Archives for

nslookup – (root) ??? unknown type 41 ???

In Windows Server 2008 R2 und 2012-Umgebungen traf ich bisher einige Male auf folgendes Phänomen – beim Start von nslookup erhielt ich diese Fehlermeldungen:

(root) ??? unknown type 41 ???

oder lediglich

Standardserver: unknown

Die Ursache war in beiden Fällen die selbe. In der IPv6-Konfiguration des Netzwerkadapters war der bevorzugte DNS-Server ::1 (Loopback Adapter) hinterlegt.

Sobald die Konfiguration auf “DNS-Serveradresse automatisch beziehen” umgestellt wurde, verschwanden die Fehlermeldungen.

Read More

DistributedCOM, Ereignis 10016

Tritt im Anwendungsprotokoll der DCOM-Fehler mit Ereignis-ID 10016 auf, sind die Berechtigungen eine Komponentendienstes anzupassen.

Fehlermeldung:

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-2883827508-2762346613-2019996408-1141) für Benutzer domain\user
von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Activation (Lokal) für die COM-Serveranwendung mit
CLSID {000C101C-0000-4195-C000-0704BD730D5F}
und
APPID {000C101C-1D9F-0000-C000-0C57A7F29BA1}
gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Über die Suchfunktion der Registry kann ermittelt werden, welcher Dienst hinter den beiden genannten CLSID und APPID steckt.

> Ausführen > regedit > Bearbeiten > Suchen: {APPID}

Anschließend in die Verwaltungskonsole der Komponentendienste wechseln (> Ausführen > comexp.msc)

> Komponentendienste > Computer > Arbeitsplatz > DCOM-Konfiguration
> Eigenschaften des Komponentendienstes öffnen
> Reiter “Sicherheit”
> Start- und Aktivierungsberechtigungen > Bearbeiten


> Hinzufügen > Benutzer hinzufügen, dem laut Fehlermeldung die Berechtigungen fehlen

HINWEIS: Sollten die Menüpunkte unterhalb des Reiters “Sicherheit” ausgegraut sein, ist zuvor ein weiterer Schritt in der Registry vorzunehmen:

> In der Registry wechseln zu HKEY_CLASSES_ROOT\AppID\{CLSID der Komponente}
> Kontextmenü des Objekts > Berechtigungen
> Erweitert > Besitzer “Ändern” > aktuellen Benutzer hinterlegen
> Derzeitigen Benutzer bzw. entsprechende Administratoren-Gruppe berechtigen (Vollzugriff)

Anschließend können die Sicherheitseinstellungen des Komponentendienstes bearbeitet werden.

Read More

netstat

netstat > Protokoll, Lokale Adresse, Remoteadresse (NetBIOS), Status

netstat -f > Protokoll, Lokale Adresse, Remoteadresse (FQDN), Status

netstat -n > Protokoll, Lokale Adresse, Remoteadresse (IP), Status

netstat -e > Ethernet-Schnittstellenstatistik incl. Pakete mit Status “Verworfen” und “Fehler

netstat | find “443″ > Protokoll, Lokale Adresse, Remoteadresse, Status > ausschließlich Einträge die 443 enthalten

Read More

WDS | Ereignis ID 519

Werden Clients während der Installation per WDS zur Domäne hinzugefügt, protokolliert der WDS-Server folgende Fehlermeldung:

Ereignistyp: Fehler
Ereignisquelle: BINLSVC
Ereignis-ID: 519 Benutzer: n/A
Computer: “Computername”
Beschreibung:
mehrere Computerkonten mit derselben GUID oder MAC-Adresse in Active
Directory-Domänendiensten gefunden wurden. Der
Windows-Bereitstellungsdienste-Server wird das erste aufgeführte
Computerkonto verwenden.

MAC-Adresse: “Adresse”
GUID: “GUID”

Liste der übereinstimmenden Computern:
“Name”
“Name”

Diese Meldung erscheint, obwohl weder GUID noch MAC doppelt vergeben wurden. Microsoft hat hierfür ein Hotfix bereitgestellt, welches auf dem WDS-Server zu installieren ist: KB2028840

Read More

SID eines Benutzers ermitteln

Viele Wege führen nach Rom; so auch bei der Ermittlung des eindeutigen SID (Security Identifier) eines AD-Benutzers.

1) PowerShell (2008 R2)
Im geladenen ActiveDirectory-Modul der Powershell auf dem DC einzugeben:

Get-ADUser -Identity <AD-Benutzer>
(AD-Benutzer kann sein: DN, GUID, SID oder sAMAccountName. Per SID Rückwärtsabfrage möglich!)

2) DSGET / DSQUERY
In CMD auf DC einzugeben:

dsget user “DN des Benutzers” -sid

Sollte der DN nicht bekannt sein:

dsquery user domainroot -name “NameDesBenutzers” | dsget user -sid
(bei NameDesBenutzers kann auch mit Wildcard gearbeitet werden)

3) Active Directory-Benutzer und -Computer
Unter “Ansicht” den Punkt “Erweiterte Features” aktivieren.

- Eigenschaften des Benutzers öffnen
- Reiter “Attribut-Editor”
- Attribut: objectSid

4) WHOAMI
CMD als entsprechender Benutzer öffnen (z.B. an Win7-Arbeitsstation)

whoami -user

Read More

Befehlszeilenreferenz A-Z

Link zur aktuellen Befehlszeilenreferenz für Windows Vista – 7 & Windows Server 2003 – 2008 R2:

http://technet.microsoft.com/de-de/library/cc772390%28v=ws.10%29.aspx

Stand: 20. März 2012

Read More

Gelöschte AD-Objekte | tombstoneLifetime

Die Tombstone-Lifetime einer Gesamtstruktur definiert wie lange gelöschte AD-Objekte in der AD-Datenbank vorgehalten werden, bevor sie endgültig gelöscht werden. Während dieser Zeit wird ein Tombstone-Objekt des gelöschten Objekts im Container “Gelöschte Objekte” erstellt. Das Attribut “isDeleted” des AD-Objekt wurde zuvor auf “true” gesetzt.

Wurde ein AD-Objekt als isDeleted=true markiert, wurden vor Windows Server 2008 R2 alle Attribute des Objekts entfernt, bis auf folgende: GUID, SID, SIDHistory und der DN. Bei einem Restore des Objekts konnten daher nur diese 4 Attribute wiederhergestellt werden. In Windows Server 2008 R2 werden sämtliche Attribute in das Tombstone-Objekt übernommen. Das AD-Objekt kann demnach vollständig (auch inkl. Gruppenzugehörigkeiten) wiederhergestellt werden. Dies erfordert allerdings eine vorherige Aktivierung des AD-Papierkorbs!

Die Tombstone-Lifetime bestimmen und anpassen:

ADSIEdit
1) Per ADSIEdit mit der Konfigurations-Partition verbinden
2) Wechseln zu
CN=Configuration,DC=contoso,DC=com
CN=Services
CN=Windows NT
CN=Directory Service
Eigenschaften
3) Attribut = tombstoneLifetime
4) ggf. über “Bearbeiten” den gesetzten Wert anpassen

CMD / PowerShell (Active Directory-Modul)
CMD – TSL bestimmen: dsquery * “cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=contoso,dc=com” –scope base –attr tombstonelifetime

Zum Vergrößern anklicken.

PowerShell – TSL anpassen: Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“tombstoneLifetime” = 365}   (im Beispiel wird die Aufbewahrungszeit auf 365 Tage festgelegt)

Zum Vergrößern anklicken.

Die Standard-Aufbewahrungszeit für gelöschte AD-Objekte in einer 2008 R2-Gesamtstruktur liegt bei 180 Tagen.

Quellen
http://technet.microsoft.com/en-us/library/cc784932%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd392260%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd379542%28v=ws.10%29.aspx

Read More

Sie wurden mit einem temporären Profil angemeldet

Nach dem Löschen eines User-Profils unter Windows 7 oder Windows Server 2008 R2 kommt es nach erneuter Anmeldung des Benutzers zu folgender Meldung:


Änderungen, die am Profil vorgenommen werden, gehen durch Abmelden des Users verloren.

Temporäre Profile sind sowohl unter C:\Users…

…als auch in der Registry (durch die Endung .bak) zu erkennen.

Damit sich ein User nicht länger mit einem temporären, sondern einem dauerhaften Profil anmelden kann, ist das temporäre Profil in der Registry unter folgendem Pfad zu löschen:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\SID.bak

Read More

Windows Server 2008 R2 | DNS-Server löst externe Namen nicht auf | Ereignis-ID 5501

Wird DNS auf einem Windows Server 2008 R2 eingerichtet, nutzt dieser automatisch EDNS (Extension mechanisms for DNS). Dabei wird das UDP-Paket um ein “Optional Pseudo Resource-Record” (OPT) erweitert. Das Paket überschreitet idR. die maximal zulässige Größe eines DNS-Pakets von 512 Byte und wird von diversen (vor allem älteren) Firewalls geblockt.
Externe DNS-Abfragen können somit nicht mehr beantwortet werden und der Server protokolliert dies durch den Ereignis-Eintrag 5501:

“Der DNS-Server hat ein fehlerhaftes Paket von 193.108.88.1 festgestellt. Die Paketverarbeitung überschreitet die Länge des Paketes. Die Ereignisdaten enthalten das DNS-Paket.”

