cj_berlin

CBS.log lesen und schauen, wo es geknallt hat.

Was in solchen Fällen *manchmal* hilft ist, wenn man den Spieß umdreht und den Kunden bittet, alle Stellen aufzuzeigen, an denen Otto User mit dem Domainnamen in Berührung kommt. Und dann verrät man ihm noch, dass es mehr als einen UPN-Suffix in einer Domäne geben kann, und sich die User eigentlich überall "mit ihrer e-Mail-Adresse" anmelden können. Aber viele sog. Entscheider sind tatsächlich beratungsresistent...

Moin, in aller Regel hat es mit Language Packs auf dem System zu tun. Präzisere Antworten findest Du im "C:\Windows\Logs\CBS\CBS.log". Im Zweifel alle LPs runter schmeißen, braucht ein Server, sofern er kein Terminalserver ist, sowieso nicht, wenn das OS darunter englisch ist.

Nein, denn die CA hat ja nicht den Private Key.

Wir haben einfach unterschiedliche Kunden

Da gibt es nichts zu rätseln: Die Anwendung nutzt ein ActiveX-Control, um auf die Key Stores zuzugreifen. Soweit ich weiß (und ), erreicht man diese Systemnähe nicht mit HTML5. Man braucht also ein Browser-Plug-In, und da kommt es wieder darauf an, welcher Browser, in welchem Modus usw. Klar, um einen fertigen CSR zu signieren und das ausgestellte Zertifikat herunterzuladen, könnte man eine abgewandelte Version anbieten, aber das Erzeugen des CSR fällt halt mit HTML5 flach...

Moin, dazu kann ich aus der Erfahrung mit unzähligen VMware Support-Calls, die meisten davon mit Storage-Anteil, nur eins sagen: Solange sich in der unteren Zeile da nichts ändert, bleibt's Gebastel, was im Zweifel durch den Errichter (Dich) zu supporten ist.

...und wenn man sehr kreativ beim privaten Teil (vor dem @) war, muss man sich des Alias bedienen, und den privaten Teil dort versenken. Evtl. Korrigieren geht per PowerShell, falls nötig.

Nicht zwangsläufig.

Du sollst auch nicht tagsüber schlafen

Noch Fragen hierzu?

Naja, bis inklusive 2003 (FL, nicht Jahr ) war es ja auch nicht wirklich supported, das Kennwort des KRBTGT zurückzusetzen...

wieso, funktioniert doch? Nur nicht beim ersten Mal... Ich lese das jetzt so, dass 192.168.0.2 der DC für die ausgegraute .local Domain (Domain B) ist, richtig?

Nachdem Du den konkreten Troubleshooting-Hinweis ignoriert hast, kann man ihn nur wiederholen: Kannst Du vom DC B einen nslookup auf etwas in A, ausgeführt gegen DC A, erfolgreich durchführen?

Ach, und ich hatte "Kind Santas" gelesen

P.P.P.S. Das ist genaugenommen nicht supported, auch wenn's meistens funktioniert

Moin, zwischen dem ersten Pass-the-Hash und dem Golden Ticket liegen meist ein paar (Zeiteinheit je nach Paranoia/Optimismus einfügen). Das kannst Du in der Zeit mit der Änderung des KRBTGT-Kennworts abschneiden.

Moin, was sagt denn RESTORE HEADERONLY dazu?

...aber wird sie auch NTLM-Versuche ablehnen? Der Angreifer verwendet ja nicht das, was ihr verwendet, sondern das, was möglich ist

https://www.cosmopolitan.de/numerologie-das-sagt-euer-hochzeitsdatum-ueber-eure-ehe-aus-80531.html

[int[]]((Get-Date -Format ddMMyyyy) -split "") | Measure-Object -Sum | Select-Object -ExpandProperty Sum

Ich habe mich sehr über die dazugehörige Sicherheitslücke gefreut, denn das gab mir den Anlass, bei einigen Kunden diesen antiquierten Dreck endlich zu deinstallieren...

Moin, die Umstellung auf SingleUser ist für ein normales konsistentes Backup nicht notwendig - offene Transaktionen werden natürlich nicht gesichert, aber die könnten ja theoretisch auch zurückgerollt werden, wären also auch nicht sicherungswürdig Offene Sitzungen, die keine offenen Transaktionen haben, sind für das Backup unerheblich. Sind die Backups, die aus dem Wartungsplan kommen, denn vollständig?

Alternativen zu Exchange gibt es zuhauf. Allerdings hat mir in über 20 Jahren Exchange-Beratung noch nie eine IT- oder Orga-Leitung oder ein Kommunikationsarchitekt den Wunsch nach diesem Feature angetragen (und glaub mir, ich habe bereits abwegige Wünsche gesehen ). Exchange ist sehr stark im Konzept einer persönlichen Mailbox verankert. Die Anforderung nach verzögertem Senden wäre eher legitim im Kontext einer Funktionsmailbox (Einladung zu einem Event, Pressemitteilung usw.), während das verzögerte Senden aus einer privaten Mailbox eigentlich Betrug ist. Daher ist in Exchange derartiges, wie auch viele andere Funktionsmailbox-typischen Features, nicht oder nicht vollumfänglich vorgesehen. Wenn mein Feierabend davon abhinge, würde ich in diesem konkreten Fall vermutlich zu einem Skript greifen, das die Mail für mich über SMTP oder EWS zum gewünschten Zeitpunkt abschießt.

<korinthenkack>Die Voraussetzung dafür wäre eine Garantie, dass Deine Maschine + AD vor dem Backup zu 100% funktionstüchtig sind. Was hast Du am Start, um dies sicherzustellen?</korinthenkack> Aber die meisten Enterprise-fähigen Backup-Produkte haben die Fähigkeit, jedes Backup zu validieren, indem es als VM in eine isolierte Umgebung wiederhergestellt wird und dann geschaut wird, ob die VM ordnungsgemäß startet. Da muss man aber die Infrastruktur für beistellen. Doch auch da gibt es keine 100% Garantie - lass zwischen Backup und Restore die Hypervisor-Infrastruktur (oder zum Beispiel Server-Firmware, falls Physik) gepatcht worden sein...