Soeben habe ich die Version 2.2 von José online gestellt. José ist ein skriptbasiertes Werkzeug zur Dokumentation von Active Directory. Folgende Änderungen habe ich vorgenommen:

• Korrektur der Kontensperrdauer bei 0 Minuten (wurde vorher falsch angezeigt und führte zu Verarbeitungsfehlern)
• José gibt in der Domänen-Info die Kontensperrungsrichtlinie jetzt immer aus
• Ergänzungen Schema-Versionen (Windows Server 2008 R2 und „unbekannte“ Versionen)
• Die mitgelieferten Standard-Reports lassen sich jetzt über eine Batchdatei automatisch erzeugen. Zur Unterscheidung verschiedener Versionen hängt das Batch eine Zufallszahl an den Dateinamen an.

Hier der Download:

  José Active-Directory-Dokumentation (89,7 KiB, 203.084-mal heruntergeladen, letzte Änderung am 30. April 2025)

Vorbemerkung

Dieses ist der zweite Teil der Blogreihe „Active Directory Security – Den GAU verstehen und verhindern“. In diesem Teil werden Verfahren aufgezeigt wie man sich durch die Einführung von administrativen Sicherheitsgrenzen wirkungsvoll vor dem super GAU schützen kann, wie man diese Sicherheitsgrenzen plant und wie man sie letztendlich auf technischer Ebene umsetzen kann.

… weiterlesen

Vielen Dank an alle Teilnehmerinnen und Teilnehmer am 4. Juni in Hannover! Es hat uns großen Spaß gemacht.
Auch Lingen am 11. Juni ist nun restlos ausgebucht!

Mit Spannung erwartet die IT-Community Microsofts neues Betriebssystem Windows 7. Die Vorabversionen sind tausendfach im Einsatz und haben begeisterte Reaktionen hervorgerufen.

Weniger bekannt, aber nicht weniger spannend ist der neue Windows Server 2008 R2 mit derselben Code-Basis wie Windows 7. Funktionen wie BranchCache, DirectAccess oder der erweiterte Hyper-V 2.0 versprechen echte Mehrwerte für Admins und Anwender.

Zeit und Grund genug, einen näheren Blick auf das neue Windows zu werfen. Wie fühlt es sich an, was kann es? Und vor allem: Wird es den Durchbruch bei Firmenkunden schaffen?

Die Communities faq-o-matic.net, NTUG und ice:2009 laden gemeinsam mit dem STEP-Programm herzlich ein zum kostenlosen Workshop „Windows 7: Jetzt wird’s ernst!“ am 4. Juni 2009 in Hannover (Seelze) und am 11. Juni 2009 in Lingen. Live on Stage: Marc Grote (MVP Security) und Nils Kaczenski (MVP Directory Services). Die Agenda kann sich sehen lassen, und zu gewinnen gibt es auch noch was.

» Details, Agenda und Anmeldung

Ich stehe kurz davor, Windows 7 (RC) in den Produktionsbetrieb zu übernehmen. Dank der praktischen Möglichkeit, eine lokale Installation in eine VHD-Datei vorzunehmen, konnte ich die Hardware direkt per Dual-Boot testen, ohne meine Platte neu partitionieren zu müssen. Wie schon bei der Betaversion erkannte auch der RC sämtliche Hardware auf Anhieb. Nur die Software für die UMTS-Verbindung musste ich noch nachinstallieren.

Blieb nur der letzte Praxistest für eine Funktion, auf die ich keinesfalls verzichten kann: Die VPN-Verbindung in die Firma. Unter Vista hatte ich mit dem Watchguard-Client (Mobile VPN 10.04) keine Probleme, lief sehr rund. Aber 7?

… weiterlesen

Vorbemerkung

In den vielzähligen Security Audits und Penetrationstest, die wir in den letzten Jahren bei unseren Kunden durchgeführt haben, sind wir erschreckend oft auf schwerwiegende Sicherheitslücken im Bereich des Microsoft Active Directory gestoßen. Die Sicherheitslücken, die wir hierbei klassifizieren konnten, haben in den meisten Fällen dafür gesorgt, dass wir uns binnen weniger Stunden (meist am ersten Tag) einen administrativen Vollzugriff auf das gesamte Active Directory erschlichen haben und somit auch meistens einen uneingeschränkten Zugriff auf sämtliche  informationstechnologischen Werte des Unternehms. Ein GAU halt…

Das Erstaunliche an den von uns beobachteten Sicherheitsschwachstellen ist, dass es sich hierbei nicht um Softwarefehler im klassischen Sinne (e.g. Bug) oder um mangelnde Funktionalitäten seitens der Windows Plattform handelt (Unsecure by Design), sondern ausschließlich um elementare Sicherheitsgrundsätze, die beim Design einer Active Directory-Infrastruktur und insbesondere in der Verwaltung des Active Directorys verletzt wurden.

In der folgenden Blogreihe „Active Directory Security – den GAU verstehen und verhindern“ möchte ich genauer auf diese Probleme eingehen, die Ursachen erläutern und hierbei Ansätze aufzeigen, wie man die Probleme an der Wurzel beseitigen bzw. entschärfen kann.

