Blog Home  Home Feed your aggregator (RSS 2.0)  
LDAP://Yusufs.Directory.Blog/ - Sunday, October 29, 2006
Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!
 
About

Archive
<October 2006>
SunMonTueWedThuFriSat
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234
Navigation
Search Filter Syntax
How the Active Directory Replication Model Works
How Active Directory Replication Topology Works
How the Data Store Works
How Core Group Policy Works
How the Kerberos v5 Authentication Protocol Works
SRV Resource Records
Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Active Directory and Network Address Translation
Description of support boundaries for Active Directory over NAT
When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list
Authentication fails when an external client tries to log on to a Windows Server 2008 server by using a read-only domain controller in a perimeter network
Active Directory Domain Services in the Perimeter Network
How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers
Active Directory Administration with Windows PowerShell
Active Directory Domain Services for Windows Server 2008 R2
Read-Only Domain Controller (RODC) Branch Office Guide
Active Directory Domain Services
Windows Server 2008 R2: Active Directory
Categories
 
 
 
 
 
 
 
MVP

Blogroll
 ActiveDir
 AD Documentation Team
 AD-Powershell Blog
 Aktives Verzeichnis
 DS-Team Blog
 Eric Fleischman
 Server Core
 Tim Springston
 Windows Server Division
 Wolfgang Sauer
Contact
Send mail to the author(s) Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Sign In
 Sunday, October 29, 2006
DNS Server umziehen

Wie kann man einen DNS-Server bzw. die DNS-Zonen umziehen ?

 

Falls sich der vorhandene DNS-Server auf einem Domänencontroller befindet und dieser seine DNS-Zonen im Active Directory speichert,

repliziert sich das DNS automatisch mit anderen Domänencontrollern (die ebenfalls das DNS installiert haben),

sofern mehrere Domänencontroller vorhanden sind.

 

Wenn die DNS-Zonen nicht im Active Directory gespeichert werden,

befinden sich die DNS-Zonendateien im Verzeichnis „%windir%\system32\dns“. Dort befinden sich die Zonendateien mit dem Namen „NamederFLZ.dns“.

Diese kopiert man auf den anderen/neuen Server in das gleiche Verzeichnis „%windir%\system32\dns“ und richtet dort im DNS Snap-In

(das DNS muss bereits installiert sein) eine neue Zone ein. Man folgt den Anweisungen des „Assistenten zum Erstellen neuer Zonen“

und gibt im Menü-Punkt „Zonendatei“ den Namen der vorhandenen (kopierten) Zonendatei ein:

 

  


 

Eine weitere Möglichkeit stellt das Tool „dnscmd“ (aus den Windows Support Tools, dass sich im Verzeichnis Support auf der Windows Server 2003 CD befindet)

dar, worauf ich hier auf die wichtigsten Befehle eingehen möchte, denn das Tool kann weitaus mehr [1].

 

Mit dem Befehl „dnscmd <Servername> /ZoneExport <Zonenname> <Zonendatei>“ kann man eine Active Directory integrierte Zone exportieren,

wobei die exportierte Text-Datei im Verzeichnis „%windir%\system32\dns“ gespeichert wird.

 

Der Export-Befehl sieht folgendermaßen aus [2]:

dnscmd mzdcon01.contoso.com /ZoneExport intra.contoso.com intra.contoso.com.dns

 

 

Der Import einer Zonendatei, die aus einer primären Active Directory integrierten Zone exportiert wurde, kann über folgenden Befehl realisiert werden:

dnscmd <Servername> /Zoneadd <Zonenname> /Primary /File <Dateiname> /Load

 

dnscmd mzdcon01.contoso.com /Zoneadd intra.contoso.com /Primary /File intra.contoso.com.dns /Load

 

 

 

Damit diese Zone im Active Directory integriert gespeichert werden soll, gilt es folgenden Befehl einzugeben [3]:

dnscmd <Servername> /ZoneResetType <Zonenname> /Dsprimary

 

dnscmd mzdcon01.contoso.com /ZoneResetType intra.contoso.com /Dsprimary

 

 

 

Des Weiteren kann man z.B. noch die Option „Nur sichere dynamische Updates zulassen“ aktivieren. Dies geht mit dem Befehl [4]:

dnscmd <Servername> /Config <Zonenname> /AllowUpdate 1

 

dnscmd mzdcon01.contoso.com /Config intra.contoso.com /AllowUpdate 1

 

 

Eine Erleichterung stellt dieses Skript [5] dar. Damit lassen sich nicht nur die Zonen exportieren,

sondern auch die DNS-Server Konfiguration abspeichern. Das Skript muss als *.CMD gespeichert werden, bevor es ausgeführt werden kann.

