Archiv der Kategorie: Anleitungen

Anleitungen bzw. Beschreibungen zum beheben von Problemen oder zum Umsetzen von bestimmten Projekten.

Nur noch Temp Benutzer Profil bei Vista

Hi!

Nachdem ich heute meine Vista Arbeitsstation in meine TestLab Domain aufgenommen habe und beim aufräumen des Profile Ordners auch den Ordner meines AD Benutzers gelöscht hatte, war sich Vista mal wieder nicht zu schade eine Überraschung für mich bereit zu halten – ich hatte ab dem Moment nur noch ein „Temp“ Profil! Reboot und alles schimpfen konnten die Maschine nicht dazu bewegen mir wieder ein dauerhafter Profil zu geben. Erst das löschen meines Profileintrages aus der Registry führten zum gewünschten Ergebnis. Für den Fall, dass noch mal jemand vor dem gleichen Problem stehen sollte, der zu löschende Eintrag befindet sich gut versteckt unter folgendem Schlüssel:

 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PROFILELIST

MS Exchange 2003 vollständig aus AD entfernen

Da ich gerade mein Testlab neu aufbaue wollte ich auch gleich noch meinen TestExchange von 2003 auf 2007 umstellen. Zu diesem Zweck sollte der 2003er Server zuerst mal aus dem AD verschwinden. Der KB Eintrag: http://support.microsoft.com/kb/273478 behauptet hier, dass es im setup Verzeichnis unter I386 eine update.exe gibt welche man mit /removeorg aufrufen soll. Diese update.exe gibt es leider nicht. Der Befehl funktioniert allerdings auch mit der setup.exe, die man in diesem Verzeichnis finden kann 😉 .

DC hinter einer Firewall die zweite

Hi,

da mich einige Bekannte auf das Thema DC hinter einer Firewall angesprochen haben, möchte ich noch etwas genauer darauf eingehen.

Der erste Punkt war, dass Netbios traffic nicht geroutet werden sollte. An sich ist das richtig und wenn man aufgrund seines Netzwerkaufbaus darauf verzichten kann, spricht auch nichts dagegen. Leider benötigen auch in modernen Netzwerken einige Anwendungen (z. B. Exchange) NetBios Dienste daher wird das blocken dieser Ports i. d. R. schwer…

Der zweite Punkt war die Frage „Warum eine Firewall im Lan?“. Die Antwort auf diese Frage ist recht einfach. Ein großer Teil von Angriffen erfolgt aus dem eigenen Netz heraus (Stichwort unzufriedener Mitarbeiter oder Virus / Trojaner). Man sollte daher wichtige Anwendungen sowie essentielle Infrastruktur Komponenten möglichst umfassend schützen. Dies erreicht man neben einem aktuellen Patchlevel, einem umfangreiches Logging und Monitoring auch durch die Abschottung nicht benötigter Ports durch eine Firewall. Des Weiteren ermöglicht eine Firewall eine einfachere Erkennung von Angriffen und bietet zudem Abwehrmechanismen.

Zum Schluß noch der Hinweis, dass es sich bei dem von mir vorgestellten Szenario nicht um ein WAN Aufbau handelt. Die DMZ sollte direkt im eigenen Lan stehen (siehe Visio Chart).

interne_dmz-9290341

DC hinter einer Firewall

Hi,

um seine Infrastruktur gegen Angreifer innerhalb des eigenen Netzwerkes zu schützen, ist es sinnvoll die Server hinter einer internen DMZ aufzubauen. Leider ist es immer recht anstrengend herauszufinden, welche Ports für welchen Dienst / Anwendung benötigt werden. Insbesondere Domaincontroller (DC) machen einem das Leben bei dieser Aufgabenstellung zur Hölle. Daher nachfolgend alle Ports die man auf der (internen) Firewall freischalten muß um einen DC hinter einer Firewall betreiben zu können:

DNS: Port 53 TCP & UDP
Kerberos: Port 88 TCP & UDP
LDAP: Port 389 TCP & UDP
LDAP-SSL: Port 636 TCP & UDP
Global Catalog: Port 3268 TCP
SMB: Port 445 TCP & UDP
RPC: Port 135 TCP & UDP
NetBIOS Server: Port 137 TCP & UDP
NetBIOS Data: Port TCP & UDP
NTP: Port 123 TCP & UDP

Security Logging und Monitoring

Hallo!

Also wenn das mit meinen HowTo’s so weiter geht dann müssen wir ServerHowTo bald in JohannesHoTo umtaufen. Mein neuestes Dokument beschäftigt sich mit dem, bei allen Administratoren, sehr beliebten Thema „Security Logging und Monitoring“. In der aktuellen Version geht es weniger um die tatsächliche Implementierung einer bestimmten Technologie. Es geht vielmehr um die Grundlegenden Entscheidungen wie und was geloggt und gemonitort werden sollte sowie welche Techniken dafür verwendet werden können. Sobald ich etwas mehr Zeit in meinem TestLab verbringen kann (plane gerade meinen Umzug) werde ich die Implementierung am Beispiel vom MOM als HowTo veröffentlichen.

ServerHowTo: Security Logging und Monitoring

Fragen und Feedback sind wie immer willkommen. Das Forum sowie dieser Blog stehen Ihnen hierfür gerne zur Verfügung!