Browse by Tags

Related Posts
  • Blog Post: „Ich glaub ich steh im Wald“ – Kerberos hilf mir suchen!

    Hier ist wieder einmal der Herbert. Heute möchte ich die Aufmerksamkeit auf ein bisher wenig beachtetes Feature in Windows Server 2008 R2 und Windows 7 lenken. Es ermöglicht, einen Service Principal Name ( SPN ) in mehreren Forests zu finden. Es kann nämlich Situationen geben, wo man...
  • Blog Post: Probleme mit dem Umwandeln von Sids in Namen

    Hallo liebe Freunde des AD. Wir haben diesmal als Thema eine Warnung vor potentiellen Problemen mit Windows Server 2012 Domain Controllern. Es gibt zwar schon eine beträchtliche Liste von „Known Issues“ für Windows Server 2012 , die wenigsten betreffen dem Mischbetrieb mit anderen...
  • Blog Post: Event Warnung Netlogon 5807 fuer viele Clients hat seit W2k8 deutliche Auswirkungen

    Hallo, hier wieder einmal Rol mit einem Erfahrungsbericht aus einer Krise von letzter Woche. Die Symptome waren hier unterschiedlichster Natur, Hänger in Outlook aber auch in der MMC “ Active Directory Users and Computers ” waren nur einige davon. Das Verhalten trat nur in der Hauptanmeldezeit...
  • Blog Post: Fehlerbehebung zu Replikationsfehler mit “The target principal name is incorrect” unter Windows Server 2008

    Hallo, hier wieder einmal Rol mit einem Erfahrungsbericht. Zurück aus dem Urlaub habe ich nach der Wiederinbetriebnahme meine virtuellen Windows Server 2008 Domäne feststellen müssen, daß die AD Replikation nicht mehr funktioniert. DC RW08DC1 repliziert zwar problemlos von RW08DC2, umgekehrt aber nicht...
  • Blog Post: Was sind ATQ Threads und wenn ja, warum?

    Wer sich schon einmal mit den Performance Countern von Active Directory beschäftigt hat, kann vielleicht zum Schluss kommen, dass es davon zu viele gibt um den Überblick zu behalten. Die Sache wird verschlimmert, wenn eine Abkürzung nicht bekannt ist, oder sich nicht auf den ersten...
  • Blog Post: Certificate Enrollment mit IIS und CA auf getrennten Maschinen

    Hi, ich möchte in diesem Blogeintrag detailliert beschreiben, wie man eine Zertifizierungsstelle (CA / Certification Authority) unter Verwendung von Kerberos Protocol Transition (Kerberos Protokoll Übergang / Umwandlung) und Constrained Delegation (eingeschränkte Kerberos-Delegierung) für web-basiertes...
  • Blog Post: Kerberos Encryption Types unter Windows 7 und Windows Server 2008 R2

    Hallo zusammen, Fabian hier. Ab Windows 7 bzw. Windows Server 2008 R2 werden Kerberos Anfragen und Antworten standardmäßig nicht mehr mit DES (DES-CBC-MD5 & DES-CBC-CRC) verschlüsselt, da DES nicht mehr den Anforderungen an eine zeitgemäße Verschlüsselungsstufe genügt...
  • Blog Post: Höhere Zuverlässigkeit und bessere Performance von Diensten durch Abstellen der Kerberos PAC Verification

    Hallo, hier mal wieder Rol mit einem Kerberos Thema. Mit dem Windows Server 2003 Service Pack 2 gibt es die Möglichkeit, die Kerberos Privilege Attribute Certificate (PAC) Verification abzustellen. Das Vorgehen ist beschrieben im Artikel 906736 You experience a delay in the user-authentication...
  • Blog Post: NTLM: Alte Zöpfe abschneiden ist nicht so einfach

    Hallo, hier ist nochmal der Herbert. Wir sind in unserer Arbeit auf einen neuen Aspekt einer alten Geschichte gestoßen. Wir hatten ja schon gehofft, dass immer mehr Szenarien und Applikationen auf neue Anmeldemethoden wie Smartcards, Zertifikate und Kerberos umschwenken. Es gibt noch etliche...
  • Blog Post: DCs beschützen ihre SPNs

    Hi, wieder mal eine kurze Info J . Ein Kunde von mir wollte gerne zusätzliche SPNs (Service Principal Name) auf das AD Objekt von DCs (Domänenkontroller) setzen. Der Typ des SPNs war „host“, und er beobachtete, daß diese SPNs zwar zunächst erfolgreich zum Objekt hinzugefügt waren, aber nach einigen...
  • Blog Post: Group Loop Erkennung

    Hallo, hier ist mal wieder Andy aus dem Domain Team. Ich bin letztens mal wieder auf ein eigentlich banales Problem gestoßen, für das es aber nach meinen Recherchen keine fertige Lösung gibt. Im Active Directory ist es möglich Gruppen in Gruppen zu verschachteln. Aber was passiert...
  • Blog Post: Kerberos Einstellung SpnCacheTimeout für UNIX Kompatibilität

