeschränkung erhöht, scheitert der IMAP-Import.

… weiterlesen

Die Gruppe “Prä-Windows 2000 kompatibler Zugriff” ist in der ersten Version von Active Directory unter Windows 2000 eingeführt worden, um die Kompatibilität des AD mit einigen Anwendungen aus Windows NT 4.0 zu gewährleisten. Mit Hilfe dieser Gruppe war es möglich, anonymen Zugriff auf einige AD-Daten zu gewähren.

Diese Gruppe hat auf viele Objekte in AD Lese-Zugriffsrechte. Sie ist als Container gedacht: Unter Windows 2000 wurde in diese Gruppe die Pseudogruppe “Jeder” eingefügt, die seinerzeit auch anonyme Benutzer umfasste (also solche, die sich nicht an AD angemeldet haben). In späteren AD-Versionen wurde diese Mitgliedschaft auf die Pseudogruppe “Authentifizierte Benutzer” geändert, weil die alte Regelung erhebliche Sicherheitsprobleme nach sich zog. (Parallel wurde übrigens mit SP2 für Windows XP auch die Gruppe “Jeder” verändert: Seitdem umfasst “Jeder” nicht mehr die anonymen Benutzer – damit ist sie faktisch gleichbedeutend mit “Authentifizierte Benutzer”. Man könnte jetzt einwenden, dass die Funktion der Gruppe “Prä-Windows 2000 kompatibler Zugriff” damit verschwunden ist – und hätte Recht mit dem Einwand.)

Obwohl Microsoft empfiehlt, dass der Gruppe “Prä-Windows 2000 kompatibler Zugriff” keine Mitglieder sein sollten, definiert auch ein frisch installierter Windows Server 2008 R2 in einem neuen AD die “Authentifizierten Benutzer” als Mitglied. Diese Tatsache kann sehr hinderlich sein, wenn man das AD mit angepassten AD-Zugriffsrechten absichern möchte.

… weiterlesen