Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Archive for the ‘Active Directory’ Category

AD CS Certificate Authority Web Enrollment certsrv nicht verfügbar

Posted by JoergS - 21. August 2013

Hi,

 

nach dem In-Place Upgrade unserer Enterprise CA von Windows Server 2008 R2 auf Windows Server 2012 war das AD CS Certificate Authority Web Enrollment (http://caservername/certsrv) nicht mehr verfügbar. Also auch im IIS war kein Web oder Verzeichnis zu sehen.

ad-cs-certsrv-missing

ad-cs-certsrv-missing

Lösung war die Reinstallation des Rollendienstes AD CS Certificate Authority Web Enrollment

server-manger-remove-roles-features  server-manger-remove-roles-feature-ad-cs

Dann konnte man auch wieder im IIS das Web sehen

ad-cs-certsrv

ad-cs-certsrv

und per Browser auf die CA zugreifen

ad-cs-http-certsrv

ad-cs-http-certsrv

Na dann, Viel Spass beim selber Testen!
CU

Advertisements

Posted in Active Directory, Fehler | Verschlagwortet mit: , , , , , | 1 Comment »

HP ProLiant Server ILO Directory Authentifizierung

Posted by JoergS - 14. Januar 2011

Hi,

normalerweise meldet man sich bei den HP ProLiant Server ILO (Integrated Lights Out) Boards mit einem eigene Administrator (ACHTUNG:  Case-senitive Username) und einem eigenen Passwort an.

Das HP ProLiant Server ILO Board untersützt aber auch eine „Directory“ Authentifizierung (siehe HP ILO User Guide). Man also z.B. ein Active Directory als zusätzliche Anmeldequelle nutzen. Dazu muss man sich normal auf dem ILO anmelden und zum Punkt „Administration“ und Security navigieren und den Registereiter „Directory“ aufrufen:

Zuerst die Option „Use Default Schema“ auswählen, bei „Use HP Extented Schema“, müsste man sonst erst eine AD Schema Erweitung durchführen, vor der ja die meisten Kunden zurückschrecken.
Bei „Directory Server Address“ dann entwerder Servername, IP Adresse oder am besten nur den Domänennamen eingeben, weil dann der DC bei der Anmeldung gesucht wird, der am nächsten ist.
Den LDP Port belässt man auf 636 und unter Directory User Context 1 trägt man den Domänenteil des UPN´s, also z.B. „@domain.tld“ ein. Damit muss der User bei der Anmeldung am ILO nur seinen Usernamen ohne Domäne eingeben.

Damit funktioniert schon mal eine generelle AD Authentifizierung.

Wenn man jetzt noch die Benutzer auf bestimmte Gruppen einschränken möchte, kann man das ebenso tun. Dazu legt man zuerst einfach im AD eine Gruppe mit den entsprechenden berechtigten Usern an.

Dann navigiert man im ILO zu „Administration“ und „User Administration“.

Hier legt man unter „Directory Groups“ eine neue Gruppe an, z.B. „CN=ILO_Administrators,OU=Groups,DC=Domain,DC=tld“.

Dann hat man die Gruppe berechtigt und kann z.B. den Standard Directory Groups auch die Berechtigungen entziehen.

Jetzt vom ILO mit dem Standard Administrator abmelden und mit einem Domänen User anmelden:

Der Anmeldeprozess kann aber bis zu 20 sek. dauern …

Na dann, Viel Spass beim selber Testen!
CU

Posted in Active Directory, Hardware | Verschlagwortet mit: , , , | Leave a Comment »

AD User and Computer/Benutzer und Computer MMC Anzeigelimit

Posted by JoergS - 10. Januar 2011

Hi,

wer schon mal in einer grösseren (Kunden) Umgebung gearbeitet hat, wird das problem sicherlich schon kennen.

Man öffnet die AD User and Computer/Benutzer und Computer MMC und erhält folgenden dezenzten Hinweis auf das Anzeigelimit:

Diese Einstellung lässt sich unter „Ansicht“ – „Filteroptionen“ verändern in dem man den „Maximale Anzahl an Elementen pro Ordner“ Wert auf einen höheren Wert ändert:

Na dann, Viel Spass beim selber Testen!
CU

Posted in Active Directory | Verschlagwortet mit: , , | Leave a Comment »

MAP, inaktive Benutzer- und Computerkonten,

Posted by JoergS - 11. März 2010

Hi,

heute war ich bei einem Kunden, der Fragen zum Upgrade seiner Clients, Server, Exchange 2010 und Microsoft Lizenzen hatte.

Zur Analyse der Kunden Infrastruktur kam dabei das Microsoft Assessment and Planning (MAP) Toolkit zum Einsatz. Das MAP ist ein integriertes Planungstool, welches Microsoft Kunden erlaubt ihre eigene Umgebung zu scannen, aufzulisten was vorhanden ist und so die Möglichkeit von unterschiedlichen Produktupgrades zu überprüfen. Ohne das man Agents oder weitere Software ausrollen muss, können Inventardaten von PCs und Servern in einer zentralen SQL-Datenbank gesammelt und anschließend entsprechend ausgewertet werden. MAP erzeugt dabei Word Berichte und detaillierte Excel Tabellen.

map map01 map02

Folgende Funktionen stehen zur Verfügung:

  • Windows 7 Hardware and Device Compatibility Assessment
  • Windows Server 2008 R2 Hardware and Device Compatibility Assessment
  • Virtualization Candidates Assessment for Hyper-V R2 Server Consolidation
  • Integration with the Microsoft Integrated Virtualization ROI Calculator
  • Inventory of VMware Server Hosts and Guests
  • User Interface and Proposal Customization for Partner co-branding
  • Enhanced SQL Server Instance Discovery
  • Enhanced Usability and Improved Inventory Performance

Weitere Funktionen:

  • Windows Vista Hardware and Device Compatibility Assessment
  • Windows Server 2008 Hardware and Device Compatibility Assessment
  • 2007 Microsoft Office Readiness Assessment
  • Desktop Security Assessment for Anti-virus and Anti-malware Programs Installation
  • Forefront Client Security/NAP Readiness Assessment
  • App-V Infrastructure Readiness Assessment
  • Power Savings Analysis   

Damit haben wir das Kunden AD gescannt um die PCs und Server, sowie die darauf eingesetzte Software zu inventarisieren und daraus Berichte generieren zu können.

Jetzt wollten wir aber auf das Active Directory des Kunden selbst nutzen, um uns einen Überblick zu verschaffen. Das war leider nicht ganz so vielversprechend, da allein der Computers-Container über 400 Computer Objekte enthielt, wovon lt. Aussage des Kunden aber bestimmt die Hälfte nicht mehr benutzt werden, weil die alten Computerobjekte nie deaktiviert oder aus dem AD entfernt wurden. Ebenso auch die Benutzerkonten in diversen OUs.

Eigentlich wollte ich das Kommandozeilen-Tool "dsquery" nutzen um per Skript die aktiven Konten per “lastLogonTimestamp” Objekt abzufragen, nach dem Artikel von Yusuf Dikmenoglu´s Artikel – Die letzte Benutzeranmeldung herausfinden. Das war aber leider nicht möglich da das AD des Kunden nicht im Modus "Windows 2003 pur" oder höher lief, sondern noch “Windows 2000” gemischt, da aus mehreren dezentralen alten Domänen alles in eine neue Domäne migriert wurde.

Somit habe ich nach dem FAQ-o-Matic.net Artikel – Wie finde ich inaktive Computerkonten? von Nils Kaczenski gearbeitet und nach einem Tip von Nils direkt das Tool OldCMP verwendet, welches die letzte Passwortänderung abfragt und einen HTML-Bericht generiert.

Na dann, Viel Spass beim selber Testen!
CU

Posted in Active Directory, Tools | Verschlagwortet mit: , , , | Leave a Comment »

 
%d Bloggern gefällt das: