DCPROMO Fehler – Zugriff verweigert

Heute war ich extra früh aufgestanden um noch vor 7 Uhr einen Domaincontroller herunterzustufen. Nachdem das Ganze letzte Woche nicht geklappt hat, weil die Zertifikatsdienste noch auf dem Server installiert werden, hatte ich für heute Hoffnung. Aber es hat heute morgen natürlich auch nicht auf Anhieb geklappt.

Nach dem Aufruf von DCPROMO kam schlussendlich folgender Fehler:

2014-02-20_070523_web

Im Debuglog sah das ganze so aus:

dcpromoui CCC.AC0 08A6 07:14:52.110 Enter State::SetFailureMessage Der Vorgang konnte nicht durchgeführt werden. Fehler:

Fehler beim Versuch des Remoteverzeichnisservers “SD01.xx.xx”, den Verzeichnisserver “CN=SD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=fxxav,DC=xx” zu entfernen.

dcpromoui CCC.2344 08B7 07:14:52.110 Enter State::GetFailureMessage Der Vorgang konnte nicht durchgeführt werden. Fehler:
Fehler beim Versuch des Remoteverzeichnisservers “SD01.xx.xx”, den Verzeichnisserver “CN=SD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xx,DC=wxxag” zu entfernen.
“Zugriff verweigert”

Eine kurze Kontrolle der Rechte für das AD-Objekt des SD02 war nicht hilfreich – die Administratoren hatte die Rechte dieses zu löschen. Nach ein bisschen suchen kam ich dann aber auf diesen Eintrag im Technet:

Hi, everyone If you receive an “Access is denied” make sure that the computer object and the NTDS Settings object for the domain controller are not protected against accidental deletion.

Und das war auch das Problem, nicht der Domaincontroller aber dessen NTDS Objekt war gegen versehentliches löschen geschützt.

2014-02-20_074851_web

Kurz den Haken entfernen, einmal mit

repadmin /syncall

das AD Replizieren und schon lief das DCPROMO ohne Probleme durch.

AKG K391NC

IMG_2965

Seit dem 01.06.2013 bin ich Pendler. Mit der Deutschen Bahn. In der Zeit im Zug höre ich viel Musik (entweder nur so oder nebenbei wenn ich was am Notebook arbeite).

Meine Kopfhörer waren bis 0815-in-Ear-Gelumpe von Mediamarkt. Mit der Zeit geht einem der “Sound” des Zuges und der umsitzenden Menschen dann aber doch auf den Keks. Also habe ich letzte Woche neue Kopfhörer bestellt: AKG K391NC.

Das besondere daran ist das NC, das steht für Noise Cancelling. Durch diese Technologie werden Umgebungsgeräusche aktiv unterdrückt. Das heißt, die Kopfhörer berechnen aus dem Umgebungsgeräuschen einen Ton der zusammen mit dem Umgebungsgeräusch eine “Null” ergibt und nicht hörbar ist. Hier eine Zeichnung dazu: http://techexplainer.files.wordpress.com/2012/03/noise-cancellation.gif

 

Heute habe ich dann das erste mal meine Zugfahrt mit den Kopfhörern genossen. Und es war schon ein Erlebnis. Auch wenn man keine Musik hört, sondern die Kopfhörer einfach nur “drin” hat ist es schon sehr angenehm leise. Kommt dann noch Musik dazu, bekommt man von seiner Umgebung fast gar nichts mehr mit.

Im Büro habe ich die Kopfhörer bzw. eigentlich ist es ein Headset zum telefonieren genutzt, auch sehr angenehm. Ein großes Nachteil ist der integrierte Akku. Ich weiß noch nicht wie lange der Akku hält, aber früher oder später wird er vermutlich der Schwachpunkt sein.

IMG_2973

Zum Aufladen ist eine Mini-USB Buche integriert

IMG_2977

IMG_2968

IMG_2969

IMG_2972

IMG_2981

Es steht ein Umzug an…

Server

Quelle: escapechen / pixelio.de

Anfang dieser Woche flatterte von unserem aktuellen Hoster eine E-Mail in mein Postfach, die mir leider mitteilte, dass er unseren Vertrag kündigt. Die Begründung war, dass er mit dem Geschäftsfeld Hosting keinen Gewinn macht. Gut, wenn man IP Adressen in unbegrenzter Zahl zu jedem Server anbietet – kostenlos – kann ich das verstehen.

Für uns natürlich ärgerlich, denn wir mussten uns fix nach einer neuen Heimat für unsere Server umgucken. Das Angebot an Unternehmen die den Betrieb eines ESXi erlauben (ohne erhebliche Mehrkosten) ist überschaubar.

