olc

Hi, Mir ist das Problem nach Deiner Beschreibung noch nicht ganz klar - deshalb formuliere ich das hier einmal sehr vage: Schau doch einmal mittels ADSIEdit direkt auf dem angegeben Computerobjekt, ob noch eine NTFRS Subscription vorhanden ist. Wenn Du genau weißt, was Du tust, kannst Du diese löschen. Zusätzlich findest Du in der Configuration Partition unterhalb von "System" ebenfalls FRS-Einstellungen. Auch hier lohnt ein Blick. Alles in allem würde ich Dir empfehlen, vorher ein Systemstatebackup durchzuführen - für den Fall, daß Du es doch nicht so genau wußtest. ;) Viele Grüße olc

Hi Stevie-B, na - da warst Du wohl um diese frühe Uhrzeit noch nicht wirklich ausgeschlafen oder? ;) Ich habe explizit geschrieben: Haut also alles schon so hin wie beschrieben. ;) Viele Grüße olc

Hi, den Explorer kannst (und solltest) Du nicht "einfach abschalten / deaktivieren". Er ist für eine Vielzahl von Prozessen relevant und stellt nicht nur das "Datei-Explorer" Fenster dar. Würdest Du es schaffen, den Explorer "abzuschalten", würde kurz nach der Anmeldung eines Benutzer schluß sein, also nichts mehr gehen - kein Desktop, keine CMD, nichts. Soweit ich weiß läßt sich der Doppelklick bzw. daraus resultierend das Öffnen des Speicherortes nicht verhindern. Wo liegt jedoch das Problem, daß die Benutzer auf dem Share des Servers landen? Wenn die Berechtigungen korrekt gesetzt wurden, sollte das kein großes Thema sein oder? Viele Grüße olc

Hi, danke für Deine Ausführungen. Auch für das von Dir beschriebene Szenario solltest Du keine CA auf einem Client oder Stick installieren. ;) Wenn Du keine Lizenz für eine Windows CA (Offline Root-CA) mehr frei hast, wird es meines Wissens mit Windows Lösungen schwer. Du könntest Dir jedoch einmal OpenCA für Linux anschauen - obwohl ich selbst noch nicht damit gearbeitet habe, habe ich ab und an schon etwas davon gehört. Soll unter Linux die CA Lösung sein, schaut man von ein paar Kommandozeilentools einmal ab. Unter Windows ist mir leider keine (gute) Lösung bekannt. Viele Grüße olc

Hallo, also vielleicht noch einmal ganz von vorne: 1. Du schreibst zwar von DFS-Replikation, nennst jedoch im Thread Titel den Windows Server 2003. Da es nicht unerheblich wichtig ist, welche Version Du verwendest, solltest Du das noch einmal genauer ausführen, damit wir Dir eine korrekte Antwort geben können. Alles "kleiner" Windows Server 2003 R2 hat kein DFS-Replication (DFS-R) an Bord, sondern FRS. Wie grizzly999 korrekt schrieb, waren die Limits bei FRS recht gering. In diesem Fall wäre Dein Vorhaben nicht umzusetzen. Daher vernachlässige ich FRS im weiteren Beitrag. Ab Windows Server 2003 R2 gibt es dann tatsächlich DFS-Replication, welches bei weitem leistungsfähiger und robuster ist als es FRS war. 2. Es ist nicht ganz korrekt, daß es keine Limits bei DFS-R existieren. Im Normalfall ist nicht die Datenmasse an sich der begrenzende Faktor (sieht man von den Basics CPU, RAM, NIC / WAN und HDD einmal ab), sondern die Datenbankgröße der DFS-R Jet-Datenbank. Da es hier Beschränkungen gibt, hat Microsoft bei Veröffentlichung des W2K3 R2 eine "getestete" Grenze von 1 TB angegeben - mittlwerweile sind (zum jetzigen Zeitpunkt) 2 TB als "tested" angegeben - wohlgemerkt für das Datenvolumen, nicht für die DFS-R Datenbank. Das bedeutet in der Praxis, daß man zwar mehr Daten als 2 TB pro Server(!) hosten kann, im Supportfall jedoch im schlimmsten Fall von MS gefordert werden kann, daß man auf 2 TB herunter geht. Alles, was über dieses getestete Limit geht, muß selbst ausgiebig getestet werden - Microsoft gibt hier keine "Garantien" mehr (wenn man die EULA überhaupt "Garantie" nennen sollte - Haftung etc. sind eh' ausgeschlossen). Ich will das noch einmal betonen: Es gibt kein hart codiertes Limit - limitierend sind andere Faktoren (s.o.). Kann man übrigens alles hier noch einmal ausführlicher und genauer nachlesen: https://blogs.technet.com/filecab/archive/2005/12/12/415942.aspx 3. Das mit der "dicken Leitung" würde ich auch gern relativieren: DFS-R ist ja unter anderem genau aus diesem Grund entwickelt worden: Effizient Daten über das WAN zu transportieren - auch bei kleineren Leitungen. Klar, man wird kaum 2 TB über eine 512 Kbit/s Leitung schicken wollen - aber es müssen auch nicht gleich 100 Mbit/s sein. ;) 4. Für den TO sollten die Limits also keine Grenze darstellen, wenn alles korrekt geplant ist. Es sollten jedoch neben dem rein technischen Limit auch die anderen Faktoren (CPU, HDD, NIC / WAN etc.) genau geplant sein - denn 200 GB sind ja auch kein "Pappenstiel". Viele Grüße olc

