Eines der Lieblingstools der Admins ist ja die Remote Desktop Verbindung. So ist es auch bei mir (wenn es um die “guten Tools” geht ;-) ). Um so ärgerlicher ist es, wenn man ständig aus der Session fliegt und eine Fehlermeldung erhält die auf einen Verschlüsselungsfehler hinweist.

Because of an error in data encryption, this session will end.

 

Meist habe ich das Phänomen, wenn ich aus einer TS Session eine weitere Session starte. Ja, nicht sauber, aber manchmal nicht anders machbar.

Ein wenig Suchen brachte dann einen Erfolg, dass die Sessions stabil laufen.

Ich habe einen Registrierungsschlüssel gelöscht.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TermService\Parameters\Certificate

 

Das war es dann auch schon.

Vielleicht erspart euch das ein wenig Ärger…


 
Categories: ATE | Security

Beim Server 2003 SP2 (mit und ohne R2 Erweiterung) auf dem Terminal Server und Citrix installiert ist, kommt es zu einem Verhalten, das meiner Meinung nach ein Bug ist. Ich erkläre mal die Ausgangsituation:

Die Citrix Farm wird zur Vereinheitlichung parallel aufgebaut und die “alte” Farm bleibt in der alten Domäne. Die Migration der ca. 100 Citrix Server wär machbar, wurde aber vom Kunden nicht gewünscht. Der Zustand der Terminal Server Profile erklärt sich von selbst und diese sollten nicht konvertiert werden. Nach Inbetriebnahme der neuen Farmen, werden auch neue Profile erzeugt (getrennt nach Innen- und Außendienst).

In den GPOs haben wir die Cross Forest Policy Verarbeitung aktiviert, um die GPOs für die Citrix Farmen nutzen zu können. Weiterhin wurde per GPO das Überprüfen des Besitzes der Profile deaktiviert (Check Ownership).

Bisher ohne Probleme. Die ganz alten Terminal Server die noch auf Windows 2000 basieren machen genau das was sie sollen. Jeder User, der sich aus der neuen Domäne anmeldet, bekommt sein bekanntes (vorhandenes) Profil und kann Arbeiten.

Wenn man sich nun an einem Windows Terminal Server 2003 anmeldet, dann bekommt man immer ein temporäres Profil. Also haben wir uns das Verhalten mit dem File Monitor von Systernals angeguckt und festgestellt, dass die GPO abgearbeitet wird und der User auf das Profil der alten Domäne gelenkt wird. Zuerst fragt der Server, ob es ein Profil mit der neuen Domäne gibt. Die negative Antwort und die GPO veranlasst ihn nun das Profil der anderen Domäne zu nutzen, da ja das Präfix passt. Nach kurzer Aushandlung kommt nun aber Zugriff verweiger (Access denied). Alle User wurden mit SID History migriert, was den Zugriff auf die Ressourcen ermöglicht.

Trotz aller korrekten Einstellungen in den GPOs und den Userobjekten ist es nicht möglich das Profil zu nutzen. Einzige Möglichkeit dabei ist, dass man in den Sicherheitseinstellungen der Verzeichnisse die User aus der neuen Domäne aufnimmt. Dann ist selbstverständlich der Fehler nicht mehr da. Microsoft geht auch hier von einem Bug aus, obwohl dieser mit SP2 für Server 2003 behoben worden sein sollte.

Weitere Nachteil der Aufnahme der User ist, dass die Verarbeitung länger dauert. Bei einem Profil nicht so schlimm, nur tummeln sich bei den Farmen ca. 6500 User und da macht sich solch ein Umweg schon bemerkbar.

Vielleicht kann ich damit hilfreich sein, wenn ihr während einer Migration auf dieses Phänomen trefft. Es gibt nur diesen Workaround. An einer Lösung wird nun gearbeitet. Ich habe es auch noch nciht unter Server 2008 testen können.


 
Categories: ATE | Security | Software

July 25, 2009
@ 07:55 PM

Oh je, wenn man ein wenig mit der Technik spielt. Ich bin bei Marc und wir planen unsere erste gemeinsame Security Session. Thema und Agenda stehen fest. Nun musste noch ein aussagekräftiges Bild für das Opening entstehen. Gar nicht so einfach, wenn man nicht mit der Kamera im Handy umgehen kann. Der Selbstauslöser ist heimtückisch und das Motiv bestimmt  nicht einfach in ein Bild zu bannen. Nach mehreren Versuchen und einigen Lachern haben wir dann das Bild im Kasten gehabt, welches dann auch in der Session zum Einsatz kommt.

Was ruft die Menge? Zeigen… Her damit!!! Ok, aber auf eigene Gefahr.

Links im Bild: Marc "Vladimir" Grote

Rechts im Bild: Frank "wOOt" Solinske

Am 28.08.2009 werden die beiden Jungs bei der nrw in Wuppertal sein.

Anmeldung unter: http://www.nrwconf.de


 
Categories: ATE | nrw-conf

July 10, 2009
@ 09:31 PM

Es kann passieren, warum auch immer, dass ein Server 2008 einen Fehlercode 0xC004e002 ausgibt, obwohl er registriert und aktiviert worden ist. Dieses kann an einer inkonsistenten Lizenzdatenbank liegen, die sich dann auf den Server befindet. Eine große Menge graue Haare später habe ich einen Weg gefunden, um das Teil davon zu überzeugen, dass die Lizenz wirklich noch die echte ist. Denn der Server verrichtet seine Arbeit, aber man kann sich weder auf der Konsole noch per RDP verbinden.

Um den Workaround durchführen zu können, muss man eine CMD mit administrativen Rechten ausführen, sonst geht es nicht.

1) net stop slsvc

2) cd %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing

3) ren tokens.dat tokens.bar

4) cd %windir%\system32

5) net start slsvc

6) cscript slmgr.vbs -rilc (Ruhe bewahren, das Teil dauert eine gewisse Zeit!!!!)

7) 2x neu starten!!!! (Ja, wirklich 2x neu starten, extrem wichtig!!!)

 

Damit sollte es gehen.


 
Categories: ATE | Server2008 | Software | Vista | Windows7

Bei einer File Server Migration ist es zu einer suboptimalen Situation gekommen! Wir mussten Daten von einer Domäne in eine andere migrieren und haben einen Server 2008 Cluster zum File Server gemacht. Nun sollten alle Daten per Skript mit Robocopy kopiert werden, damit wir mit ADMT die Daten im Bereich Security umstellen können. Pustekuchen! Mit einer gewissen Verwunderung stellten wir fest, dass die NTFS rechte auf dem Verzeichnissen sauber mit gewandert sind, jedoch nahezu alle Berechtigungen bei der Dateiebene fehlen!!!

Sind ja nur 1,3 TB gewesen. Also nix mit “schnell händisch nachpflegen”.

Eine Analyse des Phänomens ergab Verwirrung, denn die Logs von Robocopy zeigen nur einen erfolgreichen Abschluss an. Nachdem wir tiefer in das Problem eingetaucht sind, stelle sich der Schuldige fast freiwillig! Robocopy.exe

Betroffen sind die Versionen

  • XP027 ( Vista ohne SP)
  • XP028 (Server 2008 und Vista SP1)
  • XP010 läuft nicht sauber unter Server 2008 und Vista (Genauso wie XP027)

 

Die Version XP026 scheint die Version zu sein, die das Problem nicht hat (Oder ich habe es noch nicht gefunden). Leider bekommt man die Version XP026 nur, wenn man die Robocopy Version mit der GUI lädt und entpackt. Darin ist diese Version enthalten, die man dann wieder kopieren und nutzen kann. Windows 7 wird mit der Version XP027 ausgeliefert. Hoffentlich wird die Version bald gefixed!


 
Categories: ATE | Server2008 | Software | Vista | Windows7

Man kann über ein selbsterzeugtes ADM File die Vorbelegung der Domäne für die Windows Anmeldung definieren. Diese Funktion ist hilfreich, wenn man eine Migration durchführt und den User die Auswahl abnehmen möchte (oder besser muss). Nun kam es zu dem merkwürdigen Effekt, dass wenn ein System durch den Bildschirmschoner gelockt wird und der User das System entsperren will, dann kann er sich nur lokal oder an einer anderen Domäne anmelden. Es war aber zwingend erforderlich, dass die “alte” Domäne genutzt wird. Nach etwas längeren Suchen war auch klar, was die Ursache zu dem Fehler war.

