Techblog - Tim Wanierke

Dieser Blog “ruht” zur Zeit

Tim Wanierke — Tue, 13 Mar 2012 13:53:17 +0000

Zur Zeit veröffentliche ich neue Einträge in dem Blog http://www.active-directory-faq.de/ aus diesem Grund “ruht” mein privater TechBlog zur Zeit bis auf weiteres.

Gruß,
Tim

Authoritative Restore of Active Directory Objects

Tim Wanierke — Thu, 25 Aug 2011 07:40:17 +0000

A: ) Backup Active Directory

1. Open up your command prompt by clicking Start and type “cmd” and hit enter.
2. In your command prompt type “wbadmin start systemstatebackup -backuptarget:e:” and press enter.

Note: You can use a different backup target of your choosing

B: ) Authoritative Restore of Active Directory Objects

1. To do this you will need to boot into DSRM (Directory Services Restore Mode) by restarting your server and pressing F8 during the restart or enter the command “bcdedit /set safeboot dsrepair” to boot next time into the DSRM mode.
2. Choose Directory Services Restore Mode from the Advanced Boot menu.
3. Login to your server with your DSRM password you created during Active Directory installation.

Note: If you do not know the DSRM password you can restet the password. The procedure is descriped in the following link. ( http://support.microsoft.com/kb/322672/en-us )

4. Once you’re logged into your server and in DSRM safe mode, open a command prompt by clicking Start, type “cmd“, and press enter.
5. To make sure you restore the correct backup it’s a good idea to use the “wbadmin get versions” command and write down the version you need to use.
6. Now we need to perform a non-authoritative restore of Active Directory by typing
“wbadmin start systemstaterecovery -version:07/08/2011-02:39“.

Note: The version of backup will vary depending on your situation. Type “y” and press enter to start the non authoritative restore.

7. Reboot the server again into the DSRM safemode to apply the systemstate backup.
8. To restore a specific Active Directory object we have to use the ever familiar ntdsutil.For this example we are going to restore a user account with a distinguished name of CN=Test User,CN=Users,DC=home,DC=local.

So the commands would be:
ntdsutil
activate instance ntds
authoritative restore
restore object “CN=Test User,CN=Users,DC=home,DC=local”

Note: The quotes are required
9. Reboot your server into normal mode and you’re finished. To disable the boot into the DSRM mode “bcdedit /deletevalue safeboot”.
The object will be marked as authoritative and replicate to the rest of your domain.

Note : It might be possible that you have to perform the Windows Activation again
=> You will need the Activation key!

When the computer password of the domain controller has been changed in the meantime you have to reset the password of the computer account.

( Event ID : 4 / Event Source : Security-Kerberos )
=> Solution Link : http://support.microsoft.com/kb/325850/en-us

User State Migration Tool GUI - MUST

Tim Wanierke — Wed, 17 Aug 2011 13:21:45 +0000

Ich habe heute folgendes Tool entdeckt.
Link : http://webpages.csus.edu/~dung.truong/MUST/

Diese Tool ist eine GUI um das User State Migration Tool zu bedienen, sehr nett gemacht und dann auch noch Freeware.

Auflisten von Änderungen eines Active Directory Objektes mittels “repadmin”

Tim Wanierke — Fri, 12 Aug 2011 06:32:02 +0000

Mit dem folgendem Befehl kann man schnell und einfach die Änderungen eines Active Directory Objektes auflisten.
Link : http://technet.microsoft.com/de-de/library/cc742104(WS.10).aspx

repadmin /showobjmeta >DC< “DN-des-Objekts”

PKI , Kerberos and Smart Cards

Tim Wanierke — Wed, 29 Jun 2011 11:48:08 +0000

The following article describes how the Smart Card logon is working.

Link : http://ammarhasayen.wordpress.com/2010/12/11/pki-kerberos-and-smart-cards/

Active Directory Domain member: Maximum machine account password age

Tim Wanierke — Wed, 22 Jun 2011 13:28:11 +0000

The following article descripes how to change the time range how often a computer account must change the password.

Link : http://technet.microsoft.com/en-us/library/cc781050%28WS.10%29.aspx

Export and import GPO from one domain to another

Tim Wanierke — Thu, 16 Jun 2011 12:25:20 +0000

Here are the links to the scripts that can export and import GPO’s.

