Hallo zusammen! Die Verwaltung von SPNs im Active Directory dürfte Euch regelmäßig beschäftigen. Immer mehr Applikationen möchten Kerberos verwenden, nicht nur um das Authentifizierungsprotokoll zu verwenden, sondern auch um Delegation-Möglichkeiten zu nutzen, und ganz...

Hallo, hier ist mal wieder Herbert. Mit jedem Windows wird die Konfiguration komplexer, und auch die Umgebungen werden komplexer weil mehr Features genutzt werden und mehr Sicherheit dazu kommt. Damit wird das Betriebssystem in seinen Kernfunktionen erst einmal nicht schneller. Durch die vielen...

Hallo zusammen, hier nach längerer Zeit mal wieder Hubert mit Neuigkeiten rund um DFS. Wie viele mittlerweile wissen, gelten beim Einsatz von Technologien wie Offline Files, Folder Redirection und Roaming Profiles auf DFSN (Distributed File System Namespace) ganz bestimmte Einschränkungen...

Hallo, hier ist mal wieder Herbert. Der regelmäßige Leser dieses Blogs hat schon den Artikel zu den exzessiven NTLM-Anmeldungen durch die RPC Runtime und andere auf NTLM-Anmeldungen fixierte Applikationen gelesen. Seit neuestem gibt es nun einen Update für Windows Server 2008 R2...

Hier ist wieder einmal der Herbert. Heute möchte ich die Aufmerksamkeit auf ein bisher wenig beachtetes Feature in Windows Server 2008 R2 und Windows 7 lenken. Es ermöglicht, einen Service Principal Name ( SPN ) in mehreren Forests zu finden. Es kann nämlich Situationen geben, wo man...

Hallo, hier wieder einmal Rol mit einem Erfahrungsbericht aus einer Krise von letzter Woche. Die Symptome waren hier unterschiedlichster Natur, Hänger in Outlook aber auch in der MMC “ Active Directory Users and Computers ” waren nur einige davon. Das Verhalten trat nur in der Hauptanmeldezeit...

Hallo, hier wieder einmal Rol mit einem Thema aus aktuellem Anlass. Diesmal geht es um “ Isolated Names ”. Wem es nicht geläufig ist – unter “Isolated Names” versteht man die Angabe eines Usernamens ohne dem entsprechenden Domänennamen, also ohne Prefix " Domain...

Hallo, hier ist mal wieder Florian – diesmal nicht von der Grenze zur Schweiz, sondern jenseits davon. Heute mit einem Gast-Beitrag für die DEDS-Kollegen zu Gruppenrichtlinien und Schwierigkeiten, die sich bei Verbindungen mit größeren Latenz auftun können. Meine Kollegen...

Hallo, hier ist mal wieder Andy aus dem Domain Team. Ich bin letztens mal wieder auf ein eigentlich banales Problem gestoßen, für das es aber nach meinen Recherchen keine fertige Lösung gibt. Im Active Directory ist es möglich Gruppen in Gruppen zu verschachteln. Aber was passiert...

Hallo, hier wieder einmal Rol. Dieses mal mit einem Thema zu Roaming User Profiles. Diese gehören ja bei vielen Unternehmen inzwischen zum Standard, auch für Laptops. Die nimmt man dann auch gerne mit nach Hause und verwenden, da man nicht mit dem Firmennetz verbunden ist, somit die lokale...

Hi zusammen, Fabian hier. Bei der Analyse eines potentiellen Global Catalog Performance Problems hat mich ein Kollege aus unserem Exchange Team neulich auf das Codeplex Projekt “PAL” aufmerksam gemacht. Im Normalfall nutze ich recht häufig den Server Performance Analyzer, jedoch ist PAL auf jeden Fall...

Hallo, hier mal wieder Rol. Diesmal mit einem "Tool-Thema". Der Server Performance Advisor, kurz SPA, hat unter Windows Server 2003 ja schon sehr gute Dienste geleistet, wenn es darum gegangen ist, hohe LSASS Lasten zu untersuchen. Zum Teil zeigt er ja sogar direkt an, wenn es bestimmte Clients sind...

Hallo, heute mal wieder ein Gastbeitrag aus dem Netzwerk Team. Diesmal von Hubert mit seinem ersten Eintrag im „Aktiven Verzeichnis“. Bei uns laufen immer wieder Anfragen auf, bei denen es um eine schlechte Netzwerkperformance insbesondere von Fileservern geht. Oft stellen wir fest, dass Access-based...

Das begleitet unser Team schon seit Jahren - Anfragen von Kunden die sich über 100% CPU Last auf einem oder allen Domain Controllern beklagen. Um gleich von Anfang an Klarheit zu schaffen: Das ist doch prima, dann weis man doch, dass die CPU nicht umsonst gekauft wurde. Und die Mär von „LSASS leakt doch...

Update 17.12.2008 : Verbesserte Anleitung und Erklärung zu USNs und Meta-Daten. Hallo Zusammen! Ich bin hier ein neuer Blogger, mein Name ist Herbert und schreibe nun auch im Aktiven Verzeichnis Blog. Heute geht es um Fragen, die sich wohl schon viele gestellt haben: Was replizieren...

Hallo, hier mal wieder Rol mit einem Kerberos Thema. Mit dem Windows Server 2003 Service Pack 2 gibt es die Möglichkeit, die Kerberos Privilege Attribute Certificate (PAC) Verification abzustellen. Das Vorgehen ist beschrieben im Artikel 906736 You experience a delay in the user-authentication...

Servus Beianand. Ich hatte vor einiger Zeit eine recht kuriose Anfrage mit unangenehmen „Nebenwirkungen“, sprich Symptomen. Darauf gestoßen sind wir, weil einzelne wechselnde DCs immer wieder mal hohe CPU-Last, scheinbar verursacht durch LSASS, zeigten. Wir haben dann herausgefunden, daß der...

Hallo, Fabian am Apparat. Ab und an bearbeiten wir auch Anfragen, in denen wir auf ein Security Logging / Auditing angewiesen sind, so z.B. bei ungewollten Account Lockouts oder Rechteänderungen auf Objekten, die nachvollzogen werden sollen. Es gibt dabei einige Grundsätze, die man nach Möglichkeit bei...

Hallo, Fabian hier. Oft bekommen wir Anfragen unserer Kunden, die das "Tuning" von Active Directory bzw. LDAP Parametern betreffen, so z.B. "MaxPageSize" oder "MaxResultSetSize". In einer Vielzahl dieser Fälle soll in der jeweiligen Active Directory Umgebung eine Software eingesetzt werden, die bei Active...

Hallo, Fabian schreibt. Grundsätzlich ist es im Forestmodus Windows Server 2003 möglich, über 5.000 Objekte einer Gruppe zuzuordnen (siehe "How to raise domain and forest functional levels in Windows Server 2003" http://support.microsoft.com/default.aspx?scid=kb;EN-US;322692 ). Dabei kann es sich beispielsweise...