… weiterlesen

Soeben ist der Release Candidate für Windows 7 und Windows Server 2008 R2 für Abonnenten von MSDN, TechNet und Connect freigegeben worden.

“Alle anderen” sollen dann ab dem 5. Mai zugreifen können.

Übrigens: Entgegen vorheriger Ankündigungen akzeptiert der RC doch denselben Product Key wie die Betaversion.

Kurz vor dem Release eines neuen Kernprodukts wird es ja immer spannend. Windows 7 gehört ganz sicher in diese Kategorie. Schon seit Wochen wird darüber spekuliert, wann denn die nächste Vorabversion kommt – der Release Candidate. Die einschlägigen “Ich bin der erste”-Medien überbieten sich gegenseitig mit scheinbaren Insider-Informationen.

Zuletzt hatte allerdings ausgerechnet der Hersteller selbst diese Diskussion angeheizt, wenn auch vermutlich nur aus Versehen. Vor etwa einer Woche (am 17. bzw. 18. April, je nach Zeitzone) tauchte auf einer Microsoft-Seite für Vertriebspartner die Ankündigung auf, dass der Release Candidate ab sofort für Partner zum Download bereitstehe und dass es eine öffentlich verfügbare Downloadmöglichkeit ab dem 5. Mai gebe. Wow! Nur – stimmte gar nicht.

Kurze Zeit später verschwand diese Webseite dann auch wieder. Alles deutete also auf ein Versehen hin. Nun aber gibt es eine neue Ankündigung aus berufener Quelle, diesmal nämlich auf dem Blog der Windows-Entwickler. Demnach steht der RC ab dem 30. April für Abonnenten von MSDN und TechNet und ab dem 5. Mai für “alle” zur Verfügung.

[Windows 7 Release Candidate Update – Windows 7 Team Blog – The Windows Blog]
http://windowsteamblog.com/blogs/windows7/archive/2009/04/24/windows-7-release-candidate-update.aspx

Was die Vermutung nährt, dass die Partner-Webseite durchaus den richtigen Termin angekündigt hat, aber versehentlich zu früh freigeschaltet wurde. Nun müssen wir nur noch schauen, ob es denn diesmal auch stimmt …

Windows Server 2008 ist das erste Serversystem von Microsoft, das mit standardmäßig aktivem IPv6 kommt (dasselbe gilt übrigens auch für Vista). Viele Administratoren schalten IPv6 ab, weil sie es nicht beherrschen und es im LAN auch nicht produktiv einsetzen. Das ist allerdings oft keine gute Idee: Einige Funktionen und Applikationen (vor allem Exchange) laufen nicht fehlerfrei, wenn IPv6 abgeschaltet ist. In den meisten dieser Fälle verschwindet das Problem, wenn man IPv6 wieder aktiviert und den Server neu startet.

Beispiele:

[Exchange Update Rollup 7 – Desaster…]
http://social.technet.microsoft.com/Forums/de-DE/exchange_serverde/thread/5201442c-1237-45ea-b0b7-c0f1a580f0b2#6fd3a041-a37b-4247-8ba4-56deaf3323e4

[MSXFAQ.DE – IPV6]
http://www.msxfaq.de/konzepte/ipv6.htm

[Die ersten Fragen zu Exchange 2010 – Exchange, Security and Active Directory]
http://msmvps.com/blogs/wstein/archive/2009/04/17/die-ersten-fragen-zu-exchange-2010.aspx

Noch deutlicher steht es im AskDS-Blog:

It’s a common misconception that unchecking IPv6 disables the protocol when in fact all it does is introduce transient errors. Windows Vista and later operating systems heavily rely upon IPv6 for internal operation, which means the protocol cannot be disabled or uninstalled entirely. Unchecking IPv6 on the adapter settings only unbinds the protocol from the NIC and the OS can still attempt to send remote traffic to the NIC where it never hits the wire.

[Ask the Directory Services Team : DFS Referrals and IPv6: Outta site!]
http://blogs.technet.com/askds/archive/2009/10/28/dfs-referrals-and-ipv6-outta-site.aspx

Aus einer aktuellen Situation in einem Migrationsprojekt habe ich getestet, ob sich eine Festplatte mit NTFS-Partitionen, die unter Windows NT 4.0 erzeugt wurde, auch an einen Server unter Windows Server 2003 anbinden lässt. Aus meiner Erinnerung war ich mir sicher: Muss gehen. Aus alten Windows-2000-Zeiten wusste ich noch, dass NTFS zwar mit Windows 2000 überarbeitet wurde, aber NT kann seit SP4 damit umgehen. Nur: Gilt das auch noch für Windows 2003? Und: Klappt das wirklich?

… weiterlesen

Es gibt immer wieder Dinge, die einen unnötig lange aufhalten. Jetzt hatte ich einen Fall mit VMware Workstation 6.5. Um einen Test auszuführen, wollte ich eine virtuelle Festplatte, die ich in einer VM erzeugt hatte, an eine andere VM anbinden. Okay, kein Problem: Der einen VM eine Platte hinzugefügt, VM gestartet, Platte eingebunden und ein paar Daten drauf. VM runtergefahren, Platte wieder entfernt. Der anderen VM die Platte angebunden und – VMware meldet einen Fehler: Die Platte sei inkompatibel.

… weiterlesen