Öhm, sorry - so etwas habe ich noch nie geschrieben, ist auch nicht böse gemeint. Aber ist das jetzt wirklich Dein Ernst...? Eine CA - auf einem USB-Stick (sic!) - die Du nicht ins Firmennetz bringen willst, sondern lokal auf einem Client (sic!) betreiben willst (ich unterstelle jetzt mal, Du redest hier nicht von einer Offline-CA) - keine Notwendigkeit, daß Benutzer / Clients "herankommen" (auch hier gibt es durchaus Szenarien, aber mit den wenigen Informationen von Dir schwierig einzugrenzen) - die nicht ins "offene" Firmennetz gehört? (was bedeutet "offen"?) Muß da mal nachhaken: Wie eine CA funktioniert bzw. was ihr Sinn und Zweck ist weißt Du? Certificate authority - Wikipedia, the free encyclopedia Vielleicht kannst Du ja noch einmal ein wenig genauer beschreiben, was Du eigentlich erreichen möchtest. Gruß olc

Hi, wie auch in vorherigen Versionen kannst Du eine Domäne nur im entsprechenden nativen Modus betreiben, wenn alle DCs auf dem Stand sind, auf den der Domänenmodus hochgestuft werden soll. Das bedeutet, daß Du Deine Domäne solange nicht in der nativen 2008er Modus hochstufen kannst, solange noch ein 2003er DC in der Umgebung vorhanden ist. Die Vorteile / Features eines 2008er Domain Fuctional Levels findest Du hier: Microsoft Corporation Ein 2008er Forest Mode bringt keine weiteren Features im Vergleich zu 2003. In einer SBS-Domäne gilt grundsätzlich das Selbe - nur halt mit den Einschränkungen des SBS. Das bedeutet, daß der SBS auch in einer Umgebung mit zusätzlichen 2008er DCs die FSMO Rollen hosten muß und Du den Domänenmodus nicht hochstufen kannst, da der SBS bei Dir ein 2003er ist. Viele Grüße olc

