Jan 05

DFS – FQDN als Rückgabewert

Active Directory, Windows No Comments »

Standardmässig gibt DFS auf Anfragen nur NetBIOS Namen zurück. Dies funktioniert ganz ordentlich, solange man sich nicht in einem anderen Forest, Domain etc befindet….
Sobald von ausserhalb der Domaine ein Zugriff auf DFS Ressourcen erfolgt, landet man im Nirvana.

Als unschöner Workaraound könnten die DFS Server beim lokalen DNS eingetragen werden. Oder die DNS-Suffix aller Clients werden mit den Präfixen erweitert.

Das Ganze kann aber auch direkt im DFS umkonfiguriert werden. Folgender RegKey muss auf allen DFS Servern hinzugefügt werden, welche Namespaces hosten:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs
Value Name: DfsDnsConfig
Data Type: REG_DWORD
Value Data: 1

Sind nun schon Namespaces vorhanden, müssen diese inkl. den Targets komplett neu eingerichtet werden. Am einfachsten mit dfsutil.exe arbeiten, Targets exportieren, Export File mit FQDN Namen umschreiben und in die neu konfigurierten Namespaces wieder importieren.

Link:
http://support.microsoft.com/kb/244380/en-us



Sep 08

This page has an unspecified potential security risk

Active Directory, GPO, Security, Windows No Comments »

Werden Files mit XP/Vista aus einem Share kopiert, erscheint die IE Sicherheitswarnung:

This page has an unspecified potential security risk. Would you like to continue?

popup_sec_msg

Die tritt auf, weil das OS mein, dass das Netzlaufwerk sich in der Internet und nicht mehr in der Intranetzone befindet. Dieser Effekt tritt vorallem dann auf, wenn über ein DFS Namespace, welcher ein Domainnamen abbildet, verbunden wird.

Mit folgender Anpassung kann dies umgangen werden:

Control Panel > Internet Options > Security.
Select Local intranet > click Sites > Advanced.
Type your server name / DFS Namespace into the textbox (e.g. If the server is called FileServer just type FileServer) and click Add.
Click Close > OK > OK.

Über die GPO kann der Eintrag wie folgt geändert werden:
User Configuration -> Administrative Templates -> Internet Explorer -> Security Page -> Site to Zone Assignment List



Aug 06

langsame Netzlaufwerk Performance bei Officedocs (MS Share, DFS, Novell)

Windows 1 Comment »

Officedokumente auf einem MicrosoftShare gespeichert, (mit und ohne DFS gesteuert) benötigen in regelmässigen Abständen 10-20 Sekunden zum öffnen/speichern/schliessen.
Dieser Effekt tritt im Zusammenhang mit einem lokal installierten NovellClient auf. Die Verzögerung erfolgt durch den Novellclient, welcher sich priorisiert und versucht die Ressource zu öffnen, bis er es an den MS Network Provider weiter gibt…

Mit RegKeys kann eine BadServer Liste geführt werden, damit der NovellClient Anfragen auf die entsprechenden Server direkt weitergibt.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NetwareWorkstation\Parameters]
Name: BadServer
Type: REG_MULTI_SZ

Wird DFS verwendet, reicht der Einstiegspunkt der DFS Domain als Server.

Nach einem Reboot funktioniert der Zugriff wieder in normaler Geschwindigkeit.

novellpic

http://www.novell.com/coolsolutions/appnote/620.html

Jan 21

CIFS / Share Berechtigungen

Security, Windows No Comments »

Weshalb Freigabeberechtigungen und Sicherheitsberechtigungen?

Ersteres bewirkt, dass der Ordner im Netzwerk „sichtbar“ wird. Über die sehr laschen Berechtigungsmöglichkeiten (Vollzugriff, Ändern, Lesen) kann eingestellt werden, welche Benutzer/Gruppen aus welcher Maschine oder Domain über das Netzwerk darauf zugreifen können/dürfen.
Über letztere wird geregelt, welche Benutzer/Gruppen auf der lokalen Maschine in welcher Form zugreifen dürfen. In dieser Einstellung kann auf sämtliche effektiven Berechtigungsmöglichkeiten zurückgegriffen werden.

Aufgepasst:

Wenn ein Benutzer in der Sicherheitseinstellung nichts darf und in der Freigabeeinstellung alles, darf er übers Netz effektiv trotzdem nichts.

Hat ein Benutzer hingegen in der Freigabeberechtigung keine Rechte, dafür aber in der Sicherheitsberechtigung darf er zwar über das Netz nichts, aber lokal sehr wohl.

Und grundsätzlich gilt, dass eine Beschränkung von Rechten Vorrang vor einer Freigabe von Rechten hat.
Verbietet man einem Benutzer explizit etwas, ist es egal, ob es ihm an anderer Stelle wieder explizit erlaubt wird. Das Verbot gilt!

Bsp:
Mit einer Freigabe wird einen Ordner z.B “Dokumente” freigegeben. Nun will man aber, dass Mitarbeiter vom Versand im Unterordner Versand schreiben dürfen, der Student aber nur lesen. Im Unterordner public darf wieder jeder lesen und schreiben. Im Ordner “Dokumente\Intern” darf jeder lesen, aber nur der Admin was verändern.
Würde man nur mit Freigabeberechtigungen arbeiten, bräuchte es eine immense Anzahl an Shares.

Apr 03

VMware ESX – Windows Share verbinden

ESX 3.5, VMware, Windows No Comments »

Es kann hilfreich sein, dass von der ESX Service Console auf ein Windowsnetwork-Share zugegriffen werden kann. Der VMKernel unterstütz dies mit folgenden Befehlen

Als root auf der ESX Service Consoler einloggen

Die ESX interne Firewall für smbClient konfiguriert:
„esxcfg-firewall -enableService smbClient“

Mit “mkdir /mnt/myshare” ein lokaler Mount Point angelegen.

Verbindung mit folgendem Befehl herstellen:
mount -t smbfs -o username=<user>/<domain-name>,password=<password> //<server-name>/<share> /mnt/myshare

Mit “umount /mnt/myshare” danach die Verbindung wieder lösen. Der Mount-Point wird mit “rmdir /mnt/myshare” wieder gelöscht. Auf der Firewall der smbClientservice wieder sperren.

www.server-talk.info

Previous Entries