Quick Tipp #6: Kostenlose SSL Zertifikate

Update 11/2016: Leider wurde StartCom von Mozilla, Google und Apple das Vertrauen entzogen, nachdem Unregelmäßigkeiten bei WoSign aufgefallen waren (StartCom wurde von WoSign übernommen). Neue Zertifikate von StartCom und WoSign werden von diesen Browsern vorerst als nicht vertrauenswürdig eingestuft und sollten somit nicht mehr verwendet werden. StartCom arbeitet bereits daran, wieder als vertrauenswürdig eingestuft zu werden, … weiterlesenQuick Tipp #6: Kostenlose SSL Zertifikate

Quick Tipp #3 (Windows): Fehlender privater Schlüssel im Zertifikat

In vielen Situationen werden öffentliche Zertifikate benötigt. Umso schlimmer, wenn bei der Erzeugung dann Fehler auftreten. Ich hatte schon das ein oder andere mal das Problem, dass nach dem Abschluss einer Zertifikatsanfrage der private Schlüssel des Zertifikat fehlte und es somit (z.B. in Exchange) nicht zugeordnet werden konnte. Ab und zu kann es sein, dass … weiterlesenQuick Tipp #3 (Windows): Fehlender privater Schlüssel im Zertifikat

Office 365: Änderung an Gruppennamen werden nicht synchronisiert

Weil ich gerade darüber gestolpert bin, hier ein schneller Blogpost zu dem Thema. Beim Einsatz von DirSync werden unter anderem auch Gruppen zwischen Active Directory und Azure AD (für Office365) synchronisiert. Nun hatten wir den Fall, dass wir lokal eine Gruppe umbenannt haben und darauf warteten, bis sich der geänderte Name auch online zeigte. Doch … weiterlesenOffice 365: Änderung an Gruppennamen werden nicht synchronisiert

PowerShell: Set-ACL auf Freigaben

Vor kurzem habe ich im Rahmen eines Projektes ein PowerShell Skript erstellt, das anhand einer Excel Tabelle Ordner auf einem Fileserver erstellt, Active Directory Gruppen dazu anlegt und entsprechende Berechtigungen auf den Ordnern für diese neuen Gruppen vergibt. Dabei hatte ich das Problem, dass immer auf der obersten File-Ebene (also z.B. \Server\Share1) das Setzen der Berechtigungen dazu führte, dass alle vererbten Berechtigungen verloren gingen.

Ich vermutete zuerst, dass ich irgend einen Fehler beim Setzen der Berechtigungen gemacht habe, doch es tritt ausschließlich auf dem freigegebenen Ordner auf, auf Unterordnern funktioniert das einwandfrei. Mit dem folgenden Skript kann man das Verhalten ganz einfach provozieren:

Das Skript liest die ACL des Ordners aus und schreibt sie direkt ohne Änderung wieder zurück. Dadurch gehen die vererbten Berechtigungen verloren und der Zugriff auf den Ordner ist nicht mehr möglich. In den Einstellungen von Windows sieht es allerdings so aus, als sei die Vererbung noch aktiv:

PowerShell_Set-AclNach einiger Recherche zeigte sich, dass das schon dem ein oder anderen aufgefallen ist, es allerdings immer mit Workarounds umgangen wurde, wie etwa das Skript lokal auf dem betroffenen Server laufen zu lassen. Das war allerdings in meiner Situation nicht möglich, da Ordner auf diversen Fileservern gepflegt werden mussten.

weiterlesenPowerShell: Set-ACL auf Freigaben

ADFS, Office 365 und Subdomains

Wer ADFS für die Authentifizierung mit Office 365 nutzt, ist eigentlich von den Automatismen und Assistenten, die die Einrichtung und Konfiguration der zu den Diensten gehörenden Parameter übernehmen, sehr verwöhnt. Um so schlimmer, wenn das dann mal genau nicht funktioniert – wie in einem meiner letzten Projekte geschehen, und zwar in Verbindung mit der Authentifizierung in einer Subdomain.