Windows 2003 with GPMC installed:
http://msdn.microsoft.com/en-us/library/aa814151(v=vs.85).aspx

Export:
BackupGPO.wsf TestPolicyGPO C:\GpoBackups /Comment: “Weekly backup” /Domain:example.microsoft.com

Import:
ImportGPO.wsf C:\GpoBackups {73624CC9-E8F2-4F05-88D2-193FAE8773CE} NewGPO /CreateIfNeeded

Windows 2008 R2 Powershell:
http://technet.microsoft.com/en-us/library/ee461027.aspx

Export:
Backup-Gpo -Name TestGPO -Path C:\GpoBackups -Comment “Weekly Backup”

Import:
import-gpo -BackupGpoName TestGPO -TargetName TestGPO -path C:\GpoBackups

Unable To Reconnect To Terminal Server In Application Mode

Tim Wanierke — Thu, 26 May 2011 12:44:54 +0000

When you get the message “The remote session was disconnected because there was an internal error in the remote computer’s licensing proctocol.” you can delete the registry key “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing\Store\LICENSE000” on your client and try to connect again.

Link : http://support.microsoft.com/kb/555061/en-us

How to use the EventCombMT utility to search event logs

Tim Wanierke — Wed, 11 May 2011 13:52:58 +0000

Das Tool EventCombMT kann die EventLogs von mehreren Servern ( z.B. aller Domain Controller einer Domäne ) durchsuchen. Das kann sehr hilfreich sein, wenn z.B. danach sucht auf welchen Domain Controller von welchem Computer aus ein Account gesperrt wurde.

Link: http://support.microsoft.com/kb/824209/en-us ( search for account lockouts )
Download : http://www.microsoft.com/downloads/en/details.aspx?familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e&displaylang=en

Vielen Dank für diesen Tipp an Jens K.

Phantoms, tombstones and the infrastructure master - Event ID 1419 generated on a domain controller

Tim Wanierke — Thu, 05 May 2011 06:58:49 +0000

The following arcticle descripes what phantom active directory are and why you do not make the infrastructure master role as a global catalogue server within a active directory.

Link : http://support.microsoft.com/kb/248047/en-us

Forest Trust - Name Suffix Routing

Tim Wanierke — Wed, 04 May 2011 09:07:12 +0000

Today we got the error : The failure code from authentication protocol Kerberos was “The name or SID of the domain specified is inconsistent with the trust information for that domain.
(0xc000019b)”.

The reason for this error was that the “name suffix routing” for the subdomain of the trusted forest was disabled. For further information, please have a look at the following arcticles:

Link : http://blogs.technet.com/b/askds/archive/2009/04/10/name-suffix-routing.aspx
Link : http://technet.microsoft.com/en-us/library/cc784334%28WS.10%29.aspx

Microsoft Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM)

Tim Wanierke — Wed, 04 May 2011 09:06:58 +0000

Microsoft Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) ist eine Client/Server-Anwendung. Der AGPM-Server speichert Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) offline in dem Archiv, das AGPM im Dateisystem des Servers erstellt. Gruppenrichtlinienadministratoren verwenden das AGPM-Snap-In für die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), um auf dem Server, auf dem das Archiv gehostet wird, mit Gruppenrichtlinienobjekten zu arbeiten. Informationen über die Teile von AGPM und zugehöriger Elemente, das Speichern der Gruppenrichtlinienobjekte im Dateisystem sowie darüber, wie Gruppenrichtlinienadministratoren die Effizienz von AGPM steigern können, indem die für Benutzerrollen verfügbaren Aktionen mithilfe von Berechtigungen gesteuert werden.

Links

Technische Übersicht :
http://technet.microsoft.com/de-de/library/ee390978.aspx

Planungshandbuch :
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=58fd6cda-0210-4da0-91d2-8c3cc2817df8&displaylang=en

Betriebshandbuch :
http://technet.microsoft.com/en-us/library/ee390965.aspx

Demonstration of AGPM:
http://technet.microsoft.com/en-us/windows/ee526426

Step-by-Step Tutorials:

Active Directory Maximum Limits - Scalability

Tim Wanierke — Tue, 08 Mar 2011 13:26:45 +0000

This topic describes Active Director scalability and other limitations, as well as recommendations that apply when you are designing or implementing an Active Directory infrastructure.

Link : http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability%28WS.10%29.aspx

Modifying network bindings via script / tool “nvspbind”

Tim Wanierke — Tue, 22 Feb 2011 08:24:55 +0000

nvspbind is a tool for modifying network bindings from the command line.

Link : http://archive.msdn.microsoft.com/nvspbind

Computer Account Password Process

Tim Wanierke — Thu, 17 Feb 2011 15:56:18 +0000

Within the following link the process for the computer account password process:

Link : http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

Video : Active Directory als Datenspeicher

Tim Wanierke — Thu, 10 Feb 2011 19:06:18 +0000

Hier der Link zum Video “Active Directory als Datenspeicher”, welches einen guten und groben Überlick über das Schema vom Active Directory gibt.

Link : http://vimeo.com/19637424

Tool DumpSec

Tim Wanierke — Thu, 10 Feb 2011 10:33:03 +0000

SomarSoft’s DumpSec is a security auditing program for Microsoft Windows® NT/XP/200x. It dumps the permissions (DACLs) and audit settings (SACLs) for the file system, registry, printers and shares in a concise, readable format, so that holes in system security are readily apparent. DumpSec also dumps user, group and replication information.