Protokollname: DNS-Server
Quelle: DNS-Server-Service
Ereignis-ID: 5501
Ebene: Informationen

Um EDNS auf einem 2008 R2 Server zu deaktivieren:

 dnscmd /config /enableednsprobes 0

Die Einstellung greift sofort; ein Neustarten des DNS-Dienstes ist nicht nötig.

Microsoft KB 832223

Read More

Active Directory | Domänenbeitritt von Computern durch Benutzer verhindern

Standardmäßig dürfen nicht nur Administratoren sondern auch reguläre Domänenbenutzer Computer in die Domäne aufnehmen. Normale Benutzer dürfen zwar nur maximal 10 Computer zu einer Domäne hinzufügen, dies birgt dennoch das Risiko dass ungewollt private Notebooks in die Domäne aufgenommen werden.

Um den Domain Join durch normale Benutzer vollständig zu unterbinden gibt es 2 unterschiedliche Möglichkeiten:

1)    Anpassen der „Default Domain Controllers Policy“
-    Gruppenrichtlinienverwaltung auf einem Domänen Controller öffnen (Start | Ausführen | gpedit.msc | [ENTER] oder Start | Verwaltung | Gruppenrichtlinienverwaltung)
-    Unterhalb von Gesamtstruktur | Domänen | Domäne | Domain Controllers: Default Domain Controllers Policy > Rechtsklick > Bearbeiten…
-    Innerhalb des Gruppenrichtlinienverwaltungs-Editors: Computerkonfiguration | Richtlinien | Windows Einstellungen | Sicherheitseinstellungen| Lokale Richtlinien | Zuweisen von
Benutzerrechten
-    Unterpunkt „Hinzufügen von Arbeitsstationen zur Domäne“  | Rechtsklick > Eigenschaften
-    Standardmäßig sind hier „Authentifizierte Benutzer“ ausgewählt (darin enthalten sind sämtliche Domänenbenutzer)
-    Auswählen „Authentifizierte Benutzer“ | Entfernen
-    „Benutzer oder Gruppe hinzufügen…“ | Eingeben „Administratoren“ | OK | OK | Fertig

2)    Anpassen von „ms-DS-MachineAccountQuota“
-    ADSI-Editor auf einem Domänen Controller öffnen (Start | Auführen | adsiedit.msc | [ENTER]
oder Start | Verwaltung | ADSI-Editor)
Hinweis: ADSI-Editor muss u.U. unter Windows 2000 und 2003 nachinstalliert werden
-    Ggf. Verbindung zu „Standardmäßiger Namenskontext“ aufbauen (Rechtsklick ADSI-Editor > Verbindung herstellen… | unter „Bekannten Namenskontext auswählen“ auswählen:
„Standardmäßiger Namenskontext“ | OK)

-    „Standardmäßiger Namenskontext [server-FQDN) über + erweitern
-    Auf Domänenebene (z.B. DC=contoso,DC=com) Eigenschaften öffnen
-    Im Attribut-Editor runterscrollen bis „ms-DS-MachineAccountQuota“
-    „ms-DS-MachineAccountQuota“ auswählen | Bearbeiten | gewünschten Wert eintragen | OK | OK | Fertig
Hinweis: der angegebene Wert gibt die maximal zulässige Anzahl an Computerkonten an, die
ein normaler User zur Domäne hinzufügen darf;
0 = kein einziges Computerkonto
1= ein Computerkonto
10 = 10 Computerkonten
usw.

Zusätzlich sicher stellen dass ein User keine besonderen „Computer-Objekte erstellen“- Rechte auf dem Container / der OU besitzt, dem / der Computerkonten standardmäßig hinzugefügt werden.
-    Auf einem Domänen Controller „Active Directory-Benutzer und –Computer“ öffnen (Start | Ausführen | dsa.msc | [ENTER] oder Start | Verwaltung | Active Directory-Benutzer und
–Computer)
-    Ansicht | Erweiterte Features
-    Unterhalb der Domäne den Container / die OU auswählen dem / der standardmäßig neue Computerobjekte hinzugefügt werden (normalerweise der Container „Computers“)
-    Eigenschaften | Sicherheit
-    Ist unter „Gruppen- und Benutzernamen“ ein spezieller Benutzer bzw. eine Gruppe hinzugefügt worden: Benutzer / Gruppe auswählen | Erweitert | Benutzer / Gruppe auswählen
(Standardberechtigung an dieser Stelle: Lesen)| Bearbeiten | ggf. Haken bei „Computer-Objekte erstellen“ entfernen

Microsoft KB 243327

Read More