Einträge in Active Directory
Temporäres deaktivieren eines Accounts

Ich möchte diesen Blogbeitrag einer organisatorischen Hürde widmen, die in einer Exchange-Umgebung immer mal wieder auftritt. Konkret geht es um jene Benutzer in der Domäne, welche temporär deaktiviert und deren E-Mail-Account nicht endgültig gelöscht werden soll.

Hierzu ein Beispiel: Mitarbeiter A besitzt ein Domänen-Konto mit einer Mailbox auf dem Exchange-Server. Seine Mailbox enthält benutzerspezifische Einstellungen, wie zum Beispiel speziell gesetzte Berechtigungen und ein erhöhtes Quota-Limit. Dieser Mitarbeiter wird nun aufgrund eines längeren Auslandsaufenthalts freigestellt. Der Mitarbeiter hat seine Rückkehr zur Firma angekündigt, jedoch nannte er keinen festen Termin.
Der zuständige Personalverantwortliche beauftragt die Administratoren sich mit folgender Fragestellung auseinanderzusetzen:
„Wie gestalten wir die Zugriffsrechte auf die Domäne für den Mitarbeiter?“

Weiterlesen
Group Managed Service Accounts

In meinem letzten Blogeintrag habe ich die Notwendigkeit und die Nutzung von den, mit Windows Server 2008 R2 eingeführten, Managed Service Accounts erklärt. In diesem Beitrag zeige ich die Weiterentwicklung dieser Accounts.

Weiterlesen
Migration DHCP Server Role von 2012 R2 nach 2016

Heute erkläre ich kurz, wie man die DHCP-Rolle von einem Windows Server 2012 R2 nach 2016 migriert. Geändert hat sich hier seit den letzten Serverversionen nichts. Diejenigen unter euch, die bereits in früheren Versionen die DHCP-Rolle migriert haben, sollten also mit dem Verfahren vertraut sein.
 

Weiterlesen
SYSVOL Replikation nach Replikationsfehler wieder anstoßen

Nach einem Systemausfall stellen Sie fest, dass keine DFS-Replikation mehr zwischen Ihren Domain Controllern stattfindet. Im Event Viewer finden Sie hierzu die Warnung 2213, welche angibt, dass die Replikation für ein bestimmtes Volume beendet wurde, da eine DFSR-JET Datenbank nicht ordnungsgemäß heruntergefahren wurde. In den meisten Fällen lässt sich dieses Problem, wie in der Warnung beschrieben, über den Aufruf der WMI-Methode ResumeReplication lösen. Doch wie geht man vor, wenn die Replikation länger als die im Parameter MaxOfflineTimeInDays festgelegte Maximaldauer unterbrochen wurde?

Weiterlesen
In-Place Upgrade Teil 2: Umsetzung in der Umgebung - Keine Hexerei!

Wie ich bereits im ersten Teil dieser Reihe erläutert hatte, ist ein In-Place Upgrade keine Hexerei und läuft erstaunlich reibungslos. Während meines Tests traten keinerlei Probleme auf, jedoch kann sich dies von System zu System unterscheiden.

Nun möchte ich damit weitermachen, welche Schritte nach der im ersten Teil beschriebenen Vorarbeit noch nötig sind um ein komplettes Upgrade auf einem Domain Controller durchzuführen.

Weiterlesen
IADsUser::ChangePassword() schlägt seit Kurzem fehl

Seit dem 09. Oktober 2016 kann es vorkommen, dass Skripte oder Webseiten, welche Passwortänderungen für Benutzer durchführen, nicht mehr funktionieren. Dies kann aus der Verwendung der IADsUser::ChangePassword()-Methode in Verbindung mit dem ADSI WinNT Providerund dem Sicherheitsupdate KB3167679 vom 09.08.2016 resultieren. Mit dem Update wurden bestimmte Fallbacks bei der Authentifizierungsaushandlung deaktiviert, um unter anderem Downgradeangriffe zu verhindern. Der ADSI WinNT Provider verwendet unter bestimmten Umständen eine nun verbotene Authentifizierungsstrategie und resultiert ab nun in einem Fehler mit dem Errorcode: -2147023631 (ERROR_DOWNGRADE_DETECTED)
 

Weiterlesen
Migration eines Domain Controllers von 2008R2 auf 2012R2 – Teil 6 HerabstufenEntfernenNachbereitung

Zuletzt muss nun der alte DC entfernt werden. Die Schritte, welche hierfür notwendig sind, werden in diesem Teil der Blogeintragsreihe vorgestellt.
 

Weiterlesen
Migration eines Domain Controllers von 2008R2 auf 2012R2 – Teil 4 DHCP-Rolle

Die DHCP-Rolle ist ebenfalls häufig ein Bestandteil eines Domaincontrollers. In diesem Teil werden die erforderlichen Schritte für die Migration der DHCP-Einstellungen vorgestellt.

Weiterlesen