Guten Abend, Ja - und weil es in der Praxis häufig anders aussieht, fliegen auch viele Betreiber einer internen CA irgendwann auf die Nase. ;) Du hast sicherlich Recht - gerade in kleineren Umgebungen wirkt es oftmals überdimensioniert eine mehrstufige Hierarchie aufzubauen. Letztlich wirkt sich jedoch das Thema grundlegend auf die Sicherheit aus. Ist die Root-CA kompromittiert, kannst Du alle Zertifikate und damit verbundene Dienste vergessen. Das muß man halt schlichtweg auf dem Schirm haben, wenn man sich für ein Design entscheidet. Niemand sagt, daß Du es so machen mußt... :) Wenn Du in einer mehrstufigen Hierarchie CAs Offline betreibst, mußt Du die CRLs in den von Dir festgelegten Intervallen veröffentlichen. Je nachdem, wie Dein Ansatz ist (ob komplett offline im Safe liegend oder nur vom Netzwerk getrennt ;) ) in Bezug auf die Sicherung der offline CAs lautet, sieht dann auch Dein Veröffentlichungskonzept aus. Im "sicheren" Beispiel, nämlich der "Safe-Variante", mußt Du die CA in den festgelegten Zeitintervallen reaktivieren und die CRLs austellen. Diese überträgst Du dann im besten Fall nicht über das Netzwerk, sondern über ein sicheres, externes Medium in Deine Gesamtstruktur - so z.B. als Import in Deine AD oder als Verteilungspunkt per HTTP usw. Nein, eben nicht. Zwar sicherst Du die CA als solche zurück - nur kannst Du Dir nicht sicher sein, ob in der Zwischenzeit bei einem Angriff nicht schon AIA, CRLs usw. manipuliert wurden. Auch ist für Dich kaum feststellbar, ob nicht Zertifikate ausgestellt wurden, die nun von den Angreifern genutzt werden können. Rundum kannst Du Dir also über nichts mehr sicher sein - das genaue Gegenteil von dem, was eine CA Struktur erreichen soll, nämlich Vertrauenswürdigkeit. In dem Fall, daß Deine Root-CA tatsächlich zum Opfer geworden ist, gibt es kein zurück mehr... Grundsätzlich schon; das hängt ein wenig davon ab, ob diese CA dann a) irgendwann wieder online geht - geht die CA nicht mehr online, bekommst Du spätestens nach Ablauf der CRL-Veröffentlichungsintervalle Probleme b) die AIA und CRLs / Delta CRLs auch weiterhin verfügbar sind (z.B. im lokalen Store der Clients, veröffentlicht im AD, per HTTP o.ä.) - ist dies nicht der Fall, können die Anwendungen unter Umständen die Zertifikatskette nicht mehr verifizieren... Du merkst - es gibt eine Menge "wenn und aber" in einer Antwort. Wie genau Du es einrichten willst, hängt von Deinem Plan ab. Hier kann man schlichtweg nur Best-Practices zitieren und Dir ggf. zu konkreten Fragen Antworten geben. Gruß olc

Hi Deatheye, in Deinen Beiträgen sind definitiv zu viele Sterne ("*****") - frag Dich einmal warum. ;) Ansonsten ist meines Erachtens alles gesagt - bleibt nur noch zu erwähnen, daß Microsoft dieses Thema im Windows Server 2008 angegangen ist, siehe Windows Server How-To Guides: Password Policies unter Windows Server 2008 - ServerHowTo.de . Viele Grüße olc

Off-Topic: Die Release Candidates gibt es kostenlos - also nix privilegiertes dabei. ;)

Hi, nur mal so am Rande eingeworfen, daß sich auch in diesem grundsätzlichen Punkt die Geister scheiden: Wenn man mit einem externen Zeitserver abgleichen möchte, dann ist das Vorgehen von Daim genau das Richtige (und natürlich die Befehle darüber von den Kollegen ebenfalls ;) ). Es gibt jedoch auch einige Meinungen, daß man genau dies nicht tun sollte: Gibt es ein Problem bei der externen Zeitquelle oder wird gar ein Angriff auf die NTP-Struktur durchgeführt, bekommt man unter Umständen ziemliche Probleme mit seiner internen Umgebung. Traue nie denen da draußen. ;) Soll heißen: Man sollte sich schon sehr sicher sein, ob überhaupt und falls ja welcher Zeitquelle man vertraut. Es ist ja in der Praxis auch kein großer Aufwand die Zeit des Root-Domänen PDC ab und an manuell zu überprüfen... P.S.: Bitte jetzt keinen Flamewar - ich habe nur eingeworfen, daß es durchaus auch interessante andere Meinungen dazu gibt. Ich persönlich finde diesen Ansatz, nicht von einer externen Zeitquelle zu synchronisieren, aus den genannten Gründen in jedem Fall überlegenswert... Viele Grüße olc

Hi, Grundsätzlich ist es möglich, einen Front-End Server mit den WebEnrollment Seiten auszustatten. Dieser muß jedoch im selben Forest der CA sein --> ergo müssen die CAs als auch der Webserver Domain Member sein. Hintergrund dafür ist, daß der Computeraccount des Webservers "Trusted for Delegation" sein muß, d.h. die Client- oder Benutzeranfrage im Namen des Antragstellers weiterleiten darf. Dies ist ausschließlich in AD Umgebungen möglich. Damit wird dies für Dich also zum Problem. Ob es rein grundsätzlich (wenn die Voraussetzung der AD Mitgliedschaft gegeben ist) möglich ist, mehrere virtuelle Verzeichnisse anzugeben, weiß ich nicht. Das ActiveX Plugin bzw. die CertEnroll.dll, die für für das WebEnrollment bis Windows Server 2003 / XP zuständig sind, müßten dies dann unterstützen --> eigentlich eine recht interessante Frage... :eek: Zu Punkt 2) Du solltest mehrere CDPs festlegen - das ist übrigens auch als Best-Practice von Microsoft immer wieder angegeben. Ansonsten bekommst Du mit der gesamten Struktur Probleme, wenn die CA ausfällt und damit auch die CRLs nicht mehr verfügbar sind. Da die CAs bei Dir nicht AD-Member sind, könntest Du die CRLs manuell im AD veröffentlichen (Zugriffspunkt LDAP) oder die CRLs auf weiteren Webservern zur Verfügung stellen (z.B. per HTTP oder FTP). Viele Grüße olc