    Hallo, nach langer Abstinenz hier mal wieder Andy mit einem Erfahrungsbericht, wie schnell man in scheinbar unerklärliche Probleme laufen kann. Meine Geschichte handelt von den kleinen aber feinen Unterschied bei der Interpretation von Standards. Ein Kunde hat folgendes Szenario. Ein Active Directory...
  • Blog Post: Kerberos Event 4 mit Fehler Code KRB_AP_ERR_MODIFIED auf Windows Server 2003 SP2 Cluster

    Als Cluster Administrator kann es passieren, daß man diesem Fehler öfters begegnet, während dieser Fehler auf normalen Member Servern kaum auftritt. Wie kommt das? Es gibt ein bekanntes Problem mit SP2 welches auf Cluster Nodes einen Kerberos 4 Fehler mit KRB_AP_ERR_MODIFIED generiert, ohne daß ein Problem...
  • Blog Post: Probleme bei VMWare ESX 3.5 Update 2 - was ist für Microsoft Gast-Systeme zu beachten?

    Hallo, Fabian hier. Gestern wurde ein Problem mit dem Starten von virtuellen Maschinen nach einem Update des VMWare ESX Servers bekannt, welches in einigen unserer Kundenumgebungen durchaus relevant sein kann: http://communities.vmware.com/thread/162377?tstart=0 http://www.heise.de/newsticker/Vorsicht...
  • Blog Post: MaxTokenSize und seine Freunde

    Hallo, hier wieder mal Rol mit einem Beitrag zum Troubleshooting und Verständnis von Kerberos MaxTokensSize. Hintergrund ist ein relativ aktueller Case, welchen wir in unserem Team arbeitet haben. Ein Sharepoint Kollege hatte uns hinzugezogen, da er für einen Benutzer (in unserem Beispiel...
  • Blog Post: Read-only Domänencontroller und Passwörter – Teil 2

    Hi! Hier ist wieder Florian , wie versprochen mit dem zweiten Teil des Gastbeitrags (*) für den deds-Blog. Nachdem wir uns im ersten Teil um das Präpopulieren der Passwörter und die Password Replication Policy gekümmert haben, soll es in diesem zweiten Teil um Änderungen an den Passwörtern gehen und...
  • Blog Post: Access Denied für Share Zugriff im Computer Kontext mit Kerberos Fehler 3, Code 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN

    Hallo, hier nun mal wieder euer Rolo mit einem Thema, welches in letzter Zeit öfters mal hochgekommen ist. Auch diesmal geht es um Kerberos... Dieses Problem Szenario tritt auf, wenn eine Applikation oder Dienst, konfiguriert für Local System oder Network Service Kontext, Zugriff auf ein Share benötigt...
  • Blog Post: Read-only Domänencontroller und Passwörter – Teil 1

    Hi! Heute schreibt Florian , ein MVP-Award-Träger aus dem süddeutschen Raum nahe der Grenze zur Schweiz. Diesmal soll es in einem zweiteiligen Gastbeitrag (*) für den Blog des deutschen AD-Teams um Passwörter und deren Speicherung und Verarbeitung auf Read-Only Domänencontrollern gehen. Read-Only...
  • Blog Post: Kein NTLM bei interaktiver Anmeldung an Vista und 2008 – betroffen u.a.: Externe Vertrauensstellungen

    Mit Windows Server 2008 – und damit auch für Windows Vista SP1 – wurde eine Design-Änderung eingeführt, die das Verhalten bei einer interaktiven Anmeldung betrifft: Es findet kein Rückfall mehr auf NTLM statt, wenn Kerberos bei einer interaktiven Anmeldung aus irgendeinem Grund fehlschlägt. ...
  • Blog Post: Du kommst hier nicht rein! Oder doch?

    Hallo! Wer kennt das nicht: Man will in einen Club hinein und der Türsteher sagt einem „Du kommst hier nicht rein“. Der Türsteher weiß das einfach so, er macht seine eigenen Regeln, die er auch keinem mitteilt. Für ein Authentifizierungs-System ist es da schon schwieriger, vernünftig verwaltbare Regeln...
  • Blog Post: Checkliste zur Kerberos Konfiguration

    Hallo, hier wieder einmal Rol mit einem Kerberos Thema. Diesmal geht es jedoch nicht um explizites Troubleshooting, sondern darum, welche Informationen notwendig sind, um ein Applikations-Setup von der Kerberos Seite zu verstehen. Der Informationsfluss ist nicht nur wichtig, wenn sich auf eurer (Kunden...
  • Blog Post: Kerberos im LOCAL SYSTEM Kontext und NTLM Fallback

    Hallo zusammen, Fabian schreibt. In der letzten Zeit hatte ich mehrfach bei Kundenanfragen mit einer bekannten Fragestellung zu tun, die mit Kerberos Authentifizierung im SYSTEM Kontext und NTLM Fallbacks zu tun hat. Daher an dieser Stelle ein, zwei Zeilen dazu. Gleich zu Beginn der Hinweis, daß das...