Ein gelöschtes Objekt verschwindet nicht sofort aus Active Directory. Aufgrund der komplexen Replikationsstruktur behält AD einige Grunddaten des Objekts als so genannten „Tombstone“ (Grabstein) zurück, damit der Löschvorgang korrekt bei anderen DCs ankommt. Seit Windows Server 2003 ist es möglich, solche Tombstones wiederzubeleben. Siehe hierzu auch unsere Artikel:

[faq-o-matic.net » Das Geheimnis der Tombstone Lifetime]
http://www.faq-o-matic.net/2006/07/28/das-geheimnis-der-tombstone-lifetime/

[faq-o-matic.net » Active-Directory-Daten online wiederherstellen]
http://www.faq-o-matic.net/2006/11/19/active-directory-daten-online-wiederherstellen/

Ein Werkzeug, das diese Wiederbelebung durchführt, ist ADRestore von Sysinternals. Es ist ein Kommandozeilenprogramm, und daher mögen manche Windows-Admins es nicht so sehr. Für diese mausverwöhnten Kollegen hat der israelische Mircosoft-Mitarbeiter Guy Teverovsky eine grafische Variante dieses Tools erzeugt. ADRestore.NET bringt ein ansprechendes GUI mit und bietet einige Bonbons.

[ADRestore.NET rewrite – Windowmaker’s blog]
http://blogs.microsoft.co.il/blogs/guyt/archive/2007/12/15/adrestore-net-rewrite.aspx

Ein interessantes neues Veranstaltungsformat bietet Microsofts Technik-Communiy TechNet in diesem Herbst: Der TechDay bietet einen ganzen Tag technische Sessions, Diskussion mit Experten, ein MS-Press-Buch zum Thema und einen Rabatt auf ein TechNet-Abo. Das Paket gibt es für 69 Euro in jeweils vier deutschen Städten.

[Microsoft TechDay 2008]
http://www.event-team.com/events/techday/Default.aspx

Die ersten beiden Touren stehen schon fest:

• „Dynamische IT“ (Schwerpunkt Virtualisierung) im Oktober in Hannover, Dortmund, Wiesbaden und Nürnberg
• „Infrastrukturlösungen für den Mittelstand“ (Schwerpunkt SBS 2008 und EBS 2008) im Dezember in Hamburg, dem Ruhrgebiet, Stuttgart und Würzburg

Ich freue mich besonders, als Moderator bei der ersten Tour mitwirken und alle Teilnehmer begrüßen zu können!

An allen Standorten gibt es noch Plätze, aber das Kontingent ist (natürlich) begrenzt. Die Anmeldung ist geöffnet.

Hier sind nun auch die Folien zu meinem Vortrag „Hype oder Nutzen in der IT? Was Mittelständler interessiert“ auf der ice:studies 2008 in Lingen.

Der Foliensatz liegt im XPS-Format vor, ein Viewer dafür ist notwendig (in Vista bereits enthalten, für andere hier auffindbar).

  \\ice:2008: Hype oder Nutzen in der IT - die Folien (3,5 MiB, 2.817-mal heruntergeladen, letzte Änderung am 8. September 2008)

Auf seiner Seite tools4net.de stellt Manfred Paleit einige Werkzeuge für Windows-Admins kostenlos zur Verfügung. Darunter sind Tools für Active Directory, WMI und andere. Ein Highlight: Die eben vorgestellte neue Version von AD Search Admin. Das Programm erlaubt komplexe Suchaufträge an den Verzeichnisdienst und ermöglicht dabei auch gleich, gefundene Objekte zu bearbeiten. Ein sehr interessantes Hilfsmittel für alle, die viel mit Active Directory zu tun haben.

[Tools4Net – Skripts and .NET Tools for Administration]
http://www.tools4net.de/index.htm

rendom.exe: Umbenennen einer Domäne – Schritt für Schritt. Dieses PDF-Dokument beschreibt den Idealfall einer Domänen-Umbenennung in Active Directory.

  Umbenennen einer AD-Domäne (494,7 KiB, 26.562-mal heruntergeladen, letzte Änderung am 2. September 2008)

Wie eben gerade im Vortrag versprochen – hier sind die Folien meines Vortrags „Active Directory als Datenspeicher? Was Sie beim Schema tun und lassen sollten“ auf der \\ice:2008 in Lingen.

Eine kleine Korrektur, auf die mich Frank Röder aufmerksam gemacht hat: Seit der MMC 3.0 kann man Erweiterungen der Admin-Oberfläche nicht nur in C++, sondern auch mit .NET entwickeln (Folie 16).