Der Ersteller hatte in dem ADM File die Option “CachePrimaryDomain” mit eingebunden. Der fleißige Admin hat brav die Option konfiguriert und auf die Domäne losgelassen. Die Option wird normalerweise seit Windows 2000 nicht mehr genutzt (berücksichtigt). Jedoch war die Einstellung daran Schuld, dass das Entsperren nicht sauber funktionierte und die Vorbelegung der Option “DefaultDomainName” immer wieder überschrieben hatte.

In diesem Punkt hat sich der Übereifer nicht ausgezahlt.

In diesem Artikel kann man nachlesen, dass die Option eigentlich keine Auswirkung hätte zeigen dürfen.

http://technet.microsoft.com/en-us/library/cc939704.aspx

 

Wie war das mit dem Verhalten zwischen Theorie und Praxis ;-)


 
Categories: ATE | Server2008 | Vista | Windows7

Nicki ist immer wieder für eine kleine Überraschung gut. Was musste ich da grad lesen :-)

Ich habs 2x gelesen und es scheint wirklich wahr zu sein.

Ein Update zum Early Bird! Wow , watt für ein Hammerpreis. Da werde ich neidisch, dass ich nur Speaker sein darf ;-)

 

Aber lest selbst was ich meine:

http://blog.ice-lingen.de/ice2009Registrierung100AnmeldungNach3915Stunden.aspx


 
Categories: ice-Lingen

May 28, 2009
@ 07:48 PM

Wenn man den Fehler ORA-00936 bei einer RSA High Availability Lösung bekommt, nachdem ein Schwenk der Primärinstanz stattgefunden hat, dann hat das wenig Dokumentierte Regional Time/Date Setting Problem zugeschlagen. Das einzige was jetzt noch hilft ist ein Patch, den man nur direkt über RSA bekommt. Der Ptach fixt die gesamte Oracle Datenbank und die Hauptkomponente der Serverinstallation. Der Fehler tritt häufig bei englischen Serverinstallationen aus (Host und RSA). Wenn man das Patch anfordert muss man nicht lange warten und man bekommt den Link per Mail.

Während des Downloads muss man sich ein wenig Zeit nehmen, denn der 2 teilige Patch ist insgesamt 1,6 GB groß!

Wieder etwas gelernt. Microsoft Patches sind gar nicht so groß wie immer gemeckert wird ;-)

Hier noch ein kleines Bild des Fehlers.

Happy Patching :-)


 
Categories: ATE | Security

May 21, 2009
@ 09:51 AM

Wenn man wie ich viel unterwegs ist, dann möchte man nicht auf das Internet und Mails verzichten. Zum Glück gibt es ja die UMTS Handys, die man dann zur Einwahl nutzen kann. Ich nutze geschäftlich das Nokia E71 und bin mit dem Handy auch sehr zufrieden. Nach dem Update meines Notebooks auf Windows 7 64 Bit musste nun zum Abschluss noch die UMTS Verbindung her. Leichter gesagt als getan. Das Handy wird zwar erkannt, aber so richtig funktionieren wollte es dann nicht. Zuerst musste ich die Firmware im Handy auf die Version 200.x updaten. Immerhin war das Update dabei 131 MB groß, und das für ein Handy. Da soll noch einer über die Patches von Microsoft meckern. Ok, weiter im Text. Nachdem ich das Backup meines Telefons wieder eingespielt hatte, wurde es nun sauber von Windows 7 erkannt.  Ich nutze die Nokia PC Suite um mich einzuwählen, jedoch bekam ich immer nur die Antwort, dass keine Netzwerkverbindung hergestellt werden kann. Auch nicht mit der aktuellen Version 7.1 :-( Zum Glück findet man direkt auf dem Telefon die Nokia PC-Access Software. Diese flott installiert und schon meldet die Software, dass das E71 für die Einwahl vorbereitet wird. 2 Sekunden später war ich dann auch im Internet und konnte wie gewohnt arbeiten.

Der nette Nebeneffekt: Diese Software läuft um ein vielfaches stabiler als die gleiche Software unter Vista :-)


 
Categories: Networking | Windows7

Microsoft gibt Gas bei der Veröffentlichung der neuen Betriebssystems Windows 7.  Auf Grund des hohen Feedback ist die Entwicklung sehr weit fortgeschritten. Somit kann man im 4. Quartal 2009 mit  endgültigen Version rechnen.

Ich persönlich freue mich schon und bin gespannt, wann die großem Hersteller (HP, Lenovo, Dell) die ersten Systeme mit Windows 7 im Angebot haben.


 
Categories: Windows7

Wenn man Groove 2007 des Office Pakets installiert hat und den Zielcomputer mit Easy Transfer wieder betankt, dann erlebt man eine böse Überraschung, wenn man Groove nach dem Neustart öffnet.  Dieses Konto ( und das Zertifikat) wird nicht mit transferiert. Hier muss man im Vorfeld eine Sicherung des Kontos und des Zertifikats auf dem Quellcomputer durchführen. Diese beiden Dateien, kann man dann problemlos einlesen und schon läuft Groove wieder. Im Bericht des Transfer Assistenten taucht kein Warnhinweis auf!


 
Categories: Windows7

Für alle User die noch zögern ihr System auf Windows 7 umzustellen, wurde nun der Windows 7 Update  Advisor Beta veröffentlicht. Wie schon zu Zeiten von Vista (was immer das auch war :-) ) kann man nun im Vorfeld rausfinden, welche Anforderung vielleicht erfüllt werden muss, damit das Update sauber klappt. Ich kann nur für meinen Teil sagen, dass ein halbwegs moderner Rechner der bereits unter Vista lief auch ohne Probleme mit Windows 7 RC klar kommt.

Hier ist der Link zum Update Advisor:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=1b544e90-7659-4bd9-9e51-2497c146af15


 
Categories: Vista | Windows7

Das Remote Server Administration Tool (RSAT) ist für Windows 7 verfügbar. Es steht in den Architekturen 32-Bit und 64-Bit zum Download bereit.

Hier ist der Downloadlink.

http://www.microsoft.com/downloads/details.aspx?FamilyID=f6c62797-791c-48e3-b754-c7c0a09f32f3&displaylang=en

Folgende Sprachen werden angeboten:

Deutsch,

Englisch,

Französich,

Spanisch,

Japanisch


 
Categories: Windows7

May 2, 2009
@ 09:46 PM

Ich habe am Wochenende alle Systeme auf die RC Version von Windows 7 umgestellt. Ich kann nur sagen, dass sich die Umstellung mit dem Easy Transfer Assistent absolut problemlos zeigt. Gut das ganze fing an, als meine geliebte Bootplatte (Raptor) den Dienst eingestellt hat. Also eine neue 500 GB Platte (16 MB RAM, 7200 rpm) bestellt und eingebaut. Acronis Echo Workstation ermöglichte die schnelle Kopie und eine XP Reparatur Installation zeigte nur bedingten Erfolg. Also Update :-) Mit dem migviz.exe Assistent eine IMG Datei zum Übertragen der Einstellungen erzeugt und dann die Partition erweitert. Wieder was gelernt! Die Datei erzeugt man mit dem 32 Bit Client und nicht mit dem 64 Bit! Dann die Überraschung: die Geschwindigkeit der Installation! ca. 25 Min. Wow! Es wurde die komplette Hardware eingebunden und die optimierten Treiber kamen über das Online Update. Nun kam der Moment, um die Einstellungen auf das neu Installierte Zielsystem zu übertragen. Obwohl weder Office noch Live Writer installiert worden sind, wurden die Einstellungen bereits übertragen! Jetzt noch schnell Office 207 hinterher und die Suite aktiviert. Beim ersten Öffnen von Outlook wurde ich nun sehr angenehm überrascht. Ich musste nicht mal das Passwort für das Outlook-Konto eingeben- Der Assistent hat alles sauber übertragen. Nachdem ich so angenehm überrascht worden bin, habe ich das Update meines Haupt Notebooks von Vista Ultimate 32 auf Windows 7 Ultimate 64 Bit durchgeführt und die ganze Prozedur wurde bestätigt. Super ist auch die Geschwindigkeit von Windows 7 gegenüber Vista SP2. Ich bin echt begeister und der Kompatibilitätsmodus von Windows 7 ist genial. Bisher habe ich noch keine Software gefunden, die nicht zum Laufen gebracht wurde.

Hier noch ein paar Bilder von Migrationsassistenten.


 
Categories: ATE | Beta Test | Windows7

May 1, 2009
@ 04:10 PM

Wieder öffnet die NRW am 28.08.2009 in Wuppertal ihre Tore. Ich freue mich, dass ich auch in diesem Jahr zum Kreis der Speaker zähle. Ich konnte das NRW Team erfolgreich überzeugen, dass ich bei den IT Pros etwas zum Thema Security erzählen will.

Ich habe das Glück mit 2 wirklich tollen Vorträgen dabei sein zu dürfen.

Session 1 Rootkits, und was mich ganz persönlich freut, ist der Umstand, dass die 2 Session eine absolute Neuheit für mich ist. Ich werde zusammen mit dem wohl allen bekannten Marc Grote einen Track als Security Shootout machen. Da die Nummer grad nach in einer frühen Entstehungsphase ist, kann ich noch wenig dazu sagen. Nur soviel, dass es sich lohnen wird, denn Marc ist bestimmt ein harter Partner und er boxt sich bereits warm, um mich in der Luft zu zerreißen.

Weitere Informationen: http://www.nrwconf.de/09/

 

Ich freue mich viele bekannte Gesichter zu treffen.


 
Categories: Community | Networking | Publikationen | Security

Immer wieder kommt es vor, dass Clients die Verzeichnisse Sysvol und Netlogon nicht erreichen können. Dieses hat zur Folge, dass Skripte und Gruppenrichtlinien nicht abgearbeitet bzw. angewendet werden. Meist kann man dann mit einer manuellen Aktualisierung diesen Umstand abschalten. Jedoch wäre eine dauerhafte Lösung deutlich besser. Auch wenn man den Debug Modus bei der Verarbeitung der GPO aktiviert findet man keine schlüssige Erklärung für Problem. Im Eventlog steht immer ein Fehler, dass LSASS einen Herunterstufungsangriff verhindert hat. Hat man es mit einem Hacker zu tun? Ist ein Anwender ein böser Junge?

Nein! Kein Panik. Die meisten Server die dieses betrifft werden als virtuelles System betrieben. Meist kommt hier die Enterpise Lösung ESX Server von VM Ware zum Einsatz. Dadurch sind dann natürlich die VM Tools in den Guest Systemen installiert. Werden die Tool mit der Option Standard installiert, dann wird auch die Option Shared Folder aktiviert. Die Funktion ist nur interessant, wenn man z.b. einen VM Server einsetzt. (ich weiß, dass man VM Server nicht produktiv einsetzt, nur ist diese Info noch nicht bei allen Admins angekommen :-) ). Bei einem ESX Server gibt es keine Host Verzeichnisse, auf die man zugreifen kann. Über die Systemsteuerung/Software/Ändern kann man die Funktion deinstallieren und dann ist auch der Angriff aus dem Eventlog weg. Also immer brav die Tools mit benutzerdefinierten Einstellungen installieren.


 
Categories: ATE | Software

ADMT ist ein schönes Tool. Wenn ich es mir oft genug einrede, dann glaub ich es auch bald!!!! Zur Migration von Computerkonten gehört es, dass man lokale Profile konvertiert. Bis hierher keine Probleme. Die Konvertierung führt man in der Quelldomäne durch bevor die Computerkonten wandern. Alles klar. Bei knapp 9000 Konten sicher keine Aufgabe für die GUI, also muss ein Skript her. Das Skript liest brav die Konten aus dem AD aus, erzeugt die Include Dateien. Option Datei und schreibt die Batches, um Los weise die Konten zu konvertieren und dann zu migrieren. Fertig – Go!

Error! Das angegebene Computerkonto konnte in der “Zieldomäne” nicht gefunden werden! Wie auch, ich will es ja erst migrieren. Kontrolle der Dateien keine Fehler. Hm, zu oft habe ich die Überraschung erlebt, dass es gravierende Unterschiede zwischen ADMT GUI und ADMT Skript gibt. Also das ganze mal mit der GUI gemacht. Zuerst unter Angabe der Include Datei und der Option Datei. Gleicher Fehler. Nur Option Datei – geht! Hä! Nur Include Datei – geht nicht. Ok, das Tool sucht also Streit. Es muss also einen Unterschied geben, wie der Aufruf der Computerkonten über das Tool erfolgt. Der ADMT Guide ist nicht wirklich eine große Hilfe bei der Skriptsteuerung von ADMT mit Include- und Option Datei.

Lösung:

Im Gegensatz zu allen anderen Include-Dateien benötigt die Datei für die Konvertierung von lokalen Konten einen etwas anderen Inhalt. Zeilenweise muss man das Format wie folgt wählen:

Quelldomäne\Name

Die Quelldomäne muss dabei mit dem NetBIOS Namen angegeben werden, dann klappt auch die skriptgesteuerte Konvertierung der lokalen Profile.


 
Categories: ATE | Security | Server2008

Wenn nach der Migration des Druckservers nicht alle Drucker im AD veröffentlich werden, dann müssen diese mit dem Skript prncfg.vbs aus dem Resource Kit 2003 nachträglich veröffentlicht werden. Der Aufruf des Skripts sieht folgendermaßen aus: cscript prncfg.vbs -s -b \\Server\PrinterName +published Damit das Skript ausgeführt werden kann, muss aus dem Resource Kit die prnadmin.dll registriert werden. Dieses erfolgt mit dem Kommandozeilentool regsvr32 Registrierung: Regsvr32 prnadmin.dll Ansonsten bricht das Skript mit einem Fehler ab. Dieses Phaenomen tritt auf, wenn der Druckserver eine große Menge an Druckern hostet. Bei mir waren es ca. 300 Stueck.
 
Categories: ATE | Server2008

April 19, 2009
@ 11:21 PM

Wieder eine kleine Merkwürdigkeit, die mich doch etwas verwundert. ADMT ist ja ein beliebtes Tool für die Migration, denn dazu ist es ja gedacht. Also wollte ich das Tool seiner Bestimmung nach einsetzen und wir standen vor der Aufgabe ca. 20000 Objekte zu migrieren.

ADMT 3.1 fällt durch das Raster, weil wir keinen Server 2008 zum DC machen wollten und auch nicht dürfen. Die Version 3.0 ist ja auch kein Prima. Best Practise für ADMT ist es ja Los weise mit 100 Objekten zu arbeiten. Ok, machen wir! Um eine saubere Migration zu gewährleisten, werden die Objekte mit SID History migriert, um den Zugriff auf die andere Domäne und die Ressourcen zu ermöglichen. Bei der existierenden Vertrauensstellung wird schnell mit netdom …/quarantine:no die SID Filterung deaktiviert.

Nun kommt aber der Hammer! Um das Verfahren etwas bequemer zu machen, soll ADMT per Skript arbeiten und dazu die generierten Includ-Dateien nutzen. Allerdings kann man diesen gewählten Weg nur nutzen, wenn ADMT direkt auf dem DC installiert wird! Ist ADMT auf irgendeinem anderen System installiert (Admin Workstation), dann werden alle Objekte OHNE SID History migriert. Besser gesagt, man kann dieses Feature nicht auswählen. Wenn man bei dem gleichen System das MMC von ADMT aufruft, dann funktioniert auch die Migration mit SID History. Da es hier um eine Sruktur mit ca. 2500 Globalen Gruppen und ca 1000 OUs geht, ist dieses manuelle Verfahren ausgeschieden.Denn bei der GUI muss man jeder OU einzeln aufrufen.  Also muss ADMT auf einem DC installiert werden, damit die skriptgesteuerte Migration funktionieren kann.

Leider ist mir keine Erklärung eingefallen, warum dieses so ist.


 
Categories: ATE | Server2008

April 8, 2009
@ 10:54 AM

Es ist wie aus dem Bilderbuch. Kaum macht man ein paar kleinere Arbeiten am System schon sind alle Fehler auf diesen Punkt zurückzuführen! Nach einen Schmeaupdate auf die Version 44 (Server 2008) tauchen im Eventlog sporadisch Fehlermeldungen auf.

Event ID: 11 Source: KCC DS_Service_Principal_Name Was bedeuten soll, dass es bei einem Server doppelt registrierte SPNs geben soll. Ok, ich konnte mir zwar nicht vorstellen was mein Schemaupdate mit dem SPN zu tun hat, aber egal: der Consultant ist immer Schuld!

Ich machte mich mit den üblichen Tools auf die Suche, um den Server zu suchen der diesen SPN doppelt hat!

Setspn –L <Server> zeigt nicht wirklich was Ok!

ldifde –f SPN.txt –t 3268 –d “DC=Domain,DC=Suffix” –l ServicePrincipalName –r “(ServicePrincipalName=*)”  -p subtree um alle Server abzufragen, auch nichts?

ADSIEdit und dort alle ServicePricipalName Einträge von Hand kontrolliert… auch ok?

Und nun die Auflösung:

Wenn man einen Server installiert und diesen von einer in die andere Domäne bringt, dann sollte man auch das Computerkonto löschen oder  wenigsten deaktivieren ;-)

Nur gut, dass der Server kundenseitig zur Verfügung gestellt (installiert) wurde ;-)


 
Categories: ATE | Server2008

March 24, 2009
@ 07:11 PM

Bei einer Migration habe ich heute ein Attribut gefunden, bei dem ich mich wirklich ernsthaft frage: Wozu benötigt man dieses Information im Active Directory?

Aber seht einfach mal selbst :-)

 

Ich nehme einen Doppelten :-)


 
Categories: ATE | Funny Stuff | Server2008

March 17, 2009
@ 08:57 PM

Ich bin bei einer Migration dabei das Testlab einer 4 Domänenstruktur aufzubauen, um die nötigen Schritte zu planen und zu verifizieren. Soweit ganz einfach. Heute gab es dann ein kleines Problem, denn der DNS Dienst wollte nicht so wie ich wollte.

Nachdem alle Metadaten gesäuberten worden sind (NTDSUTIL, ADSIEdit) und die Replikation und Trusts sauber funktionieren, war da immer noch das DNS Problem. Im Eventlog stand ein Fehler 4521 mit unbekannter Source.

Die Namensauflösung funktioniert sauber und die User werden sauber authentifiziert. GC ist auch sauber. Der Befehl:

DNSCMD /config /bootmethod

brachte nur eine kleine Verbesserung. Des Rätzels Lösung war, dass das System auf Biegen und Brechen nach der .-Zone (Root) sucht. Erst nachdem ich eine AD integrierte DNS Root Zone erstellt habe hörten die Fehler im Eventlog auf. Nun werde ich morgen die Root Zone aus dem AD entfernen (Primary Stand Alone) und dann löschen. Danach sollte der Fehler Geschichte sein.

Ich werde weiter Berichten.


 
Categories: ATE | Server2008

March 9, 2009
@ 09:19 PM

Das neue ice banner ist da:

ice2009

und natürlich auch der bekannte MSN Avatar:

 ice2009

Sehen wie immer klasse aus!!!!


 
Categories: Community | ice-Lingen

March 3, 2009
@ 08:20 AM

Große Ereignisse werfen ihre Schatten voraus. Am 22.08.2009 öffnet die ice bereits zum 5. Mal in Lingen (Wo sonst?) ihre Pforten. Ich habe gestern von Nicki erfahren, dass ich dieses Jahr wieder als Speaker bei der ice-lingen 2009 dabei sein werde. Für mich eine große Freude, denn damit knüpfe ich nahtlos an die letzten Jahre an und ich durfte bei jeder ice als Referent dabei sein! Immerhin 5x in Folge. Danke Nicki!!!

Wie im letzten Jahr werde ich mich im Business Track wiederfinden und dort eine Session zum Thema strukturiertes Datenmanagement halten. Hier wende ich mich eher an die Entscheider der IT als an die Techniker. Aber keine Sorge, der Vortrag ist für alle gedacht auch wenn es in diesem Jahr mal mehr in Richtung ITIL und SLA geht.

So stay tuned and see you @ ice-Lingen.


 
Categories: ice-Lingen | Publikationen

Warum schwer, wenn es auch Einfach geht ?

Jeder kennt das Problem, wenn es darum geht, die Eventlogs der Server zu überwachen oder zu überprüfen. Sicher kann man so etwas auch mit automatischen Tools wie SMS 2003 oder MOM 2005 erledigen, es geht aber auch deutlich günstiger !

Microsoft hat ein kostenfreies Tool dafür, mit dem man alle Server (auch DC´s) abfragen kann. Es heisst Event Comp

Downloadlink: http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e

Um das Tool benutzen zu können muss man Administratorenrechte besitzen. Oder das Recht zum Auslesen der Eventlogs muss delegiert worden sein. Es werden Windows Windows 2000, Windows XP und Server 2003 unterstützt. Event Comp bietet eine einfache und gut strukturierte GUI:

 

Im Feld Domain, wird die lokale Domäne automatisch angezeigt. Will man andere Domänen erfassen, dann kann man die erkannte Domäne einfach überschreiben.

Hinzufügen der zu scannenden Server: Mit einem Rechtsklick öffnet sich das Auswahlmenü:

 

Add a Single Server : Manuelles hinzufügen von Workstations oder Servern

Add DCs in Domain : Automatisches hinzufügen aller Domain Controller

Add DCs in a Site : Automatisches hinzufügen aller Domain Controller des Standortes

Add all GCs : Automatisches hinzufügen aller Domain Controller die GC sind

All Server from Browse : manuelles hinzufügen aller Server die per Netbios gefunden werden

Add Servers from File: auslesen einer Textdatei mit allen Servernamen

Add Comp from Dom : Automatisches hinzufügen aller PC´s und Memberservern

Nach der Auswahl werden die entsprechenden Server angezeigt. Man kann mehrere Server gleichzeitig durchsuchen lassen.

 

Man kann einzelne oder mehrere Logdateien gleichzeitig durchsuchen.

 

Bei der Auswahl der Ereignisse sind auch ein Mehrfachauswahl möglich.

 

Im Feld Evend IDs, kann man gezielt nach einer ID suchen, oder mehrere durch Kommata getrennte IDs suchen. Will man einen Bereich (600 – 700) durchsuchen, dann trägt man diese in die beiden hinteren Felder ein.

 

Im Bereich Sources kann man die Ursprungsquelle definieren. Standardeinstellung ist: All Sources. Durch das Dropdown Feld kann man die Quelle dediziert einschränken.

 

Im Menüpunkt: Searches – Built in Searches sind die wichtigsten Events vorkonfiguriert.

Das Gui wird entsprechend angepasst.

Mit Search wird die Analyse gestartet und das Ergebnis wird in dem Output Directory als EventCompMT.txt Datei gespeichert. Je nach Menge der Server und Größe der Logdateien kann die Analyse einige Minuten dauern.

 

Mit dem Event Comp Tool bekommt man ein mächtiges Hilfsmittel an die Hand, dass einem die tägliche Arbeit sehr erleichtert.


 
Categories: ATE | Software

January 29, 2009
@ 10:34 PM

Bei einem Kunden hatte ich das Phänomen, dass im Auftragsprotokoll des “aktiven” Jobs unter Serverstatus Server angehalten steht. Ein Blick in die Gerätekonfiguration zeigt aber deutlich, dass der Server nicht angehalten worden ist.

Das einzige was bleibt ist den Job abzubrechen, damit folgende Aufträge nicht in der Warteschlange landen. Aber auch die folgenden Aufträge starten mit dem gleichen Status: Server angehalten.

Auch wenn man entweder die Backup Exec Dienste komplett oder den ganzen Server neu startet, es ändert absolut nichts an diesem Zustand.

Das einzige was hilft ist, wenn man in den Eigenschaften des Sicherungsservers den Haken bei Angehalten setzt. Nun erscheint auch das gelbe Symbol an dem Server, das signalisiert, dass dieser Server in einem angehaltenen Zustand ist.

Setzt man den Server wiederaktiv, dann kann man wie gewohnt die Sicherungsjobs laufen lassen und alles ist schön.

Für mich ein Bug, mal sehen wie Symantec darauf reagiert.


 
Categories: ATE | Software

Ich habe wieder ein nettes Gimmick bei Windows 7 gefunden. Hierbei geht es um den Internet Explorer und die Anzeige des Donwloads.

Sicher nicht die Welt, weil es wird ja ein extra Fenster für den Download geöffnet, der über Geschwindigkeit, Fortschritt und geschätzte Dauer informiert. Will man sich das die ganze Zeit angucken? Ich nicht!

Also minimiere ich immer die Fenster und arbeite an anderen Sachen weiter. Nun die eigentliche Neuerung. Im Taskbarsysmbol des IE8 wird der Fortschritt durch einen Laufbalken angezeigt :-)

Das finde ich mal eine gute Erweiterung, denn so kann ich immer auf einen Blick sehen, wann man Download fertig ist, ohne dass ich zwischen den Fenstern hin und her wechsele.

Und so sieht das dann aus:


 
Categories: ATE | Beta Test | Windows7

January 17, 2009
@ 08:00 AM

Nun will ich auch mal was zu Windows 7 schreiben. Dabei muss ich mich über die Funktion etwas wundern und mich fragen, war das wirklich eine Anforderung der Anwender?

Baut man eine RDP Verbindung zwischen 2 Windows7 Rechnern auf, dann wird nun auch Aero übertragen!

Sieht toll aus, aber wozu? Ich werde das nochmal zum Thema Performanceverlust testen, denn das ist für mich ein sinnloses Feature.


 
Categories: ATE | Beta Test | Windows7

Wieder einmal hat sich gezeigt, dass es weiterhin unglaubliche Phänomene gibt, wenn man SAMBA Server mit Server 2008 verbinden möchte (oder muss.)

Bei einem Kundenprojekt habe ich die Migration von einer Windows 2000 Domäne zu Server 2008 Domäne durchgeführt. Alles verlief völlig Problemlos. bis die Migration der Fileserver in den neuen DFS Stamm (AD integriert) durchgeführt werden sollte. Die alten Fileserver wurden über Snapboxen von Overland Storage (ehemals Adaptec) betrieben. Die Zugriffe wurden per samba.conf definiert. Im Webinterface gab es auch die Möglichkeit ein Domain Joining in Active Directory durchzuführen (laut Handbuch Kerberos V5). Somit sollte der Umzug problemlos klappen, denn in der 2000er Domäne wurden alle Gruppen korrekt erkannt. Da die alten DC noch ein wenig mitlaufen sollten, war kein Problem zu erkennen, denn auch der Hersteller sagte, dass es KerberosV5 ist und funktionieren sollte. Nach ein paar Tagen fingen dann die Probleme an. Zuerst waren es vereinzelt Dateíen auf die User nicht mehr zugreifen konnte, dann war das Schreiben nicht mehr möglich. Somit wurde die Situation im Minutentakt immer "unschöner" und die Frustration stieg weiter an.

Nach eingehender Analyse folgender Konfiguration wurde schnell klar, wo der Hase im Pfeffer liegt.

samba.conf.

kerb5.conf

resolver,conf

smb.conf

SMB Signing funktioniert nicht wirklich und was da an Kerberos Infos (ads_kinit) kommt ist auch nicht sauber.

Also Klist und Kdestroy, um zu gucken ob das eine Abhilfe schafft. Ja, aber nur temporär. als nächsten Schritt habe ich die Kerberos Einstellungen soweit aufgeweicht, dass es ohne Probleme hätten klappen sollen, aber ohne wirkliche Besserung schlug der Versuch auch fehlt.

Mit diesen Infos sind wir an den Hersteller ran und dann kam auf einmal die Aussage, dass selbst mit dem nächsten Update Server 2008 nicht unterstützt wird. Ob überhaupt, stelle ich hier mal ganz deutlich in Frage.

Also wurde alle Daten schnell mit dem lokalen Konto Root mit dem Other Flag versehen und dann per Robocopy Skript (/copyall Schalter) auf einen DFS Server kopiert. Hier habe ich mit icacls.exe die Berechtigungen wieder korrigiert und die Replikation konnte beginnen. Natürlich mussten noch Loginscripte angepasst werden und die Pfade für die Verbindlichen Profile ebenfalls.  Der Kunde war total begeistert, dass man die Daten doch noch retten konnte und er man nächsten Tag wieder voll funktionstüchtig war.

Danke Overland für eine schlaflose Nacht!


 
Categories: ATE | Server2008

Wenn man den Systemstate mit Windows Boardmitteln sichern will, dann konnte man bis zur Version Server 2003 einfach das interne Backup Tool NTBACKUP dazu nutzen indem man den Haken bei Systemstate setzt.

Bei Server 2008 ist das Tool NTBACKUP nicht mehr Bestandteil des Systems. Nun muss man die zuerst über den Server Manager - Features die Windows Server Sicherungsfeatures installieren. Wichtig ist dabei, dass man die Befehlszeilentools und die Powershell zusätzlich mit installiert. Die Powershell wird automatisch ausgewählt, wenn man die Befehlszeilentools zur Installation auswählt.

Möchte man nur den Systemstate sichern ist man mit der grafischen Oberfläche schnell am Ende und stellt fest, dass die Funktion nicht anwählbar ist, besser gesagt: Sie existiert gar nicht!

Dazu benötigt man die Befehlszeilentools. Wozu sonst auch die Installation :-)

Über die CMD, die mit administartiven Rechten (oder zumindest Mitglied in der Gruppe Sicherungsoperatoren) ausgeführt werden muss gibt man folgenden Befehl ein:

wbadmin start SystemStateBackup -backuptarget:ZIEL:

Ziel: beschreibt den Ort an den die Sicherung geschrieben wird. Es kann sogar auf die Partition C: erfolgen.

Beispiel: 

wbadmin start SystemStateBackup -backuptarget:c: (Doppelpunkte beachten)

Allerdings ist die Sicherung gegenüber der Sicherung mit NTBACKUP komplett überarbeitet worden. Neben dem Systemstate wird auch eine *.vhd Datei erzeugt, die das Systemverzeichnis und "wichtige" Dateien aus dem Programmverzeichnis sichert. Somit kann die Sicherung auch schnell mal 80% der Gesamtgröße der C: Partition betragen. Das sollte man bei der Planung berücksichtigen. Über den Taskplaner kann man den Systemstate sichern lassen, wenn man die Kommandos in einer Batch Datei hinterlegt.


 
Categories: ATE | Server2008

Wieder wurde ich für ein weiteres Jahr zum MVP Enterprise Security ernannt. Somit zeigt sich mir wieder, dass die Arbeit in den Communities und meine Vorträge die Mühe wert waren.

Natürlich heißt es nun auch, weiter machen und die Schlagzahl erhöhen. Zur Zeit arbeite ich einige neue Session und Demos aus, die dann nach Fertigstellung entsprechend verbreitet werden. Aber es geht, wie immer, um Security und neue Methoden der Angriffe auf Systeme.

Danke auch an die ganzen Leute die mein Blog besuchen und Fragen in den Communities stellen.


 
Categories: ATE | Community | Security | Security4Everyone

In diesem Artikel geht es darum, dass man Verbindungen zu einem Terminalserver „out of the Box“ absichert. Die benötigten Komponenten sind bei einem Server 2003 dabei. Grundlegend benötigt man nur 2 Komponenten.

  1. Einen Terminal Server im Anwendungsmodus
  2. Eine Zertifizierungsstelle

!!! ACHTUNG – Wenn man nur eine CA im Netz installiert, muss man diese besonders Schützen. Dadurch hat man keine PKI implementiert !!!

Die hier beschriebene Vorgehensweise bezieht sich auf einen Server 2003 Ent. SP1

Die SSL Funktionalität kann nur genutzt werden, wenn der Server mit dem Service Pack 1 aktualisiert worden ist. Auf den Clients muss dann die neuste Version des Remote Desktop Clients installiert werden ! Der Terminalserver ist standardmäßig nicht mitinstalliert. Um diesen Nutzen zu können benötigt man einen Terminal-Lizenzserver der die CAL´s verwaltet.

Einrichten des Terminalservers:

Mit dem Serverkonfigurations-Assistenten kann man die benötigte Komponenten hinzufügen.

 

Nachdem die Terminalserver Funktion ausgewählt wurde, läuft die Installation automatisch ab. Für die SSL Verbindung benötigt man nun noch eine Zertifizierungsstelle. Auch diese muss manuell Nachinstalliert werden.

Installation der Zertifizierungsstelle:

Während einer Standardinstallation werden die Zertifizierungsdienste nicht mitinstalliert.

Über Start – Einstellungen – Systemsteuerung – Software – Windows Komponenten hinzufügen kann man die CA nachinstallieren.

 

Wenn man die Zertifikatdienste installiert, dann kann der Name des Server nicht mehr geändert werden ! Es wird dazu ein Fenster eingeblendet, das man mit OK bestätigen muss, damit die Installation fortgesetzt werden kann.

 

Nun muss man entscheiden, welchen Typ von CA man einsetzen möchte. Da es sich bei meinem Server um einen DC handelt, wähle ich eine Stammzertifizierungsstelle des Unternehmens. Dadurch ist die Zertifikatdatenbank in das AD integriert.

 

Nun erfolgt die Auswahl des Kryptographianbieters für das Schlüsselpaar (öffentlich / privat)

Die Standardeinstellung ist ausreichend und kann so übernommen werden.

 

Im nächsten Schritt muss ein allgemeingültiger Name für die CA definiert werden.

 

Während der Installation kann man den Speicherort für die Datenbank angegeben werden, oder der Standardpfad wird übernommen.

 

Wenn die benötigten Installationsdateien übertragen worden sind, ist die Installation der CA abgeschlossen.

 

Um zu kontrollieren, ob die CA korrekt arbeitet kann man versuchen, über den Browser eine Verbindung herzustellen. Dazu gibt man folgende URL ein: http://server01/certsrv. Wenn alles korrekt konfiguriert wurde zeigt sich folgendes Bild.

 

Für die SSL Verbindung muss für den Server ein Webserver Zertifikat angefordert und installiert werden. Um das Zertifikat anzufordern, wählt man unter Benutzerzertifikat – erweiterte Zertifikatanforderung. Im Abschnitt Zertifikatvorlage wählt man den Punkt Webserver.

 

Die Informationen zur Person ***müssen*** korrekt Ausgefüllt werden, damit das Zertifikat ausgestellt werden kann !

 

Wenn die Angaben akzeptiert worden sind, und die Anforderung vom Server verarbeitet wurde, dann kann man sofort das neue Zertifikat installieren.

 

Zur Installation einfach den angebotenen Link anklicken und die Warnmeldung mit Ja bestätigen.

 

Die Webseite der Zertifizierungsstelle sollte danach eine Erfolgreiche Installation melden.

 

Das neue Zertifikat befindet sich im Zertifikatsspeichers des Servers. Mit der MMC und dem Snap-in  Zertifikate (aktueller Benutzer) kann man dieses kontrollieren.

 

Nun kann man die Konfiguration des Terminal Servers entsprechend anpassen.

Die Konfiguration wird über das Tool Terminaldienstkonfiguration erledigt. Das tool befindet sich unter:

Start – Programme – Verwaltung – Terminaldienstkonfiguration – Verbindungen – RDP-Tcp

Mit einem Rechtsklick werden die Eigenschaften aufgerufen.

 

Mit Bearbeiten, die Schaltfläche für Zertifikate, kann man das Zertifikat auswählen und bestätigen. Der korrekte DNS Name muss im Feld Zertifikat angezeigt werden, damit das Zertifikat nutzbar ist !

 

Mit diesem Zertifikat, kann man nun die Sicherheitsstufe auf SSL umstellen. Im Dropdownfeld Sicherheitsstufe, sollte man nun den Punkt SSL auswählen können.

 

Nach der Bestätigung mit OK sind nur noch SSL Verbindungen zu dem Terminal Server möglich. Somit ist die gesamte Kommunikation zwischen Client und Server verschlüsselt.

Um den TS-Client mit SSL nutzen zu können muss die neuste Version des RDP Clients installiert werden. Der Client befindet sich auf dem Server unter:

%systemroot%\windows\system32\clients\tsclient\win32\

Wenn bei dem Client nicht das korrekte Zertifikat installiert worden ist, bekommt man eine Fehlermeldung, wenn man versucht eine Verbindung aufzubauen.

 

An dem RDP Client muss man noch die Authentifizierung aktiveren, damit das Zertifikat installiert wird. In den Eigenschaften des RDP Clients auf der Registerkarte Sicherheit wählt man die Einstellung Authentifizierung erforderlich.

 

Durch die Installation des Zertifikats und Einrichtung der Authentifizierung ist es nun möglich eine verschlüsselte Verbindung zum Server aufzubauen ! SSL wird durch das gelbe, geschlossene Schloss in der Titelzeile der Verbindung angezeigt.

 

Durch diese einfache Konfiguration können nun auch gesicherte RDP Verbindungen durch das Internet geschaltet werden. Wenn diese Lösung in größeren Umgebungen eingesetzt werden soll, dann ist der Einsatz eine PKI unabdinglich ! Des weiteren müssen die Zertifizierungsstellen gesondert gesichert werden (Offline/Online Verfahren).

Namensgebung:

TS                   = Terminal Server

MS                  = Microsoft

SSL                 = Secure Socket Layer

CA                  = Certification Authority

DC                  = Domain Controller

AD                  = Active Directory

URL                = Unique Request Locator

PKI                 = Public Key Infrastructure

CAL                = Client Access License


 
Categories: ATE | Security

November 20, 2008
@ 05:09 PM

Nachdem mich einige Mails zu dem Post über das RSA Update erreicht haben, gibt es hier noch eine ergänzende Information.

Welches Tool wurde zum Sichern der Datenbank genutzt?

SDDump.exe (Bestandteil seit Version 5.x)

Wo Finde ich das Tool?

Im Programmverzeichnis vom ACE Server. Einfach über eine Konsole mit administrativen Rechten ausführen.

 

Sollte es weitere Fragen geben, dann werde ich diese hier veröffentlichen.


 
Categories: ATE | Security | Software | Vista

November 17, 2008
@ 10:26 AM

Mein Vortrag über die Rootkits scheint auch das Interesse der Presse getroffen zu haben. Am Samstag den 15.11.2008 wurde der Vortrag mit einem Artikel belohnt. Wenn man nun den Namen Solinski gegen Solinske austauscht, dann ist Alles richtig. Aber wir wollen da mal nicht so sein. Mir persönlich hat es riesigen Spaß gemacht und ich hoffe, dass die Wirkung nicht so schnell verblasst. Einige Zuhörer waren auch nach der Demo völlig sprachlos und wunderten sich über das Gezeigte.

Hier der Artikel aus dem Emsländer Tagesblatt:


 
Categories: ATE | Security | Security4Everyone | Vista

Ich musste beim Kunden für ein Projekt den Core Switch um ein weiteres Modul ergänzen. Da die Module Hot Plug sind, war der Einbau schnell erledigt. Im Vorfeld habe wurde die Konfig2 (die identisch zu Konfig1 ist) in den sekundären Speicher verschoben. Damit das gute Stück weiter funktioniert, wenn mit dem Firmware Update etwas daneben geht. Auch dieser Schritt verlief ohne nennenswerte Zwischenfälle.

Somit waren alle Voraussetzungen für das Update erfüllt:

  • Firmware Update gezogen und entpackt
  • Konfig intern und extern gesichert
  • Modul eingebaut
  • Modul ist korrekt erkannt worden

Nun kam der Moment indem das neue Firmware File auf den Switch sollte, aber irgendwie hat der Switch kein Upload per XMODEM akzeptiert. Sehr eigenartig, solle nun auf der Zielgeraden das Update scheitern?

Zum Glück hat der Switch eine USB Snittstelle die man für solch einen Transfer nutzen kann. Also Stick umformatiert (FAT16) und das File da drauf kopiert.

Mit folgenden Kommando kann man nun das File auf den Switch kopieren (Connect über eine Terminal Emulation VT100 8N1)

copy USB <Filename> flash

Danach war das Update eine Kleinigkeit. Der Switch bootet 2x und gleicht die Firmware Stände ab. Nachdem das geschafft war konnten wir eine Messung mit IPerf durchführen. Alles ok das Modul und der Switch arbeiten einwandfrei.


 
Categories: ATE | Networking

November 11, 2008
@ 05:29 PM

Am 13.11.2008 (kein Freitag ;-) ) bin ich im Emsland bei der it-Emsland und werde dort einen Vortrag zum Thema Rootkits halten. Wie gewohnt werde ich dabei die Gefahren der lokalen Adminrechte zeigen, die immer noch auf den System "in the Wild" existieren.

Für viele ein alter Hut, aber man kann einfach nicht oft genug darauf hinweisen, was wirklich passieren kann. Es werden somit spannende 90 Minuten die das Publikum vor sich hat.

Ich freue mich auf den Vortrag und möchte mich für die Einladung bedanken.


 
Categories: ATE | Publikationen | Security

November 4, 2008
@ 11:10 AM

Ich habe bei einem Kunden ein Update des RSA/ACE Servers gemacht. Eigentlich nicht wirklich schwer oder kompliziert. Die Version 6.0 sollte auf die Version 6.1.2 gebracht werden.

Was habe ich gemacht:

  • Alle Files und Patches von der RSA Seite gezogen und entpackt.
  • Sicherung der RSA Datenbanken (Log & Konfig)
  • Sicherung der Userliste
  • Sicherung der Tokenliste
  • Kontrolle der Citrix Umgebung ob der RSA Connect funktioniert

Dann habe ich alle Updates und Patches eingespielt und die Server neu gestartet. Nachdem die abschließende Kontrolle ein funktionierendes System ergab, gingen wir in die Testphase über. Nun erfolgte genau das was man immer erwartet. Der Login über das Citrix Secure Gateway funktioniert nicht. Wenn man schon mal dabei ist, dann machen wir es richtig! Denn nun konnte sich gar kein User mehr anmelden. Langsam spürte ich wie transparente Flüssigkeit aus mit quillt. Nach kurzer Suche habe ich den Schuldigen schnell analysiert.

Nach dem Update wird der RSA Authentification Manager NICHT automatisch gestartet, wenn man den ACE Server neu startet. Eine kleine Anpassung am Startverhalten der Dienste in der ACE Konsole schafft hier Abhilfe. Nun ist das Update sauber installiert und der Kunde ist glücklich.

Vielleicht hilft das Jemanden, wenn er so ein Update fahren muss.


 
Categories: ATE | Security

September 13, 2008
@ 02:51 PM

Ich bin von der Entwickler Konferenz NRW08 aus Wuppertal zurück. Daniel Fisher und Stephan Oetzel haben wie immer ganze Arbeit geleistet und ein tolles Event organisiert. Ich durfte in diesem Jahr 2 Vorträge halten.

1. Session: Live Hacking

In der Kürze der Zeit habe ich mit schnellen, eindrucksvollen Mitteln gezeigt, wie schnell man an das allerseits heiß begehrte Adminpasswort kommt. In der virtuellen Umgebung demonstrierte ich eine Szenario in dem mittels ARP Poisining die nötigen Infos auf meinem System landen. Zur Info: Alle Systeme hatten einen aktuellen Patchlevel!

Ich hatte gar nicht damit gerechnet, dass bei einer reinen Developer Konferenz überhaupt einer dafür Interesse hat. Schwer getäuscht - Full House, so dass einige Leute leider auf dem Boden sitzen mussten.

Hinterher ergaben sich aus dieser Session viele Interessante Diskussionen rund um Security. Mit hat es irre Spaß gemacht, mal wieder so eine Session zeigen zu dürfen.

2. Session: Datenschutzbeauftragter - Fluch oder Segen?

Hier war die Menge des Publikums eher überschaubar. Dennoch war es toll dieses Thema zu referieren, denn durch die aktuelle Situation steigt mittlerweile die Sensibilität für dieses Thema. Auch hier hatten wir unseren Spaß und es wurde rege diskutiert.

Zum Abschluss ging es dann in die wuppertaler Innenstadt, um ein gemütliches Bier zu trinken. An diesem Abend haben wir Wuppertal mit einen neuen Virus infiziert!

Was ist Phase? Diesen Sloagen wird man bestimmt immer wieder dort hören ;-)

Für 2009 wurde der Termin bekannt gegeben und ich habe wieder eine Einladung als Speaker bekommen. Ich freue mich schon auf die Konferenz. Dank an das ganze Orga Team, dass man so gut betreut worden ist!


 
Categories: ATE | Community | Security

September 6, 2008
@ 02:18 PM

Nun hat es mich auch erwischt. Der MVP Renamer ist angekommen. Aus dem MVP Windows Server Security wird der MVP Enterprise Security. Wann die Umstellung erfolgt ist, weiß ich leider auch nicht. Diese Info ist an mir spurlos vorbei gegangen.


 
Categories: Funny Stuff | Security | Security4Everyone

August 31, 2008
@ 09:07 PM

Ich bin von der ice:2008 wieder zurück und wollte ein wenig darüber berichten. Ich bin wie immer begeistert, dass die ganze Veranstaltung so gelaufen ist. Aber warum wundert man sich darüber, denn das Orga Team kennt sich lange genug und arbeitet perfekt zusammen. Ein riesiger Dank an das ganze Team, dass man so betreut wird und sich immer wohl fühlt. Ich hatte in diesem Jahr einen Track zum Thema Datenschutzbeauftragter gehalten und war mir nicht sicher, ob überhaupt ein Zuhörer kommt. Dann wurden es doch so ca. 40-50 Personen und der Vortrag ging in gewohnt lockerer Manier über die Bühne. Worüber ich mich besonders gefreut habe ist, dass später einige Zuhörer zu mir kamen und sich für den "super Vortrag" bedankt haben.

Ich muss mich bei meinem Publikum bedanken, denn ohne die Zuhörer ist der schönste Vortrag nutzlos!

Der Tag ging mit der legendären Bits & Bratwurst Party zu Ende und endlich war genug Zeit die vielen Leute zu treffen, die den ganzen Tag beschäftigt waren. Nicki hat sich mit dem Wettergott so gut verständigt, dass das herrliche Wetter bis tief in die Nacht anhielt.

Ich freue mich schon auf die ice:2009!

ice_2008_Datenschutz_final.pdf (1,49 MB)

Hier ist der Vortrag als Offline Version.   


 
Categories:

August 2, 2008
@ 09:12 PM

Was passiert wenn Männer alleine am Wochenende Zeit haben?

Richtig: Grillen, Auto fahren, Zigarren paffen und sinnfreie Diskussionen führen ;-)

So geschehen als ich mit Marc ein "kleines" Stück Fleisch nach grilltechnischer Veredelung verzehrt hatte. Es wurde die Flache Chilli Schnaps geöffnet und verkostet. Hinterher gab es eine feine Zigarre (Sumatra Tabak) und es wurde gesurft. WLAN macht es möglich :-)

Vorher, ohne Einfluss berauschender alkoholischer Getränke, haben wir Marcs neuem Töff Töff ein wenig Auslauf gegönnt. Das Grinsen musste man hinterher mit einem Vorschlaghammer chirurgisch entfernen. Seht selbst... Sonne, PS, ein Grill und ein paar Zigarren. "Allways look on the bright Side of Life"

Alle Angaben ohne Gewähr...


 
Categories: Funny Stuff

Immer wieder erreicht mich die Frage, wie man den Account des Administrators unter Vista Home Premium oder Vista Home Basic Version sichtbar macht.

Wenn man direkt die lusrmgr.msc aufruft bekommt man nur angezeigt, dass diese Konsole unter dieser Betriebssystem version nicht unterstützt wird. Dennoch ist man nicht auf verlorener Position.

Über die Kommandozeile (CMD) kann man den Administrator aktiveren.

Dazu gibt man folgenden Befehl ein:

net user Administrator /active

Um den Administrator wieder zu deaktivieren (oder andere Acounts) nutzt man:

net user Administrator /active:no

 

Und das war es dann auch schon. Bei der nächsten Anmeldung steht der Administrator zur Verfügung.


 
Categories: ATE | Vista

Heute habe ich etwas unter Office 2007 entdeckt, was für mich neu war. Ich hatte von diesem Feature gehört es bislang aber nicht gefunden.

Man kann die Ribbonbar links und rechts durchs Bild scrollen. Ich habe nahezu jede Mausfunktion probiert, nur leider ohne Erfolg. Bis heute!

Wenn man mit dem Mauszeiger irgendwo auf der Ribbonbar ist und das Scrollrad nutzt bewegt sich die Bar durch das Bild. Ja, manche brauchen immer etwas länger, um gewisse Features zu finden.


 
Categories: ATE | Office | Vista

May 16, 2008
@ 09:08 AM

Ein freundliches Hallo an Alle ice´ler.

heute habe ich mal wieder \\ice:2008 Neuigkeiten. Wer was auf die Augen haben will, der sollte umbedinngt die neu gestalltete Seite der ice besuchen. Nicki und Christian haben wie immer ganze Arbeit geleistet und mit dem Design die ice:2008 in das richtige Outfit gesteckt.

Als besoderes Highlight gibt es in diesem Jahr den Bereich \\ice:studies. Auch hier geht es um Wissenaustausch und Networking. Mehr wird (noch) nicht verraten, diese Ehre gebührt Nicki.

Ich freue mich wie immer auf die ice und hoffe, dass ich viele bekannte gesichter treffe und eine menge neuer leute kennen lerne.

Gruß

Frank


 
Categories: ATE | ice-Lingen | Publikationen

Jeder kennt den Fingerprint Reader von seinem Notebook, wenn es ein relativ aktuelles Modell ist. Nicki hatte dazu einen Artikel geschriben, wie man den Microsoft Fingerprint Reader auch unter Vista nutzen kann. Aber! Microsoft selber schätzt diesen besagten Reader als potentiell unsicher ein, weil ja eine Datenbank mit den relevante nDaten auf dem System gelagert werden muss, gegen die der Fingerabdruck verglichen wird. Ok das sehen ich ein, allerdings wurde duch die Bitlockertechnologie dieses Argument sdeutlich entkräftet und ich gehe so weit, dass man den Fingerprintreader nun auf für die Authentifizierung an Domänen nutzen kann. Als voraussetzung dazu, sollte man natürlich Bitlocker im Einsatz haben. Das wiederum setzt Vista Ulitmate oder Vista Enterprise auf der Clientseite voraus und ab Server 2008 könnte man es nun auc hzur lokane Anmeldung am Server nutzen.

Nun müssen die Scanner nur noch besser werden, damit Tricks wie das kopieren eines Fingerabdrucks oder das Nachformen mit Holzleim nutzlos werden. Dennoch bin ich fest der Überzeugung, dass biometrische Systeme nun schneller zur Authentifizierung gentzt werden können.


 
Categories: ATE | Security | Security4Everyone | Vista

April 22, 2008
@ 07:04 PM

Die Videos der Vorträge vom Server Launch sind online. In der Microsoft Online Videothek sind alle Vorträge vom Server Launch und der Sharepoint Konferenz zum Download und zur Onlinebetrachtung bereit. Meinen Vortrag habe ich dort auch gefunden.im

Mein Thema:

Bitlocker mit Server 2008 in Enterprise Umgebungen. Download: Bitlocker Live Demo


 
Categories: ATE | Community | Publikationen | Security

April 22, 2008
@ 03:09 PM

Wenn man seine XBOX360 als Media Center nutzen möchte, dann muss man die Verbindungssoftware Media Connect 2.0 installieren. Gesagt - getan. Erfolg = geht nicht :-(

Selbst die Installation sieht komisch aus, denn  das Icon ist wird nicht korrekt dagestellt und der Connector funktioniert nicht. Das Problem ist hier der Media Player 11. Dieser richtet bei der Installation eine Media Freigabe ein, die den Media Connector 2 behindert. Nun kann man entweder den Media Player 11 wieder deinstallieren, danach funktioniert der Media Connect aber auch nicht. Man muss den Media Connect aus der Registry löschen und neu instalieren. Oder man nutzt die modernere Schnittstelle des Media Player 11. So habe ich es dann auch gemacht. Schon kann man beim spielen, die eigene Musik hören.    


 
Categories: Funny Stuff | Vista

Apple hat angekündigt, dass mit dem Update auf die Version 2.0 des Betriebssystems das iPone "Enterprise-ready" ist. Bleibt de Frage, ob aus Sicht der Administratoren solche Geräte eingesetzt werden sollten. Hier zuerst die wichtigsten Neuerungen die im Update enthalten sind:

  • Push-Mail
  • WLAN mit WPA2
  • Port Security 802.1x
  • Fernzugriff zum Löschen
  • Sicherheitsrichtlinien
  • IPSec VPN Client

VPN wird auf Basis des Cisco Clients realisiert weren, somit werden automatisch Probleme mit der Kompatibilität erzeugt, die sich bestimmt erst im Detail zeigen weren. Gegen WLAN WPA2 ist (noch) nicht zu sagen, aber auch hier ist die Gefahr das Gerät selber. Wenn es bei einer 4 stelligen Zugangskontrolle zum Gerät bleibt, dann ist das kein Schutz. Die neuste Generation des iPhone hat 16 GB Kapazität und damit lassen sich eine Menge Daten aus dem Firmennetz abziehen!

Auch ist der SIM Lock Schutz schon lange geknackt, egal ob per Hardware oder per Software. Im Internet findet man heute schon Tools, die für die Verison 2.0 als Proof of Concept bereitstehen. ZU prüfen ist auch noch, ob die versprochene Datenverschlüsselung einzug gehalten hat.

Aus meiner persönlichen Sicht, würde ich zur Zeit ein "no Go" als Empfehlung aussprechen, wenn ich zum Thema iPhone in Enterprise Umgebungen gefragt werden würde. Nach wie vor ist das Teil ein Prestigeobjekt und hat den exotischen Reiz.

Kommentare und Kritik sind gerne willkommen.


 
Categories: ATE | Networking | Security

Der gläserne User ist ein wenig milchiger geworden! Zum Thema Vorratsdatenspeicherung habe ich mich bereits geäußert. Als Mensch der die persönlichen Rechte schätzt und schützt hat nun das Bundesverfassungsgericht in Karlsruhe genau hier eingehakt und das Gesetzt massiv eingeschränkt. Nach wie vor ist es (leider) noch rechtens, dass ein Unternehmen diese Daten speichert. Jedoch dürfen diese Daten nur noch und ausschließlich für besonders schwere Straftaten genutzt werden. Dazu gehören Mord, Raub und Kinderpornografie, aber auch Geldwäsche, Korruption, Steuerhinterziehung und Betrugsdelikte.

Auch wenn diese einstweilige Verfügung nur vorläufig ergangen ist, hat sie deutliche Signalwirkung! Ich kann mir vorstellen, dass es nicht lange dauert, bis die Verfügung endgültig ist. Immerhin hat jeder Mensch das Recht zur informellen Selbstbestimmung und das lt. Grundgesetz!!!!


 
Categories: ATE | Community | Security | Security4Everyone

Ich poste hier eine persönliche  Aktion von meinem guten Freund Nicki Wruck.

--------------------------------------------------------------------

Hallo Community.

Nach langer, blogloser Zeit melde ich mich mal in einer persönlichen Sache zurück.

Heute Abend wurde auf der Fahrerseite meines Autos (schwarzer Volvo V70) die Scheibe eingeschlagen und mein Navi geklaut. Ein TomTom Go 700.

Über die Tatsache meiner eigenen Dummheit, dass Navi an der Scheibe kleben zu lassen, möchte ich an dieser Stelle nicht streiten. Sicher war es einladend, auf der anderen Seite verbietet mir mein Rechtsempfinden, diese Tatsache für einen Dieb als Einladung anzusehen.

Ort und Zeit: Am Werder (Hotel Bergström), Lüneburg zwischen 20:00 und 22.00 Uhr, 12.03.08

Wer hier in der Gegend wohnt, dort auch zufällig war oder jemanden kennt, der möge mir bitte helfen, diese vermutlich xxxxxxx-losen, minderbemittelten und armseligen Kreaturen an den Pranger zu stellen. Möge die Polizei diesen Bodensatz der sozialen Schicht eher fassen als ich.

Eine extrem großzügige Belohnung ist auf die Ergreifung dieser geistig limitierten Ratten hiermit ausgesetzt.

Bin für jeden - ernstgemeinten - Hinweis dankbar.  

Bitte postet diesen Beitrag auch in jedem anderern Blog, in jedem Forum und in jeder Newsgroup, in der ihr unterwegs seid. Nur durch große Verbreitung über alle Kanäle kann diesen Heckenpennern das Handwerk gelegt werden.

Vielen Dank!

Gruß,

Nicki

-------------------------

Ich hoffe, dass Nicki die entsprechenden Personen ergreifen wird.