Link : http://www.systemtools.com/somarsoft/index.html

Windows server 2008 / 2008 R2 upgrade path

Tim Wanierke — Fri, 04 Feb 2011 07:31:25 +0000

The following links show the possible upgrade pathes to Windows 2008 ( R2 ):

Windows 2008
http://technet.microsoft.com/en-us/library/cc755116(WS.10).aspx#BKMK_Upgrade

Windows 2008 R2
http://technet.microsoft.com/en-us/library/dd979563(WS.10).aspx

Mehr als 3GB/4GB ? Dann wird PAE / AWE interessant

Tim Wanierke — Thu, 06 Jan 2011 14:32:00 +0000

In dem folgendem Artikel wird beschrieben, wann PAE /AWE interessant ist zu setzten.

Link : http://www.msxfaq.de/konzepte/4gb.htm

….

Mehr als 3GB/4GB ? Dann wird PAE / AWE interessant

Was machen Sie nun aber, wenn ihr Server tatsächlich mehr als 4 Gigabyte Hauptspeicher betreiben kann und Sie vor allem eine Anwendung nutzen möchten, die mit 3 GB nicht auskommt ?. Aber da gibt es ja noch den Speichermanager und schon in Zeiten von DOS und Windows 3.1 (16bit Grenze) war es möglich, den Speicher jenseits von 640 MByte zu nutzen. Der Memory Manager ist dafür zuständig, den virtuellen Speicher der Anwendung auf physikalischen Speicher umgesetzt wird und nicht vorhandener “echter” Speicher notfalls durch das Pagefile ersetzt wird. Dieses Hantieren mit Speicherseiten ist auch eine wichtige Schnittstellen für die AWE-Erweiterung. Eine Anwendung kann über diese Schnittstelle Speicher anfordern und verwenden. Ein Stückweit könnten Sie dies mit dem EMS-Speicher der frühen DOS-Zeiten vergleichen. Denn physikalisch kann die Anwendung aufgrund der Begrenzungen nur bis zu 4 Gigabyte adressieren. Daher kann eine Anwendung über AWE weiteren Speicher in diesen eigenen Adressraum einblenden lassen.

AWE bzw. PAE ist also keine Funktion, damit Windows mehr als 4 Gigabyte verwalten kann. PAE ist ein Weg, damit Anwendungen aus ihrer 3GB Grenze ausbrechen können, indem Sie mittels AWE auf weitere Speicher zugreifen. Voraussetzung ist aber, dass die Anwendung AWE nutzt.

Alle CPUs die auf der IA-32 Architektur von Intel basieren (seit Intel Pentium Pro) unterstützen einen 36-bit physical addressing Mode. (Physical Address Extension (PAE)) Dies erlaubt die Ansteuerung von bis zu 64 GByte Hauptspeicher durch das Betriebssystem.
Erst durch AWE können jedoch 32bit Anwendungen mehr als 3/4 GB ansprechen.

Dies bedeutet, dass ein Betriebssystem maximal 64 Gigabyte ansprechen und entsprechend vorbereiteten Anwendungen zuteilen kann. Dazu ist aber der Schalter “/PAE” zu aktivieren.

PAE wird seit Windows 2003 SP1 und Windows XP SP2 automatisch aktiviert, wenn der Prozessor die Funktion “no-execute page protection” unterstützt. Bei Windows 2003 Standard und Windows XP ist dann jedoch wieder das 4 GB Limit aktiv, um Probleme mit Treibern zu vermeiden.

Aus der Online Hilfe von Windows 2003

PAE X86 allows software using the Address Windowing Extensions (AWE) API set running on a computer with an Intel Pentium Pro processor or later and either Windows Server 2003, Enterprise Edition, or Windows Server 2003, Datacenter Edition, to map more physical memory into the application’s virtual address space.

AWE und /3GB stören sich
Wenn sie mehr als 16 Gigabyte RAM haben, dürfen Sie /3GB nicht einsetzen, da ansonsten AWE den Speicher darüber nicht nutzen kann.

834628 Data is corrupted when PAE is enabled on a Windows Server 2003-based computer

Der PAE-Switch kann auch auf Windows XP und Windows Standard Server 2003 verwendet werden. Auch der SBS-Server ist davon nicht ausgenommen. Diese Systeme können jedoch maximal 4 GB adressieren. Hier dient der Schalter zur Unterstützung der DEP (Data Execution Prevention). Siehe auch http://www.Microsoft.com/whdc/system/platform/server/PAE/PAEmem.mspx

Powershell Spickzettel

Tim Wanierke — Wed, 15 Dec 2010 08:16:09 +0000

Link : http://www.mywebcast.de/index.php/2010/03/13/powershell-spickzettel/