 

 

Eine andere Variante wäre noch, dass man eine Kopie (sekundäre Zone) von der primären Zone erstellt und diese dann ggf. zur primären Zone deklariert.

Wenn eine sekundäre- zu einer primären Zone gestuft wird, müssen allerdings alle anderen sekundären Zonenserver umkonfiguriert werden,

um ihre Kopien vom „neuen“ primären Zonenserver anzufordern.

 

 

 

Weitere Informationen:

 

[1] Dnscmd Syntax

http://technet2.microsoft.com/WindowsServer/en/library/d652a163-279f-4047-b3e0-0c468a4d69f31033.mspx?mfr=true

[2] Dnscmd Examples

http://technet2.microsoft.com/WindowsServer/en/library/ed0e4eeb-34a5-420e-aa6a-961ae5fa0f291033.mspx?mfr=true

[3] Ändern des Zonentyps

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/6bf2981f-085c-4ed8-bce0-53412a83463f.mspx?mfr=true

[4] Zulassen von dynamischen Updates

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/f90323fc-dcd0-4242-9b2c-755053670b78.mspx?mfr=true

[5] http://www.reskit.net/DNS/dnsdump.cm_

How to move Windows 2000 DNS zones to another Windows 2000-based server

http://support.microsoft.com/kb/280061/en-us

 

Sunday, October 29, 2006 9:43:11 PM (W. Europe Standard Time, UTC+01:00)  #      DNS  | 
 Saturday, October 21, 2006
Anmeldezeiten


In den Eigenschaften eines Benutzers (im Snap-In Active Directory-Benutzer und -Computer), kann man im Reiter Konto die „Anmeldezeiten…“

(eine Periode der erlaubten Anmeldung) eintragen, in denen sich der Benutzer am Netzwerk (Domäne) anmelden darf.

 

 

 

Fallbeispiel 1:

 

Versucht sich der Benutzer außerhalb der dort eingetragenen Zeiten an der Domäne anzumelden, bekommt er die folgende Fehlermeldung:

 

„Ihr Konto sieht es nicht vor, dass Sie sich zu dieser Zeit anmelden. Wiederholen Sie den Vorgang später“.

 

Während dieser Zeit kann sich der Benutzer zwar mit seinen „cached Credentials“ (zwischengespeicherte Benutzerinformationen)
lokal an seinem Rechner authentifizieren, so lange keine Verbindung zum Netzwerk/Domäne besteht (Netzwerkkabel entfernen).
Ein Zugriff auf Domänen-Ressourcen ist aber nicht möglich (auch nach erneutem einstecken des Netzwerkkabels).

 

 

 

Fallbeispiel 2:

 

Wenn die Periode der erlaubten Anmeldung abläuft während der Benutzer angemeldet ist, erfolgt keine Zwangstrennung. Der Benutzer bemerkt nichts,

bis er sich abmeldet und erneut anmelden würde bzw. einen Neustart tätigt. Danach erhält er die o.g. Fehlermeldung.

 

Möchte man dieses Verhalten ändern, kann man folgende Richtlinie einstellen:

 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\

Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen

 

 

Diese Richtlinie bewirkt, dass nach Ablauf der Periode der erlaubten Anmeldung,

alle bestehenden SMB-Sitzungen (Server Message Block) mit dem Server getrennt werden.

 

Es erscheint folgende Fehlermeldung am Client (nach Ablauf der Anmeldezeit), wenn man auf das Netzlaufwerk zugreifen möchte:

 


Falls man eine Datei bearbeitet und die Periode läuft ab, erhält man beim abspeichern folgende Fehlermeldung (gefolgt von der vorherigen Fehlermeldung):

 


Anschließend bekommt der Benutzer die Möglichkeit, die Datei lokal abzuspeichern.

 

 

Damit diese Einstellung (die standardmäßig deaktiviert ist) auf Domänenkonten greift,

gilt es diese Richtlinie auf Domänen-Ebene (z.B. in der Default Domain Policy) zu aktivieren.

 

 

Weitere Informationen:

Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen

HOW TO: Limit User Logon Time in a Domain in Windows Server 2003
HOW TO: Limit User Logon Time in a Domain in Windows 2000

 

Saturday, October 21, 2006 4:27:46 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
 Friday, October 13, 2006
Wie stellt man sicher, dass ein Benutzer sich nur an einem Client anmelden kann?

In einer Domäne kann es vorkommen, dass ein Benutzer an mehreren Clients zeitgleich angemeldet ist. Um dieses Verhalten zu verhindern, gibt es mehrere Wege.

 

  • Ein Weg ist, im Snap-In „Active Directory-Benutzer und –Computer“ in die Eigenschaften des jeweiligen Benutzers zu gehen, danach im Reiter „Konto“ auf „Anmelden…“ zu klicken und dort die jeweiligen „Prä-Windows 2000-Computernamen“ einzugeben, an denen sich der Benutzer anmelden darf. Dazu wird die Netbios-Namensauflösung benötigt und daher ist es ein Grund mehr, einen WINS-Server im Einsatz zu haben.

  • Eine andere Möglichkeit bietet das Tool „Limitlogin“. 

    http://www.it-administrator.de/aktuell/13585.html
    http://www.microsoft.com/technet/technetmag/issues/2005/05/UtilitySpotlight/default.aspx

    Der Nachteil dieses Tools ist, dass man einen recht hohen Aufwand betreiben muss bis man es konfiguriert hat.
    Daher kann man sich die Frage stellen, ob es sich bei dem Preis-Leistungsverhältnis lohnt, dieses Tool einzusetzen.

    Über Limitlogin und den notwendigen Aufwand, kann man sich im folgenden Artikel einen Überblick verschaffen:
    http://www.faq-o-matic.net/2006/04/02/limitlogin-in-der-praxis/

  • Eine recht einfache Variante um das zu realisieren ist diese Vorgehensweise:

    Falls jeder Benutzer z.B. ein Home-Laufwerk haben sollte (das er per Login-Script zugewiesen bekommt), kann man darauf die Rechte auf der Freigabe so setzen, dass sich nur "einer" mit diesem Laufwerk verbinden darf.
    Danach fügt man noch eine Zeile in das Login-Script ein (If not exist h: goto logout), so das der User abgemeldet wird, wenn das Home-Laufwerk nicht verfügbar ist.

  • Eine weitere Möglichkeit stellen diese Gruppenrichtlinien dar:

    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\"Lokal anmelden zulassen"
    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\"Lokal anmelden verweigern

    Man kann dann z.B. eine OU erstellen und alle Clients in diese OU verschieben, an denen sich der Benutzer nicht anmelden darf und verlinkt auf diese OU die GPO "Lokal anmelden verweigern".
    Oder man erstellt zwei OUs. In der einen OU befinden sich die Clients an denen sich der Benutzer anmelden darf und in die zweite OU verschiebt man die Clients, an denen sich der Benutzer nicht anmelden darf.
    Auf die OU mit den Clients an denen sich der Benutzer anmelden darf verlinkt man die GPO "Lokal anmelden zulassen" und auf die andere OU mit den Clients an denen sich der Benutzer nicht anmelden soll verlinkt man die GPO "Lokal anmelden verweigern".

 

 

Weitere Informationen:
Error message when you try to add more than 64 logon workstations in Windows Server 2003 or in Windows 2000 Server: "This property is limited to 64 values"

How to Use a Network Share to Limit a User's Concurrent Connections in Windows 2000

Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0

 

Friday, October 13, 2006 12:43:10 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
 Tuesday, October 10, 2006
Welcher DC ist der Anmeldeserver ?

