Interaktive Anmeldung des Administrators auf SBS 2011 nicht möglich

Ich durfte gerade noch einen interessantes Problem anschauen, welches ein anderer IT-Dienstleister an mich herangetragen hat. Nach der Migration von SBS 2003 auf SBS 2011 war es nicht mehr möglich, sich als Administrator interaktiv auf dem Server anzumelden – und zwar mit keinem Konto, welches über Domänen-Administrationsrechte verfügte. Eine Anmeldung über RDP war jedoch ohne weiteres möglich – und dies mit denselben Konten… Die Meldung, welche erschien war:

"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist."

Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 9.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

ADConnector – Complete User Lifecycle Management

Wir von iTrain GmbH glauben, Ihre IT-Abteilung hat besseres zu tun als sich um die Erstellung und Verwaltung von hunderten von Benutzerkonten mit den entsprechenden Ordnern, Mail-Konten und Berechtigungen kümmern zu müssen!

ADConnector ist eine flexible, automatisierte, Zeitsparende, einfach zu verwendende User Lifecycle Management Applikation die Benutzer durch den gesamten Life Cycle hindurch ins Active Directory übernimmt, erstellt und verwaltet.

Mit ADConnector können Sie eine einzelne zentrale Datenquelle verwenden, wie z.B. vorhandenen Benutzer-Daten der Personalabteilung. Diese Daten werden verwendet um ihre Benutzer, Ordner, Gruppen und Mail-Konten automatisch zu erstellen und zu verwalten. ADConnector integriert sich auch in bestehende Umgebungen, in welchen schon Benutzerkonten vorhanden sind. Diese können auf einfachste Weise durch ADConnector übernommen und künftig verwaltet werden.

Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 9.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

W2K8 R2 und Terminalserver-Settings

W2K8 R2 ist ja wirklich cool – aber leider sind da auch ein paar "Verschlimmbesserungen" von Microsoft angebracht worden… Der liebe gute alte "TerminalServicesProfilePath", welcher mit anderen Settings zusammen in einem Array-Attribut abgelegt wird, macht uns allen ja schon länger Sorgen… Aber dass dieser nun nicht mehr richtig gespeichert wird, ist wirklich etwas doof – natürlich nur dann, wenn man nicht schon ein stolzer Besitzer des SP1 für W2K8 R2 ist…

Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

iTrain FolderApp v2.0: A G DL P ganz einfach!

Eine saubere A G DL P-Struktur der Gruppenverschachtelung kann sehr mühsam zu erreichen sein. Es ist doch ziemlich mühsam, für jeden Ordner, auf welchen spezielle Berechtigungen zum Einsatz kommen sollen, verschiedene Domänenlokale Gruppen zu erstellen, sowie diesen dann auch die entsprechenden NTFS-Berechtigungen auf dem Ordner zuzuweisen. Weiter wäre es ja auch noch nett, wenn in den Eigenschaften der Gruppe – z.B. im Beschreibungsfeld – alle Informationen zum entsprechenden berechtigten Ordner dokumentiert wären… 
Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 3 votes)

Win7 + Netlogon Error 5719 + GPO Error 1055

Diese Formel ergibt einen unschönen Mix und führt zu Fehlverhalten bei der korrekten Übernahme von Gruppenrichtlinien bis hin zum verlieren der Domänenmitgliedschaft des Computerkontos (im Extremfall). Und dies alles nur deshalb, weil sich da in Windows 7 ein Bug eingeschlichen hat, der von Microsoft leider erst inoffiziell bestätigt wurde. Ein genaues Datum für einen Patch oder ob dieser Bug in SP1 behoben wurde, ist noch nicht bekannt. Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +5 (from 5 votes)

Neues Tool: AttributeChanger 1.00

Schon mal das Bedürfnis gehabt, einen beliebigen Wert in einem Attribut von Benutzer oder Computer-Objekten im Active Directory mit einer Search/Replace-Routine anzupassen?

Wenn ja: Dann ist hier das passende Tool dazu: Der AttributeChanger ;-D

Den Download gibt es unter der „Weiche Ware“-Sektion dieses Blogs unter dem Link: http://pflaum.org/?page_id=536

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

RODCs in Perimeter-Netzwerken

RODC („Rotz“ gesprochen) sind wohl das meistberüchtigste neue Feature von Windows Server 2008! Endlich haben wir den guten alten Backup Domain Controller (BDC) zurück – obwohl man diesen natürlich keineswegs mit einem solchen verwechseln sollte, da das Verhalten trotz aller Ähnlichkeit, absolut anders ist. Jedoch ist es sehr reizvoll, einen RODC nicht einfach nur bei den üblichen Branch-Office Konstellationen einzusetzen, sondern auch in etwas abenteuerlichen Bereichen – wie z.B. in einer DMZ oder abgesicherten Zone, in welchem die Benutzer möglichst wenig beschreibbare Dienste vorfinden sollten. In diesem Szenario gibt es einen Grundsatz: Die Clients und Member-Server können ausschliesslich auf einen RODC zugreifen und nur diese sind dann wiederum in der Lage, mit einem beschreibbaren Domänencontroller zu kommunizieren (gemäss der Regeln auf einer Netzwerk-Firewall). Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

I will replicate you…!

Was wie eine Drohung klingt, ist ein praktisches Tool für den Server-Admin. Wer sich schon immer darüber genervt hat, wenn nach einer Konfigurationsänderung jegliche Domänencontroller manuell durchgesynct werden mussten, dem sei nun Abhilfe geschaffen…

Mein neues kleines Tool, welches automatisch nach allen verfügbaren Domänencontrollern in der lokalen Domäne sucht und auf diesen sämtliche Partitionen mit sämtliche Partnern repliziert, ist da. Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

RPC + Firewall = Uiuiui!

Die folgende Problematik geht wohl in die Kategorie von Problemen, die entweder fast niemandem auffallen, da diese in den meisten Umgebungen schlichtweg weniger relevant sind und erst in ganz speziellen Fällen wirklich Probleme verursachen…:

Grundsätzlich wird jeder dieses Problem haben, wenn eine Netzwerk-Firewall zwischen zwei Domänencontrollern zum Einsatz kommt. V.a. wenn diese auch noch eine Statefull Inspection durchführt. Das Problem ist dann erkennbar, wenn auf einem einzelnen Domänenconroller unter „Active Directry Standorte- und Dienste“ die Replikation auf einem entfernten DC hinter einer solchen Firewall ankickt. Da geht mal und geht mal nicht – wenn es niht geht, kommt so eine schöne RPC-Fehlermeldung – jedoch eben nur sporadisch. Es geht bei dieser Fehlermeldung nicht darum, dass die Replikation an und für sich nicht funktionieren würde – sondern lediglich darum, dass man per RPC diese Replikation nicht ankicken kann. Anders gesagt: Die DCs replizieren sich perfekt – aber RPC macht sporadisch Probleme, weil die Ablaufzeiten der Sessions auf der Stateful Inspection Firewall nicht mit den Zeiten auf dem Windows-System abgestimmt sind. Deshalb habe ich eingangs auch erklärt, dass dieses Problem oft nicht auffällt… Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

Frühlingsputz für DNS

DNS ist immer komplexer und ist auch schon in den Grundzügen nur schwierig an eine bestehende Firmeninfrastruktur anzupassen – v.a. dann nicht, wenn man DNS noch nicht sehr gut kennt. Ein grosses Problem bei der Verwendung von DNS in Windows-Domänen ist der Aufräumvorgang von DNS-Einträgen. Genau diesen habe ich mir vorgenommen und genauer beschrieben.

Den ganzen Artikel gibt es nachzulesen unter dem folgenden Link: http://pflaum.org/?page_id=493

Viel Spass beim Lesen und beim Umsetzen!

VN:R_U [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)