Archive for the ‘Security’ Category

Windows Server 2012 R2 DirectAccess – RemoteAccessServerDiscovery schlaegt fehl

Monday, October 12th, 2015

Hallo Leutz,

bei einem Kunden implementiere ich zurzeit einen zweiten DirectAccess Server mit Windows Server 2012 R2. Die Installation und Konfiguration war erfolgreich. Nach einigen Tagen hatten wir jedoch in der RemoteAccess-Konsole einen Blinker Effekt, dass die Meldung kam, dass Daten nicht vom angegebenen Domaenen Controller abgerufen werden koennen und der Zugriff auf Gruppenrichtlinienobjekte fuer DirectAccess verweigert werden. Die DirectAccess Client-Funktionalitaet war jedoch nicht beeintraechtigt.

Nach zahlreichen Fehleranalysen bzgl. GPO Berechtigungen, AD Kommunikationsproblemen, Analyse von ETL-Traces und Microsoft Message Analyzer Mittschnitten, habe ich herausgefunden, dass der installierte Operations Manager Agent diese “Fehler” produziert.

Der SCOM Action Account laeuft im Local System Kontext und dieser Account hat keine Berechtigungen, die DirectAccess Server Gruppenrichtlinienobjekte abzufragen (zu lesen). Nachdem der Kunde den Action Account auf einen Service Account mit Leseberechtigungen auf die GPO geaendert hat, verschwand die Meldung auf dem DirectAccess Server.

Diese und weitere Informationen stehen in diesem Bilderbuch: http://www.it-training-grote.de/download/DA-RemoteAccessServerDiscovery-OpsMgr.pdf

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Verbesserte Datensicherheit in Windows-Umgebungen mit PKI

Thursday, October 1st, 2015

Hallo Leutz,

fuer die Oktober 2015 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Verbesserte Datensicherheit in Windows-Umgebungen mit PKI geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Exchange 2010 – 2013 Migration – Exchange 2013 Benutzer koennen keine FreeBusy Informationen anderer Benutzer abfragen

Thursday, September 24th, 2015

Hallo Leutz,

ich bin gerade bei einem Kunden, welcher in der Migrationsphase von Exchange 2010 auf 2013 steckt. Man hat festgestellt, dass einige migrierte Benutzer auf Exchange Server 2013 nicht auf FreeBusy Informationen von anderen Benutzern zugreifen koennen (Weder ueber OWA noch ueber Outlook). Wenn das Postfach der Benutzer wieder auf Exchange 2010 verschoben wird, funktionieren die FreeBusy Zugriffe wieder. Also kann ein Outlook Client Problem ausgeschlossen werden (trotzdem testeten wir Autodisocver, EWS, OOF, OAB, CALcheck, TestExchangeConnectivity).
Spannend war hier, dass der Zugriff auf OOF funktioniert, sprich Proxy-Einstellungen konnten nicht dir Ursache fuer das nicht funktionierende FreebBusy sein.
Wir vermuteten also ein Active Directory Problem, kopierten die betroffenen Benutzer und erstellten fuer diese ein neues Postfach. Gleiches Verhalten. Dann fiel uns auf, dass die User Mitglieder in hunderten von active-Directory Gruppen waren und der Kunde schon mal ein Problem mit der Kerberos MaxTokenSize hatte.
Die Kombination der MaxTokenSize und der maximalen HTTP EWS Request Laenge fuehrte hier dazu, dass die Benutzer keine Berechtigungen zur Abfrage von FreeBusy-Informationen hatten. Abhilfe schafft die Vergroesserung der MaxTokenSize und Aenderung der MaxReceivedMessageSize und MaxBufferSize auf den 2013 CAS Servern in der Registry und Web.Config:
Zum KB Artikel

Gruss Marc

Windows Server 2016 – was ist neu als Komplettueberblick – Workshop bei der Fa. Netz-Weise in Hannover

Monday, August 17th, 2015

Hallo Leutz,

im Rahmen der “IT Jogging Veranstaltungen” der Fa. Netz-Weise (http://www.netz-weise.de) darf ich am 03.09.2015 in der Zeit von 18:30 – 21:00 Uhr einen Workshop zum Thema “Windows Server 2016 – was ist neu als Komplettueberblick” halten.

Abstrakt:
In diesem Vortrag werden die wichtigsten Aenderungen in Windows Server 2016 theoretisch und praktisch vorgefuehrt.

Agenda:
– Hyper-V
– Failover Clustering und Storage Services
– Remote Desktop Services (RDS)
– Active Directory Neuerungen
– Web Application Proxy
– Neuerungen im Bereich der Netzwerkfunktionen

Anmeldung hier: (http://www.netz-weise.de)
Die Praesentation kann hier herunter geladen werden: (http://www.it-training-grote.de/download/WS2016-NetzWeise.pdf)

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Security Neuerungen in Windows 10

Wednesday, July 29th, 2015

Hallo Leutz,

fuer die August 2015 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Security Neuerungen in Windows 10 geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Enhanced Mitigation Experience Toolkit (EMET)

Thursday, May 21st, 2015

Hallo Leutz,

fuer die April 2015 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Enhanced Mitigation Experience Toolkit (EMET) geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Windows Server 2012 R2 PKI Workshop bei der Firma Netz-Weise in Hannover

Tuesday, March 10th, 2015

Hallo Leutz,

vom 27-30.04.2015 (4 Tage) findet bei der Firma Netz-Weise ein Windows Server 2012 R2 PKI Workshop mit mir als Referent statt.

Inhalt (Auszug):
– Ueberblick Windows 2012 R2 PKI
– Notwendigkeit von Public Key Infrastrukturen
– Anwendungsschicht: SSL/TLS, S/MIME, Kerberos
– Netzwerkschicht: IPsec, Interaktive und Netzwerk-Authentifizierung
– Authentifizierungsprotokolle: Kerberos, LM, NTLM, Anmelden mit Passwort und SmartCard
– Grundlagen Kryptografie
– Anwendungen durch PKI
– Neue PKI Features von Windows Server 2012 R2 sowie Windows 7 / Windows 8
– Windows Server 2012 R2 – Certificate Service – Roles
– PKI-Design und Implementierung einer mehrstufigen Windows Server 2012 R2 CA
– PKI-Administration mit Rollenseparation
– Schluessel-Archivierung und -Wiederherstellung
– S/MIME
– EFS (Encrypted File System)
– Auditing & Troubleshooting

Zielgruppe:
PKI-Administratoren, Sicherheitsbeauftragte

Anmeldungen hier: http://www.netz-weise-it.training

Gruss Marc

Microsoft Dynamics NAV 2013 R2 und Zertifikate

Thursday, February 26th, 2015

Hallo Leutz,

bei einem Kunden sind wir gerade dabei, Microsoft Dynamics NAV ueber einen Forefront TMG und Remote Desktop Gateway zu veroeffentlichen.
Dazu haben wir auf dem NAV Server fuer eine Navision Instanz die Authentifizieurng von Windows auf UserName umgestellt. Um diese Art Authentifizierung zu verwenden, muss in der NAV-Konfiguration ein Zertifikat hinterlegt werden. Dabei ist u. a. zu beachten, dass der Zertifikat-Fingerabdruck in Grossbuchstaben eingetragen wird und der CDP des Zertifikats erreichbar ist, sonst laesst sich die NAV-Instanz nicht starten. CAPI2 Logging fuehrte uns dann zur Fehlerursache.
Diese und weitere Informationen stehen in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Navision-Certificate-Error.pdf

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – “End of Live von Windows Server 2003”

Sunday, February 1st, 2015

Hallo Leutz,

fuer die Februar 2015 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema “End of Live von Windows Server 2003” geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

8. Treffen der Microsoft User Group Nord (MUGN)

Tuesday, January 20th, 2015

Liebe Microsoft Gemeinde,

Das achte MUGN Treffen findet am 20.02.2015 in der Zeit von 19:00 Uhr bis ca. 22:00 Uhr an folgender Adresse statt:

iteracon GmbH
Holzmarkt 2a
(Microsoft Gebaeude, Sued-Turm 1. OG)
50676 Koeln

Die geplante Agenda:

• 19:00 – 19:15: Begrüßung und Vorstellungsrunde
• 19:15 – 20:30: Zwei Faktor Authentifizierung mit Azure Multi-Factor Authentication aka Phonefactor, Michael van Laak + Karsten Hentrup – iteracon GmbH
• 20:30 – 21:00: Pause / Networking
• 21:00 – 22:00: Neuerungen in Hyper-V vnext, Marc Grote – IT-Training-Grote
• 22:00 – Ende: Diskussionen / Networking

Für das Anmeldeprocedere verwenden wir die XING-Gruppe Microsoft User Group: https://www.xing.com/net/pric9d398x/ffug
Weitere Informationen: http://blog.forefront-tmg.de/?page_id=482
Wer also bereits einen XING Account besitzt, den möchten wir bitten, sich über diese Gruppe zu den Treffen anzumelden. Sollte jemand XING nicht verwenden möchten, kann er sich auch per E-Mail bei folgenden Adressen anmelden:
Karsten Hentrup (hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)

Gruß von der MUGN

Marc Grote und Karsten Hentrup…

<j-j>