geekmania 2010 R2 – die ersten Videos!

Es freut mich, heute endlich die ersten Videos meiner Sessions an der geekmania 2010 R2 bereitstellen zu können! Für alle diejenigen, welche nicht LIVE dabei sein konnten: Schämt Euch (und seid das nächste Mal auch mit dabei)! Ich wünsche Euch demnach viel Spass mit den ersten drei Videos:

– Automatisiertes Benutzermanagement – Ihr Userlein kommet –> http://pflaum.org/?page_id=583
– Best Practices 2010 –> http://pflaum.org/?page_id=585
– Missverständnisse der Sicherheit 2010 –> http://pflaum.org/?page_id=587 Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

Forefront ohne MOM – inkl. Tweak

Forefront ist zwar ein cooler Virenscanner – aber die Installation hat es bezüglich der Anforderungen und der Planung schon etwas in sich… Man benötigt in einer vollfunktionellen Umgebung auch einen Forefront-Server, sowie eine MOM-Infrastruktur. Wenn man diesen gar in eine SCOM-Infrastruktur einbinden möchte, wird es noch etwas komplizierter…

Es geht jedoch auch einfacher – was jetzt nichts absolut Neues ist, sondern schon auf einigen anderen Websites steht: Man kann Forefront auch ohne MOM und Forefront-Server auf den Clients (resp. auch Servern) installieren, indem man den Parameter „/NOMOM“ verwendet. Somit hat man jedoch lediglich einen Anti-Virus auf den Hosts installiert und bekommt an zentraler Stelle nichts davon mit, wenn sich da Viren in der IT-Infrastruktur tummeln. Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.22_1171]
Rating: +2 (from 2 votes)

RODCs in Perimeter-Netzwerken

RODC („Rotz“ gesprochen) sind wohl das meistberüchtigste neue Feature von Windows Server 2008! Endlich haben wir den guten alten Backup Domain Controller (BDC) zurück – obwohl man diesen natürlich keineswegs mit einem solchen verwechseln sollte, da das Verhalten trotz aller Ähnlichkeit, absolut anders ist. Jedoch ist es sehr reizvoll, einen RODC nicht einfach nur bei den üblichen Branch-Office Konstellationen einzusetzen, sondern auch in etwas abenteuerlichen Bereichen – wie z.B. in einer DMZ oder abgesicherten Zone, in welchem die Benutzer möglichst wenig beschreibbare Dienste vorfinden sollten. In diesem Szenario gibt es einen Grundsatz: Die Clients und Member-Server können ausschliesslich auf einen RODC zugreifen und nur diese sind dann wiederum in der Lage, mit einem beschreibbaren Domänencontroller zu kommunizieren (gemäss der Regeln auf einer Netzwerk-Firewall). Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

RPC + Firewall = Uiuiui!

Die folgende Problematik geht wohl in die Kategorie von Problemen, die entweder fast niemandem auffallen, da diese in den meisten Umgebungen schlichtweg weniger relevant sind und erst in ganz speziellen Fällen wirklich Probleme verursachen…:

Grundsätzlich wird jeder dieses Problem haben, wenn eine Netzwerk-Firewall zwischen zwei Domänencontrollern zum Einsatz kommt. V.a. wenn diese auch noch eine Statefull Inspection durchführt. Das Problem ist dann erkennbar, wenn auf einem einzelnen Domänenconroller unter „Active Directry Standorte- und Dienste“ die Replikation auf einem entfernten DC hinter einer solchen Firewall ankickt. Da geht mal und geht mal nicht – wenn es niht geht, kommt so eine schöne RPC-Fehlermeldung – jedoch eben nur sporadisch. Es geht bei dieser Fehlermeldung nicht darum, dass die Replikation an und für sich nicht funktionieren würde – sondern lediglich darum, dass man per RPC diese Replikation nicht ankicken kann. Anders gesagt: Die DCs replizieren sich perfekt – aber RPC macht sporadisch Probleme, weil die Ablaufzeiten der Sessions auf der Stateful Inspection Firewall nicht mit den Zeiten auf dem Windows-System abgestimmt sind. Deshalb habe ich eingangs auch erklärt, dass dieses Problem oft nicht auffällt… Weiterlesen

VN:R_U [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)

Das Unwort des Jahres 2010: "Simplified"

So gern ich das Wort „Simple“ in „Simply Red“ oder „Simple Minds“ habe, so ungern habe ich dieses Wort in Zusammenhang mit neuen Microsoft Technologien. Dieser bodenlose Hass kommt nicht einfach so – sondern durch wochenlanges sinnloses Recherchieren, wie nun die „Simplified IPSec Richtlinie“ funktioniert. Ich bin ein absoluter Fan von IPSec und ich sehe grosses Potential in dieser Technologie – aber hier sprechen wir keineswegs von simplen Technologien, obwohl ich eigentlich sehr wohl glaube, diese verstanden zu haben… Weiterlesen

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Neue Videos der geekmania 2010 sind Online!

Im Member-Bereich stehen ab sofort 4 neue Videos (Live-Aufnahmen der geekmania 2010) zur Verfügung! Es handelt sich dabei um die folgenden Themen: „IPSec: Sicherheit für alle frei Haus!“, „DNS von A bis Z“, „Das goldene Kalb: DirectAccess – komplettes Wissen in 60 Minuten“ und „BranchCache-WWW: Für Wen, Wie und Weshalb?!“. Ich wünsche allen viel Spass beim Videogucken! Was??? Noch kein Member??? Kein Problem: Die Registration ist absolut kostenlos und ich spame auch nicht – es geht mir mehr darum zu wissen, wer mein Publikum ist – eine kurze Bekanntmachung ist da einfach angebracht ;-D…

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

DirectAccess: Neues Troubleshooting-Tool

Wer schon einmal mit DirectAccess „gespielt“ hat, weiss, wir hart es ist, dieses Ding lauffähig zu kriegen. Der schöne Assistent blendet wie oft bei Microsoft Produkten – die Schwierigkeit, DirectAccess zum Laufen zu kriegen, liegt oft an den Voraussetzungen, wie z.B. Zertifikatsdiensten, der Firewall-Konfiguration, der Bereitstellung der IP-Adressen ohne NAT in einer DMZ oder auch direkt, etc. Das grösste Manko war jedoch bisher, dass es kaum möglich war, DirectAccess zu troubleshooten.

Genau in diesem Punkt hat Microsoft nun jedoch ein neues Tool bereitgestellt, welches die IT dabei unterstützt, Verbindungsfehler zu erkennen und besser beheben zu können. Das Tool lässt sich auf den DA-Clients installieren und über Gruppenrichtlinien konfigurieren. Die entsprechende ADMX-/ADML-Datei wird im Download mitgeliefert. Mit einfachen Symbolen auf den Clients wird im Anschluss angezeigt, ob DirectAccess funktioniert oder ob Fehler oder Warnungen aufgetreten sind. Zudem werden in den letzteren Fällen weitere Informationen zu den möglichen Fehlerquellen gegeben, damit die IT-Abteilung diese möglichst speditiv beheben können. Enthalten ist auch ein „Fehlerbehebungsassistent“, welcher versucht, auftretende Fehler selbst zu beheben. Es wird dabei automatisch ein Log-File mit den Outputs der wichtigsten Troubleshooting-Befehle (ipconfig /all, netsh, etc.) geschrieben und kann vom Anwender mit einem einzelnen Klick gleich an die vordefinierte E-Mailadresse des Supports übermittelt werden. Zudem können beliebige weitere Befehle (in einem Zeitfenster von 45 Sekunden) angegeben werden – der Output dieser Befehle wird dem Log auch mit angehängt. Somit lässt sich also das Troubleshooting noch weiter ausbauen. Es ist auch möglich, eine Support-Website anzugeben, welche in der entsprechende Maske beim Anwender angezeigt wird. Hier könnten Anleitungen zum richtigen Verhalten bei Problemen mit DirectAccess, etc. zu stehen kommen.

Den Download gibt es kostenlos auf der Microsoft Website unter dem folgenden Link:

http://technet.microsoft.com/en-us/library/ff384241.aspx

In diesem Sinne: Auf eine hoffentlich weniger steinige DirectAccess-Installation und -Konfiguration! Ein Video von meiner Präsentation zu DirectAccess von der geekmania 2010 gibt es in den nächsten Tagen im Bereich „Videozeugs“ – auch dieses Video soll Step-by-Step aufzeigen, wie DirectAccess in Betrieb genommen werden kann und welche Stolpersteine den Weg versperren können…

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)