Letztendlich viel unsere Wahl auf “manitu”. Der sehr freundliche E-Mail Support hat bestätigt, dass der Betrieb eines ESXi erlaubt und möglich ist. Wenn es Probleme mit der NIC geben sollte, hätte man genügend Intel Karten da um schnell nachzubessern. Na wenn das nicht mal Service vom feinsten ist :)

In den nächsten Tagen und Wochen werden daher unsere Dienste umziehen und auch ihre IP-Adresse wechseln. Daher bitte ich schon mal im Vorfeld um Verständnis für Probleme mit der Erreichbarkeit im September.

Die Astaro-Ära hat ein Ende…

Seit Verson 7 nutze ich die Astaro Security Gateway, bzw. inzwischen die Sophos UTM.

Die Astaros der Versionen 7 und 8 waren immer spitze, performant, leicht zu konfigurieren und trotzdem sehr funktional. Mit dem Upgrade auf Version 9 und somit dem Wechsel Sophos änderte sich das. Die Software wurde langsamer und nur für das betreiben der UTM brauchte es 4GB in der VM.

Dazu kam, dass der Betrieb einer Firewall als VM natürlich Nachteile hatte:

  • bei Wartungsarbeiten an dem ESXi Host fällt immer das Internet aus.
  • bei Problemen mit der ESXi-Umgebung gibt es keine Möglichkeit remote das System zu analysieren
  • Änderungen an der Hardware brauchen einen Neustart – und bei so einem System kann man sich nie sicher sein, dass es wieder ohne Probleme hochfährt (leider) – daher geht sowas nur vor Ort.
Nachdem ich nun auch noch extreme Probleme hatte einen VPN Tunnel zwischen meiner ASG und einer Endian zu erstellen und auch der Tunnel zu meiner Fritzbox nicht einwandfrei funktionierte habe ich mich entschlossen dem Ganzen ein Ende zu setzen.
Heute habe ich dann nach langen Vergleichen von den großen Marken meine Entscheidung getroffen, eine Cisco ASA 5505 darf es sein. Entschieden habe ich mich dann für die Unlimited – Version inklusive Security Plus – Lizenz.

 

Das bedeutet also, unendlich viele User hinter der ASA, 25 IPSec VPN Verbindungen, 2 AnyConnect SSL-Verbindungen, Active/Passiv HA-Cluster-Unterstützung, Dual-ISP sowie DMZ-Funktion, dazu dann noch eine erhöhte Anzahl an VLANs.

Sehr wichtig waren für mich dabei die VPN-Funktionen und die VLANs. Ausschlaggebend für die ASA war AnyConnect – das funktioniert “leider” einfach am besten ;)

Daher werde ich die Einrichtung des Gast-WLAN – VLANs auch nicht mehr an der Sophos zeigen sondern bei der Übertragung auf die ASA direkt an dieser demonstrieren.

Wer weiß, vielleicht folgen sogar weitere ASA Tutorials in Zukunft, man kann an den kleinen Dingern ja schon manchmal verzweifeln ;) Jetzt hoffe ich erstmal, dass mein Paket möglichst schnell hier ist :)

Sicheres WLAN mit PEAP und WPA2-Enterprise – Teil 3

Nachdem ihr hier ein sicheres WLAN mit RADIUS Authentifizierung eingerichtet habt und sich eure Client dank der GPO selbstständig verbinden, bleibt bei mir nur noch das Handy:

Ich habe den Absprung immernoch nicht geschafft. Mein Handy ist kein iPhone, kein Android: es ist ein Blackberry. Und auch dieses sollte mit dem neuen WLAN verbunden werden. Leider ist der Weg hier etwas umständlicher als beim iPhone oder Android Gerät.

Zunächst müssten wir das Root-CA unserer Zertifizierungsstelle auf dem Gerät installieren. Ich habe es mir einfach per E-Mail zugeschickt:

 

Klickt das Zertifikat an und wählt “Zertifikat importieren”

Nun müsst ihr vermutlich ein Passwort für euren Schlüsselspeicher festlegen:

 

Bestätigt die folgende Meldung mit OK

Wählt aus, dass ihr eurer CA vertraut

 

 

und wieder mit OK bestätigen:

 

Das war Teil 1, wechselt nun in eure WLAN Einstellungen und wählt das entsprechende WLAN aus

 

Jetzt ist wichtig, dass oben rechts PEAP ausgewählt ist, ihr euer CA-Certifikat angebt und die “Interne Linksicherheit” auf EAP-MS-CHAP v2 stellt. Gebt euren User und Passwort ein und klickt auf Verbinden:

 

 

Fertig.

 

Sicheres WLAN mit PEAP und WPA2-Enterprise – Teil 2

Hier soll es darum gehen, wie Gruppenrichtlinien dazu genutzt werden können Windows Clients über SSO mit einem WPA2 geschützten WLAN zu verbinden. 

Voraussetzung ist, ihr habt Teil1 erfolgreich zu Ende geführt.

Wir starten mal direkt im Gruppenrichtlinien Client mit einer neuen GPO Namens “D_WLAN_CFG”. Diese ist bei mir auf das Domain-Root verknüpft:

Durch einen Rechtsklick auf die GPO und einen Klick auf “Edit” gelangt man in den GPO Editor. Hier klappen wir die Ordner “Policies”, “Windows Settings” und “Security Settings” aus. Nun können wir als erstes in “Wireless Network (IEEE 802.11) Policies” wechseln und über einen Rechtsklick eine neue Policy für Windows Vista und neuere Windows-Versionen anlegen.

Ich nenne diese Policy mal “WLAN”. Durch einen Klick auf “Add” können wir ein neues Profil hinzufügen:

Der hier eingegebene “Profile Name” wird später auf den Windows-Clients angezeigt. Unter “Network Names” fügen wir die SSID, die auf dem Accesspoint eingerichtet ist, hinzu:

Nun wechseln wir in den Security-Tab und wählen als Authentifizierungsmethode WPA2-Enterprise und als Verschlüsselung AES. Unter wählen wir dann noch MS PEAP aus, und dass sich sowohl User als auch Computer authentifizieren dürfen:

Als nächsten klicken wir auf “Advanced” und schalten Single Sign On an:

Jetzt bestätigen wir alle Dialoge mit OK und wechseln in den Ordner “Public Key Policies”:

Hier werden wir als erstes die Policy Certificate Services Client – Auto-Enrollment bearbeiten und aktivieren:

Als zweites wählen wir die Certficate Path Valvation Settings und aktivieren sie mit den Standards:

Das war’s – wenn sich die Clients nun die neue Policy gezogen haben werden sie sich automatisch und per SSO am WLAN authentifizieren. 

So sieht die Verbindung auf einem Windows 7 Client dann aus:

Sicheres WLAN mit PEAP und WPA2-Enterprise

Bei mir zu Hause werkelt noch eine uralte (meine erste) Fritzbox als Accesspoint. Alles andere ist inzwischen modernisiert worden. 

Die Firewall (Sohos UTMv9) läuft virtuell und der Switch ist ein stromsparender D-LINK Eco Switch der im Gegensatz zu seinem Vorgänger (HP 2524) zwar nicht mehr managebar ist, aber deutlich weniger Strom verbraucht und Gigabit hat.

Letzte Woche ist mir dann aufgefallen, wie elend langsam das alte WLAN eigentlich ist. Also musste mal etwas neues her!

Nach kurzer Überlegung kam ich darauf, das ganze “richtig” zu machen und auch ein Gäste WLAN einzurichten (wir hatten gerade Besuch aus den USA, und irgendwann nervte es, auf allen Geräten den 64 Zeichen langen Schlüssel einzugeben…..).

Da ich keine Lust mehr hatte, regelmäßig den Key zu ändern und das auf allen Geräten einzutragen sollte es RADIUS Authentifizierung sein. Die Anforderungen waren also:

  • ein reiner Accesspoint
  • wenn möglich POE
  • mindestens b/g/n Standard
  • WPA2 Enterprise 
  • MULTI SSID mit VLANs

Wie sich die meisten denken können, waren die ersten Treffer bei meiner Suche Cisco, Linksys und Lancom. Alles etwas zu teuer mit >150€ pro Accesspoint.

Schließlich stieß ich dann auf TP-Link. Der AP meiner Wahl kostet 45€ und hatte fast nur gute Rezensionen. Das Beste daran: der POE Adapter war kostenlos dabei!

Also fix beim großen Fluß bestellt und da war er: 

mein TP-Link TL-WA901ND Advanced.

Damit wären die Hardwarevoraussetzungen schonmal erledigt. Jetzt ging es an die Software. Da ich schon eine Enterprise PKI betreibe, musste ich auf meinem Domaincontroller nur noch die Network Policy and Access Services – Rolle nachinstallieren.

Anschließend stellt der NPS einen sehr schönen Wizard bereit, um alles “Schlüsselfertig” einzurichten. 

Klickt auf den NPS und wählt “RADIUS server for 802.1X Wireless or Wired Connections” aus. Anschließend klickt ihr auf “Configure 802.1X” 

Im nächsten Schritt wählen wir “Secure Wireless Connections”

Nun fügt eure RADIUS Clients (also die Accesspoints) hinzu. Wichtig ist dabei die IP und das Shared Secret:

Im nächsten Schritt müsst ihr die EAP Methode wählen – wir nehmen MS PEAP

Als letztes muss eine Domaingruppe von Usern und / oder Computern definiert werden die sich verbinden darf:

Das war’s – fast: als letztes müssen wir den NPS Server registrieren:

Dazu klickt ihr mit rechts auf den NPS-Server und wählt “Register server in Active Directory”

Nun können wir uns unserem Accesspoint zuwenden. Im Menü wählt ihr “Wireless Settings” um zu den WLAN Einstellungen zu kommen. 

Als “Operation Mode” möchten wir gerne Multi-SSID benutzen. Hier legen wir dann unsere SSIDs an: 

(Die VLANs sind hier nicht nicht aktiviert, das kommt in einem anderen Artikel)

Jetzt wechseln wir in den Menüpunkt “Wireless Security” und wählen die SSID für Radius Authentifizierung aus dem Dropdown Menü. 

Angeben müssen wir die Version WPA2 die Encryption Automatic sowie den Radius Server und das Radius Passwort (Shared Secret aus dem Wizard):

Für die Gäste-SSID bleibe ich weiterhin bei WPA2-Personal, aber mit einem kurzen Schlüssel, der sich öfters ändert:

Um meine internen Systeme zu schützen wird das Gäste-WLAN ein eigenes VLAN bekommen das nur mit dem Internet kommunizieren darf.

Euer System ist jetzt einsatzbereit und ihr könnt euch unter Angabe des Domain-Usernamens und des Passwortes verbinden. 

In einem weiteren Artikel beschreiben ich, wie man mit Gruppenrichtlinien die Clients dazu bewegt sich mit Single-Sign-On transparent anzumelden, wie man Blackberrys mit dem WLAN verbindet und das Gäste-WLAN abschirmt.

Danke DHL…

Vor ca. drei Wochen hat meine Freundin etwas bestellt. Der Versand erfolgte am nächsten Tag mit DHL. Nach ungefähr einer Woche fragte man sich dann, wo das Paket denn sei… Es stellte sich heraus, dass es leider beim Transport so beschädigt wurde, dass es erst von DHL neu verpackt werden muss. Na super.

Die Verkäuferin war so nett ein zweites Paket auf die Reise schicken. Das erste, kaputte, sollten wir dann zurück gehen lassen bzw. die Annahme verweigern. Das war dummerweise ein Umstand der bei mir nicht ankam. Und so kamen letzten Freitag beide Pakete gleichzeitig an. Da nur ich zu Hause war, nahm ich sie beide an. Großer Fehler….

Als Sie nach Hause kam, war die Verwirrung groß, warum ich denn beide Pakete angenommen hatte. Nagut dachte ich mir: Es wurde ja nicht von Ihr angenommen daher kann man sicher nachträglich die Annahme verweigern….

Wie bin ich da nur drauf gekommen? Auf jeden Fall rief ich bei DHL an und hatte ein ca. 10 minütiges Gespräch mit einer mehr oder weniger freundlichen Mitarbeiterin. 

Der Inhalt: 

§ Continue reading

Eigene Cloud…

Wie der eine oder andere weiß, bin ich ja etwas verrückt und betreibe auch eine kleine eigene “Cloud”-Infrastruktur. 

Im Grunde umfasst das ganze derzeit zwei ESXi Hosts, einer im Rechenzentrum und einer zu Hause auf dem File-, E-Mail und Webserver laufen. 

Durch Replikation und Backups ist das ganze mittlerweile auch meiner Meinung nach gut gesichert, sodass eigentlich so schnell nichts weg kommen kann. 

Damit hatte ich mich dann von öffentlichen Providern für E-Mail und Webservices abgekapselt und auch ein Offsite-Backup läuft auf meine eigene Maschine. Das einzige, was mir noch ein Dorn im Auge ist, ist Dropbox. Da habe ich leider noch keine passende alternative gefunden.

§ Continue reading

FB#17: Fotos vom Altstadtfest

In diesem Album findet ihr ein paar Fotos vom Altstadtfest dieses Jahr. Da ich nicht viel mit der Kamera unterwegs war, eigentlich hauptsächlich der Auftritt von Marti Fischer ;)

Klick