Schlagwort-Archive: Active Directory

NTP einrichten auf einem DC

Die Clients und Memberserver in einem Windows Active Directory haben es gut, sie werden von ihrem PDC immer mit der auf ihm eingestellten Zeit versorgt (müssen Sie auch, sonst würde Kerberos nicht funktionieren). Die Domaincontroller bzw. um genau zu sein DC mit der FSMO PDC werden in großen Unternehmen durch spezielle Hardware (Funkuhren) mir der richtigen Zeit versorgt. In kleinen oder privaten Netzen geht das leider nicht. Um für solche DC’s Zeitgeber aus dem Internet zu verwenden muß man bis heute noch die Komandozeile bemühen:

Die Zeichen xxx.xxx.xxx.xxx müssen dabei durch eine IP Adresse eines erreichbaren NTP Servers ersetzt werden (die Befehle funktionieren nur unter Win2k3 Server).

Nur noch Temp Benutzer Profil bei Vista

Hi!

Nachdem ich heute meine Vista Arbeitsstation in meine TestLab Domain aufgenommen habe und beim aufräumen des Profile Ordners auch den Ordner meines AD Benutzers gelöscht hatte, war sich Vista mal wieder nicht zu schade eine Überraschung für mich bereit zu halten – ich hatte ab dem Moment nur noch ein „Temp“ Profil! Reboot und alles schimpfen konnten die Maschine nicht dazu bewegen mir wieder ein dauerhafter Profil zu geben. Erst das löschen meines Profileintrages aus der Registry führten zum gewünschten Ergebnis. Für den Fall, dass noch mal jemand vor dem gleichen Problem stehen sollte, der zu löschende Eintrag befindet sich gut versteckt unter folgendem Schlüssel:

DC hinter einer Firewall die zweite

Hi,

da mich einige Bekannte auf das Thema DC hinter einer Firewall angesprochen haben, möchte ich noch etwas genauer darauf eingehen.

Der erste Punkt war, dass Netbios traffic nicht geroutet werden sollte. An sich ist das richtig und wenn man aufgrund seines Netzwerkaufbaus darauf verzichten kann, spricht auch nichts dagegen. Leider benötigen auch in modernen Netzwerken einige Anwendungen (z. B. Exchange) NetBios Dienste daher wird das blocken dieser Ports i. d. R. schwer…

Der zweite Punkt war die Frage „Warum eine Firewall im Lan?“. Die Antwort auf diese Frage ist recht einfach. Ein großer Teil von Angriffen erfolgt aus dem eigenen Netz heraus (Stichwort unzufriedener Mitarbeiter oder Virus / Trojaner). Man sollte daher wichtige Anwendungen sowie essentielle Infrastruktur Komponenten möglichst umfassend schützen. Dies erreicht man neben einem aktuellen Patchlevel, einem umfangreiches Logging und Monitoring auch durch die Abschottung nicht benötigter Ports durch eine Firewall. Des Weiteren ermöglicht eine Firewall eine einfachere Erkennung von Angriffen und bietet zudem Abwehrmechanismen.

Zum Schluß noch der Hinweis, dass es sich bei dem von mir vorgestellten Szenario nicht um ein WAN Aufbau handelt. Die DMZ sollte direkt im eigenen Lan stehen (siehe Visio Chart).

interne_dmz.gif