Möchte man wissen, welcher Domänencontroller als Anmeldeserver für den jeweiligen Benutzer diente,
kann man dies (unter anderem) mit folgenden Befehlen an dem Client herausfinden:

 

  • echo %Logonserver%

  • set Logonserver

  • set Log

  • set L

  • set | find "LOGONSERVER"

  • set

  • NLTEST /DSGETDC:<Domäne>.<TLD>

 

Tuesday, October 10, 2006 11:34:21 AM (W. Europe Standard Time, UTC+01:00)  #      Windows Server  | 
 Sunday, October 08, 2006
Debug Protokollierung

 

Welche Möglichkeiten oder besser gesagt, Hilfen in Form von Logs (Protokollen) gibt es, wenn man z.B. einen Server zum Domänencontroller stufen, oder wenn man eine Domäne bzw. Gesamtstruktur auf ein Update vorbereiten möchte und es währenddessen zu einem Problem kommt?

 

Wenn dieser Fall eintritt, gilt es die (wenigen) verfügbaren „Ressourcen“ genauestens auszuwerten.

 

 

Welche Logs stehen zur Verfügung?

 

 

  1. DCPROMOUI.LOG (Userinterface): Dieses Log enthält einen detaillierten Fortschrittsbericht über die Installation sowie Deinstallation des Active Directory, insbesondere die Einstellungen die ein Administrator über die GUI vornimmt. Das Logging beginnt, wenn man den Active Directory-Assistenten (DCPROMO) startet und geht soweit, bis eine Zusammenfassung erscheint, unabhängig davon, ob dieser Vorgang voreilig oder erfolgreich beendet wird.
    Falls die Installation oder das entfernen des Active Directory fehlschlug, erscheinen detaillierte Fehlermeldungen im Protokoll, sofort nach dem Schritt, der den Ausfall verursachte. Wenn der Installations- oder Entfernprozess erfolgreich ist, liefert das Protokoll positive Bestätigung dieser Tatsache.

    Des Weiteren beinhaltet das DcpromoUI.log weitere detaillierte Informationen über den Vorgang zur Installation oder das entfernen des Active Directory.

    Diese wären unter anderem:

·         Den Namen des Quell-Domänencontrollers für die Replikation

·         Die Verzeichnispartitionen die zum Ziel-Domänencontroller repliziert wurden

·         Die Anzahl der Objekte, die in jede Verzeichnispartition repliziert wurde

·         Informationen über das SYSVOL - Verzeichnis

·         Die Eingaben des Administrators während des DCPROMO-Vorgangs


  1. DCPROMO.LOG: Dieses Log wird erstellt, wenn man den Active Directory-Assistenten aufruft. Es zeichnet das herauf- (promoten) bzw. herabstufen (demoten) des Servers sowie den Standortnamen auf. Weiterhin wird der Speicherort für die Active Directory-Datenbank (NTDS.DIT) und die dazugehörigen Protokolldateien (EDB*.LOG), die Zeitsynchronisation sowie die Verzeichnispartitionen samt Anzahl der Objekte die repliziert wurden protokolliert. Es werden diverse Dienste die für einen Domänencontroller wichtig sind konfiguriert.
  2. DCPROMOS.LOG: Dieses Log wird erstellt, wenn eine NT-Domäne zu einer Active Directory-Domäne aktualisiert wird.

 
Hinweis: Alle o.g. Logs werden in Verzeichnis „%Systemroot%\Debug“ gespeichert

 

 

ADPREP.LOG: Das ADPREP-Protokoll wird im Verzeichnis „%Systemroot%\System32\Debug\Adprep\Logs“ erstellt und enthält einen detaillierten Bericht zur Domänen- und Gesamtstrukturvorbereitung

 

 

Es gibt eine weitere Datei, die nicht unerwähnt bleiben sollte:

 

NETLOGON.DNS: In der Datei sind die DNS SRV-Records eingetragen, die für einen Domänencontroller relevant sind. Diese Datei wird im Verzeichnis „%Systemroot%\System32\Config“ gespeichert. Der Anmeldedienst (NETLOGON) registriert die dort eingetragenen SRV-Records im DNS.

 

 

Weitere Informationen:
Registry Settings for Event Detail in the Dcpromoui.log File
How to check Directory Service Log using a CMD Script
Die Protokollierung des Active Directory`s konfigurieren
Active Directory Diagnostic Logging

 

Sunday, October 08, 2006 4:35:59 PM (W. Europe Standard Time, UTC+01:00)  #      Active Directory  | 
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme: