Microsoft Exchange and Active Directory Blog
In einer Active Directory Domain ist es zu dem Problem gekommen, dass keine neuen Rechner mehr zum Active Directory hinzugefügt werden konnten. Die Fehlermeldung beim Hinzufügen des Clients lautete wie folgt: In der Domain werden konnten durch einen Identity Manager vor dem Hinzufügen des Rechners im Active Directory angelegt (Pre-Staged) und nicht erst beim Hinzufügen … Read more
Windows Server 2025 bietet seit langem wieder neue Features für das Active Directory (AD DS) und Active Directory Lightweight-Domänendienste (AD LDS). Mit den neuen Features skaliert das Active Directory auch in sehr großen Umgebungen besser und bringt zusätzliche eine Verbesserungen für die Sicherheit und Stabilität. Optionale Funktion für 32k-Datenbankseitengröße Seit der Einführung von Active Directory … Read more
Der neue Windows Server 2025 bringt einige neue Features für das Active Directory mit und macht auch das Upgrade besonders einfach. Ein Inplace Upgrade auf Windows Server 2025 ist ab Windows Server 2012 R2 ohne Zwischenschritt möglich. Im Prinzip muss also nur das Server 2025 ISO gemountet werden und es kann direkt aktualisiert werden. In … Read more
Wie auch die Updates für Exchange Server, enthält auch das März Update für Windows Server einen gravierenden Fehler. Das Update verursacht ein Speicherleck im LSASS Prozess, welches dann zum Neustart oder Absturz eines Domain Controller führen kann. Von diesem Problem sind nur Domain Controller betroffen, auf normalen Member Servern tritt das Problem nicht auf. Derzeit … Read more
Manche Active Directory Features lassen sich nicht auf Organisationseinheiten sondern nur auf AD-Gruppen festlegen. Ein Beispiel dafür sind Fine Grained Password Policies. Will man solche Features trotzdem auf alle Benutzer einer Organisationseinheit anwenden, erstellt man einfach eine Gruppe mit allen Benutzern welche in der OU gespeichert werden. Diese Gruppe wird auch Schattengruppe (Shadow Group) genannt. … Read more
Häufig werden Service Accounts für den Start von Windows Diensten oder geplanten Aufgaben mit dem Attribut „Passwort läuft nie ab“ konfiguriert und dann jahrelang genutzt. Oft werden solche Service Accounts auch zweck entfremdet und auf vielen Servern für verschiedenste Aufgaben eingesetzt. Service Accounts mit weit reichenden Berechtigungen und nie ablaufenden Passwörtern erleichtern es dann den … Read more
Einige Leser dieses Blogs haben sich einen Beitrag über das Delegieren von Admin Berechtigungen gewünscht. Die meisten Anfragen drehen sich darum, dass bestimmte administrative Tätigkeiten, wie das Anlegen von Benutzerkonten oder das Zurücksetzen von Passwörtern, von Benutzern übernommen werden sollen. Diese Benutzer sollen selbstverständlich keine Domain Admin Berechtigungen besitzen, sondern nur die für ihre Tätigkeit … Read more
Manchmal kann es erforderlich sein, dass nachträglich die IP und der Hostname eines Domain Controllers geändert werden müssen, etwa wenn ein neuer Domain Controller einen alten ersetzen und unter gleicher IP und Name erreichbar sein soll. Das Ändern der IP Adresse eines Domain Controllers ist normalerweise problemlos möglich, das Ändern des Hostnames einer Domain Controllers … Read more
Ich bin erst kürzlich in diese Falle getappt, denn bei zeitkritischen VMs, wie beispielsweise Domain Controller, welche auf VMware vSphere betrieben werden, muss man eine kleine Besonderheit beachten. Da eine falsche Uhrzeit durchaus weitreichende Folgen haben kann, gibt es daher hier mal einen kleinen Artikel zu dem Thema. Folgendes Problem ist aufgetreten. Ein NTP Server … Read more
Im dritten Teil der Artikelserie “Einfache Maßnahmen für mehr Sicherheit im AD” hatte ich LAPS für Server und Clients behandelt. Zugegeben: Der LAPS Artikel ist nun schon etwas länger her, das Thema ist aber nicht vergessen. Daher gibt es jetzt einen neuen Artikel bezüglich “Einfache Maßnahmen für mehr Sicherheit im AD”. In diesem vierten Teil … Read more
