Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197
Active Directory « Tag « festplatte.ch


Global Catalog vs. Infrastructure Master

Active Directory, Windows 1 Comment »

Frage: Darf der Infrastruktur-Master auf einem Domänencontroller laufen, der auch Global Catalog Server ist?

Antwort: Eine übliche Antwort hierauf beruht auf einem falsch verstandenen Gerücht. Hiernach dürfe der Infrastruktur-Master (IM) nur dann auf einem Global Catalog Server (GC) laufen, wenn jeder Domänencontroller (DC) im gesamten Forest ein Global Catalog Server sei. Dieses Gerücht beruht allerdings auf missverständlichen Formulierungen.

Die Aufgabe des Infrastruktur-Masters besteht darin, Objekte der eigenen Domäne mit Objekten anderer Domänen im gleichen Forest zu vergleichen und mögliche Unterschiede (insbesondere domänenübergreifende Gruppenmitgliedschaften) zu korrigieren. Wenn nun der Server, der die IM-Rolle hält, gleichzeitig Globaler Katalog ist, wird er niemals einen Unterschied feststellen, weil er ja bereits eine Teilkopie jedes Objekts im ganzen Forest hat. Daher wird der IM in diesem Fall in seiner eigenen Domäne niemals eine Änderung an solchen Objekten durchführen. Wenn allerdings jeder DC innerhalb der Domäne auch GC ist, hat der IM schlicht nichts zu tun, denn jeder GC kennt ohnehin alle Objekte anderer Domänen. Wenn man sich nun also ansieht, was der IM zu tun hat, wird es klar, dass die IM-Rolle auf einem GC laufen darf, wenn es sich um ein Einzeldomänen-Netzwerk handelt (denn dann gibt es keine anderen Domänen, von denen Objekte repliziert werden). Ebenso klar ist, dass die IM-Rolle auf einem GC laufen darf, wenn der Forest aus mehreren Domänen besteht, aber jeder DC in der eigenen Domäne auch GC ist (kein Bedarf an Objektvergleichen, weil der GC sowieso “alles” weiss).

Domäne A

•A-DC1 (GC + IM)
•A-DC2 (GC)
•A-DC3 (muss GC sein!)

Domäne B

•B-DC1 (GC)
•B-DC2 (IM)
•B-DC3 bis B-DCx (GC oder nicht spielt hier keine Rolle)

In der ersten Domäne muss der IM keine Informationen aus anderen Domänen abrufen, weil der GC “alles” bereits kennt. Die andere Domäne hat den IM auf einem Nicht-GC, also ruft der IM Informationen aus den anderen Domänen ab und repliziert sie bei Bedarf auf die anderen DCs.

Um es also kurz zu machen:

Der Infrastruktur-Master darf nicht auf einem Global Catalog Server laufen, wenn alle folgenden Voraussetzungen gegeben sind:

•es gibt mehrere Domänen im Forest und
•es gibt Domänencontroller in derselben Domäne, die nicht Global Catalog Server sind.

Der Infrastruktur-Master darf auf einem Global Catalog Server laufen, wenn mindestens eine der folgenden Voraussetzungen gegeben ist:

•es gibt nur eine Domäne im Forest und/oder
•jeder Domänencontroller in derselben Domäne ist auch Global Catalog Server

Links:
http://support.microsoft.com/kb/223346/EN-US/
http://support.microsoft.com/?id=248047

Quelle: http://www.faq-o-matic.net

Share


AD Gruppenrichtlinien verwalten

Active Directory, Windows No Comments »

Das SnapIn rsop.msc (ResultanceSet of Policies) gibt über eine grafische Oberfläche nicht nur die angewendeten Richtlinien aus, wie gpresult, sondern auch die einzelnen Werte innerhalb des Richtliniensatzes.

http://www.gruppenrichtlinien.de

rsop.msc download

Share


Mehr als 10 Accounts der Domäne hinzufügen

Active Directory, Security, Windows No Comments »

Nach 10 AD integrationen erscheint in der Standardkonfiguration folgende Fehlermeldung

Der Computer konnte der Domäne nicht beitreten. Die maximale Anzahl der Computerkonten, die in dieser Domäne erstellt werden können, wurde überschritten. Wenden Sie sich an den Systemadministrator.

Ursache
Windows 2003 und Windows XP gewähren der Gruppe der authentifizierten Benutzer standardmässig die Berechtigung zum Hinzufügen von Workstations zu einer Domäne. Wenn diese Berechtigung aktiviert ist, können authentifizierte Benutzer die Prüfung der Zugriffsteuerungsliste (ACL = Access Control List) bis zu einem vordefinierten Maximalwert umgehen. Die maximale Anzahl der Computerkonten, die ein authentifizierter Benutzer hinzufügen kann, beträgt standardmässig 10, um Missbrauch zu verhindern.

Möglicher Workaround:
Überschreiben des Standardlimits für die Anzahl der Computer, die ein authentifizierter Benutzer zu einer Domäne hinzufügen kann

1. Supporttools installieren
2. Als Administrator der Domäne Adsiedit.msc ausführen. Den entsprechenden DC wählen und die Eigenschaften öffnen.
3. Ms-DS-MachineAccountQuota suchen.
4. Werte entsprechend anpassen
5. Mit OK bestätigen.

Andere Workarounds sind im KB 251335 von Microsoft zu finden

Share

VMware ESX nach Snapshot (VCB) Active Directory fehlerhaft

Active Directory, ESX 3.5, VMware, Windows 1 Comment »

Werden AD Controller in einer virtuellen Umgebung betrieben und lokale Hostsbackups durchgeführt, kann es sein, dass AD Controller während/nach dem Snapshot Fehler aufweisen. Die AD Datenbank ist korrupt und lässt sich nicht mehr reparieren oder synchronisieren mit den weitern Controllern.

Dieses Verhalten führt auf den LGTO_SYNC Treiber zurück, welcher mit der Installation von den VMware Tools auf dem System installiert wird.
Es wird empfohlen (eigentlich zwingend) dass bei zeitkritischen Applikationen wie AD, Exchange, SQL etc dieser Treiber deaktiviert wird.

How To:
Disabling the VCB SYNC Driver (LGTO_Sync)
Disabling the SYNC driver allows you to keep the AD Server on-line, but results in snapshots being only crash-consistent.
To disable the VCB SYNC driver:

– In Device Manager, click View > Show hidden devices.
– Expand Non-Plug and Play Drivers.
– Right-click Sync Driver and click Disable.
– Click Yes twice to disable the device and restart the computer.

Weiter Links, in welchem dieses Problem behandelt wird:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=5962168
http://communities.vmware.com/thread/123564
http://support.microsoft.com/kb/888794

Share