Hi, als Ergänzung zu der Anleitung von phoenixxp: Unter Umständen reicht es auch aus, den "secure channel" zwischen der Workstation und der Domäne zurückzusetzen: netdom reset computer_name /domain:domain_name (siehe Description of Netdom.exe Syntax and Versions). Falls das nicht erfolgreich ist, solltest Du den oben beschriebenen Weg verfolgen. Viele Grüße olc

Hi, vollkommen korrekt der Beitrag von Stevie-B. Aber das ist gar nicht so "bescheuert" und "komisch", wie Du sagst... Der Vollständigkeit halber noch ein entsprechender Link dazu: Step-by-Step Guide to Enforcing Strong Password Policies in Windows Server 2003 with Active Directory Viele Grüße olc

Hi, vielleicht hast Du es übersehen, weil mehrere Events pro Aktion geloggt werden. Nicht in allen Events steht dann auch der Benutzername. Schau einfach noch einmal genau nach, ob Du den Benutzernamen in einem der "vielen" Events pro Aktion findest. :) Viele Grüße olc

Hi, eine kurze Antwort aus Zeitmangel: "Eventtriggers" ist ab Windows 2003 von Hause aus dabei - oder meinst Du ein anderes Programm? Ansonsten kannst Du die Eventlogs mit diversen Programmen / Scripten auslesen (VBScript, WMI, PowerShell etc.), filtern und z.B. mittels blat danach versenden. Viele Grüße olc

Hi Josef, soweit ich das einschätzen kann, sieht das Script / die Scripte soweit erst einmal gut aus. Zu den Pfaden kann ich natürlich nicht viel sagen - zumal ja die unten genannten Pfade andere sind als die Pfade, die Du oben genannt hast. Am besten zu prüfen wären die Logfiles, die beim Kopieren angelegt wurden. Dort siehst Du definitiv, ob die Daten in das korrekte Zielverzeichnis kopiert wurde. Ausgeschlossen ist weiterhin ebenfalls nicht, daß der Ordner nach dem Kopiervorgang (z.B. aus Versehen) eine Ebene nach oben verschoben wurden... Viele Grüße olc

Hi Fusselchen, klasse, daß es noch Menschen wie Dich gibt! :thumb1: Wie schon in den Einträgen der Kollegen oben geschrieben, gibt es in dem Bereich wirklich eine Menge Distributionen, die Du nutzen kannst. Gerade die Ubuntu / Kubuntu / Edubuntu ...... Linie ist m.E. recht einfach zu bedienen. Und solltest Du Dich dafür entscheiden, die Kisten doch vorzuinstallieren, ist das mit Ubuntu sehr, sehr einfach und schnell gemacht: Einfach CD booten, drei oder vier Klick um die Installation anzuwerfen, und fertig. :) Wie schon erwähnt ist auf die Hardware zu achten (kann unter Linux ab und an ein Problem sein oder auch von der Geschwindigkeit problematisch sein) und auf den Anwendungszweck. Edubuntu ist beispielsweise auf den Schulbetrieb ausgerichtet usw. Viele Grüße olc

Hi, die Variante von Grizzly ist gut - Du kannst es aber auch "schmutzig" ohne Router machen, indem Du den logischen AD Sites & Services Subnetzen andere Netzmasken gibst als den Maschinen. Damit sparst Du Dir den Router - aber es kann auch durchaus Sinn machen, diesen zu betreiben, um damit vertrauter zu werden. Natürlich brauchst Du insgesamt genug Ressourcen, um die VMs abzubilden. Beispiel: IP-Adressen Server: 1. 172.16.1.10 / 16 2. 172.16.2.10 /16 3. 172.16.3.10 / 16 Subnetzkonfiguration Sites & Services: 1. Subnetz: 172.16.1.0 /24 2. Subnetz: 172.16.2.0 /24 3. Subnetz: 172.16.3.0 /24 Gruß olc

Hallo, ich wage einmal eine Gegenbehauptung zur Theorie von MCSE_SF zu stellen; nämlich die, daß soetwas in der Praxis nicht einfach mal so vorkommt. Ich stelle mir gerade einen HPC vor, der für die NASA (oder was wer weiß für wen) ausrechnet, wie die Flugbahn des Spaceshuttels zur Erde sein muß, um sicher am Boden anzukommen. Kippt hier in der Praxis auch nur ein Bit, bezahlen die Astronauten mit Ihrem Leben... Also einmal im Ernst: Ist der menschliche Faktor, also z.B. ein Fehler im Kopierscript, wirklich ausgeschlossen? Bei ROBOCOPY kann man leicht einmal bei der Pfadangabe einen Teil vergessen und damit in eine neue Struktur kopieren, die in der Art gar nicht gewünscht war. So sehe ich zum Beispiel ein Leerzeichen in dem Pfad - ein "beliebtes Problem", wenn es um die Angabe des Quell- oder Zielpfades geht. Existieren die Scriptvorlagen / Befehle / Batchdateien noch? Ich denke in diese Richtung zu suchen macht eher Sinn, als von einem technischen Fehler auszugehen... ;) Gruß olc

Guten Abend, wie Johannes schon richtig sagte, ist das Szenario fuer das Offline-nehmen einer Root CA in einer groesseren Struktur etwas vollkommen anderes als die Root- und gleichzeitig ausstellende CA offline zu nehmen. In dem von Dir in Deiner Antwort beschriebenen Szenario also sicherlich kontraproduktiv. Beim Offline-nehmen einer CA solltest Du auch immer (als zusaetzlichen Punkt) im Auge behalten, dass sich Domaenenclients eher schlecht fuer laengere Zeitraeume herunterfahren lassen, ohne dass es zu Problemen kommen wuerde... ;) Aus diesem Grund sind die Offline-CAs auch nicht AD-Member. Viele Gruesse olc

Hi, auf die Schnelle wuerde mir die Datenbankdefragmentierung einfallen und die Verteilung der CRLs / Delta CRLs. Hier muesstest Du sicherlich pruefen, ob das weiterhin nach dem Neustart problemlos klappt. Weiterhin muessen natuerlich die AIAs und CDPs verfuegbar sein - was aber im Normalfall bei der von Dir angesprochenen Enterprise CA ueber die AD der Fall sein sollte. Ist aber im Moment ohne Gewaehr, diese Aussage. ;-) Warum sollte man den Dienst beenden? Gibt es dafuer ein konkretes Anwendungsszeanrio? Viele Gruesse olc

Hallo, was bringt Dir ein Router fuer einen Vorteil gegenueber einem Switch? Du wirst in beiden Faellen keine "realistischen" Werte erhalten, da alle Replikationstechniken unterschiedliche Mechanismen nutzen, die die ggf. "widrigen Umstaende" in Bezug auf die Replikation bei WAN-Verbindungen ausgleichen bzw. mit die daraus resultierenden Probleme loesen sollen. Ich denke das einzig realistische Testszenario ist die Umgebung so zu testen, wie es im Produktionsbetrieb auch sein wird. Ein zwischengeschaltetes Routing aendert fuer die Tests (und vor allen Dingen deren unrealistische Ergebnisse) m.E. nichts. Solltest Du Dich trotzdem fuer dieses Testszenario entscheiden, kannst Du recht einfach die Routing & RAS Funktion des Windows Server 2003 installieren und konfigurieren. Leider habe ich moment keinen Link fuer ein HowTo diesbezueglich zur Hand - vielleicht kann jemand anderes hier aushelfen? Viele Gruesse olc

Hi, wenn Du sie korrekt installiert hast findest Du die Web-Seite Deiner Windows Server 2000 / 2003 CA unter http://servername/certsrv . Der Servername ist entsprechend anzupassen. ;) Viele Grüße olc

Hallo, soweit ich weiß hat Vista standardmäßig nur das eine Security Template mit an Bord. Du kannst Dir jedoch folgendes Tool herunterladen, installieren und dann wie "früher" unter Windows 2000 und Windows XP weitere Security Templates verwalten, indem Du die in dem Tool mitgelieferten Security Templates in der entsprechenden GPO hinzufügst bzw. den Suchpfad auf "%userprofile%\Documents\Windows Vista Security Guide\GPOAccelerator Tool\Security Templates" setzt. Dort liegen nach der Installation des Programms einige Vorlagen. Download details: Windows Vista Security Guide Viele Grüße olc