  \\ice:2008: Active Directory als Datenspeicher - die Folien (2,4 MiB, 4.924-mal heruntergeladen, letzte Änderung am 30. August 2008)

Windows Server 2008 hat die Terminaldienste deutlich erweitert. Unter anderem lassen sich RDP-Verbindungen nun über https durchs Web tunneln. Dieses neue Feature heißt „TS Web Access“.

Dieser Artikel im PDF-Format beschreibt eine konkrete Implementierung der Terminaldienste für den sicheren Zugriff durch Benutzer, die sich außerhalb des Unternehmensnetzwerks befinden.

  Veröffentlichen von TS Web Access über ISA (1,7 MiB, 8.130-mal heruntergeladen, letzte Änderung am 30. August 2008)

Als Grundlage eines TS 2008 dient in diesem Beispiel ein Server 2008 Standard Edition. Hierbei ist zu beachten, dass zur Aktivierung des Servers unter Umständen ein KMS benötigt wird (Lizenzkey). Nach abgeschlossener Installation und Aktivierung werden die nötigen Rollen für die Terminal-Dienste installiert.

Voraussetzung für einen funktionierenden Terminalserver 2008 sind die Installationen vom IIS7 und dem Network Policies und Access Service. Zur Nutzung des TS Web sind Clients mit Windows XP SP3 oder Vista SP1 erforderlich. Der Webdesktop benötigt das letzte RDP6.0 Update bei XPSP2 und Server 2003. Dazu am Ende nochmal Hinweise. Ebenfalls ist in diesem Beispiel eine interne Zertifizierungsinstanz vorhanden, um Computer wie Webserverzertifikate automatisiert zur Verfügung zu stellen.

Die Screenshots sind teilweise nachträglich anonymisiert worden, da es sich um eine Produktivinstallation und deren Dokumentation handelt.

… weiterlesen

Die Remotedesktopverwaltung ist jedem Administrator sicherlich ans Herz gewachsen. Dass durch das Aktivieren der Remotedesktopverbindungen auch User zumindest schon einmal bis zum Logonfenster des Servers kommen, ist hier aber ein kleines Ärgernis bzw. Sicherheitsrisiko. Zumindest wird der eine oder andere User versuchen, ob ihm eine erfolgreiche Anmeldung möglich ist. Man könnte natürlich den Zugriff auf RDP durch entsprechende Firewallregeln schützen. Das ist aber unter gewissen Umständen nicht so einfach möglich.

Ein nützliches Tool, was ich schon länger in meiner Werkzeugkiste habe, ist „2xSecureRDP4“. Mit diesem Tool hat man die Möglichkeit, seine RDP Zugänge besser abzusichern. Der Administrator kann hier die RDP Verbindungen auf Basis der IP-Adresse, der MAC Adresse, des Client Computernamens, der Clientversion oder auch der Tageszeit festmachen. Dadurch ist diese Lösung wesentlich flexibler als das Einrichten von Firewallregeln. Wer es möchte, kann dann auch noch für die einzelnen Filter eigene Popup Meldungen definieren, die dem User dann angezeigt werden, wenn er einen Verbindungsversuch startet, der auf einen Filter passt. Alles in allem ein sehr nützliches Tool, was zudem auch noch Freeware ist und unter Windows Server 2000 und Windows Server 2003 installiert werden kann. Heruntergeladen werden kann es z.B. unter http://www.download25.com/2x-securerdp-for-terminal-services-download.html.

Gestern bin ich auf ganz was Altes reingefallen: Das Kommando „Move“ zum Verschieben oder Umbenennen von Ordnern in der CMD-Konsole (den Älteren unter uns noch bekannt aus DOS-Zeiten, aber natürlich auch in Vista enthalten). Das hat die lustige Eigenschaft, dass es quasi ein „move here“ durchführt: Ich gebe den Pfad zu dem existierenden Ordner an und dann nur den neuen Namen – ohne Pfad. Beispiel:

move C:\Ordner\Unterordner NeuerName

Dieser neue Name bezieht sich nicht etwa auf den Originalpfad (man will ja vielleicht gar nicht umbenennen, sondern tatsächlich verschieben), sondern auf das aktuelle Verzeichnis. Wenn ich nun aber gar nicht im gemeinten Zielordner bin, verschiebt Windows natürlich trotzdem den Ordner in das aktive Verzeichnis.

Sehr lustig. Ich wollte das Default-Profil umbenennen. Stattdessen ist es verschwunden. (Weil ich im system32 den Fokus hatte.)

Ich hab schon Mörder-was gedacht – hat Vista da etwa einen Schutz gegen das Umbenennen? Wäre ja komisch implementiert: Wir schützen den Ordner, indem wir ihn verschwinden lassen, wenn man ihn umbenennt. Ähh …

Aufgefallen ist es mir dann erst heute morgen … einmal im system32 geguckt, und da war mein Default-Profil.