Ich habe einen Kunden, der für seine verschiedenen Ländergesellschaften Subdomains im Active Directory pflegt. Die übergeordnete Domäne heißt dann etwa contoso.com, die deutsche Subdomain de.contoso.com, die frankzösische fr.contoso.com und so weiter. Demnach lauten dann auch die UPN der Mitarbeiter etwa klaus.deutsch@de.contoso.com oder henry.blanc@fr.contoso.com. In Office 365 haben wir entsprechend die Root Domain, als auch die zugehörigen Subdomains eingerichtet, so dass wir die Mitarbeiter der verschiedenen Gesellschaften auch alle über einen Tenant verwalten können. Da es sich um eine gemeinsame Struktur handelt, haben wir auch eine gemeinsame ADFS-Infrastruktur.

Fehlermeldung beim O365 LoginBeim Einrichten der Federation kommt nun schon die erste Abweichung zum normalen vorgehen: Anstatt jede Domain einzeln auf Federation umzustellen (PowerShell: Convert-MsolDomainToFederated), konvertiert man nur die Root Domain – die restlichen Subdomains erben die Einstellung und werden automatisch mit umgestellt. Ansonsten funktioniert die Einrichtung von DirSync, ADFS und Co. weitestgehend ähnlich. Beim ersten Test der Anmeldung mit einem Benutzer einer Subdomain stellte sich allerdings das folgende Problem ein:

Leider können wir Sie nicht anmelden. Es wurde eine ungültige Anmeldung empfangen.

AADSTS50107: Requested federation realm object ‚http://de.contoso.com/adfs/services/trust/‘ does not exist.

weiterlesenADFS, Office 365 und Subdomains

Dateisystemberechtigungen beim Kopieren und Verschieben

Wer des Öfteren Projekte im Windows Fileserver Umfeld macht, stolperte sicher schon das ein oder andere Mal über dieses Thema: Es werden die detailliertesten Berechtigungskonzepte ausgearbeitet und implementiert, die User sortieren ihre Daten in die neu erstellte Dateiablage und plötzlich erscheinen seltsame Berechtigungen in den Unterordnern – obwohl doch die Anwender überhaupt keine Berechtigung zum Ändern der ACLs haben …

weiterlesenDateisystemberechtigungen beim Kopieren und Verschieben

Windows Freigaben umziehen

Wenn einmal wieder der Umzug des oder der Fileserver im Unternehmen ansteht, gibt es viele verschiedene Mittel und Wege, die Daten von A nach B zu bekommen. Hat man allerdings (noch) kein DFS-N im Einsatz, wird der Zugriff auf die Ressourcen nach dem Umzug interessant. Auch der Umzug von großen Zahlen von Freigaben kann sehr aufwändig sein – es sei denn, man kennt ein paar Tricks, die einem das Leben vereinfachen.

weiterlesenWindows Freigaben umziehen

Variablen in Gruppenrichtlinieneinstellungen

Jeder, der öfters mit Gruppenrichtlinien (GPO) und Gruppenrichtlinieneinstellungen (GPP) zu tun hat, braucht früher oder später einmal die aus der Kommandozeile bekannten Variablen, um einmal Dateien in ein Programmverzeichnis abzulegen, oder Einträge in der Registry zu erstellen. Außer den bekannten gibt es in den Gruppenrichtlinieneinstellungen eine Menge neuer Variablen.

weiterlesenVariablen in Gruppenrichtlinieneinstellungen

IPv6 und LLDP deaktivieren

Vor kurzem hatte ich die Anfrage eines Kunden, wie man denn am Besten all die ungeliebten Protokolle in den Netzwerkeinstellungen von Windows 7 abschalten kann. Bisher hat der Kunde alles, was er nicht kannte, von Hand abgeschaltet und wollte bei der anstehenden Migration nicht alles noch einmal machen müssen. Dadurch ergab sich eine Diskussion darüber, was denn nun auf der Netzwerkkarte eines Windows PCs (und eines Servers) überhaupt eingeschaltet sein sollte – und was nicht.

Also habe ich mal zusammengestellt, was Sinn macht und was man auch wie am Besten deaktiviert.

weiterlesenIPv6 und LLDP deaktivieren

%d Bloggern gefällt das: