KB316112 clearly states why the naming convention among other things should be an important part of any planning:
It states:
Domains that use cookies must use only alphanumeric characters ("-" or ".") in the domain name and the server name. Internet Explorer blocks cookies from a server if the server name contains other characters, such as an underscore character ("_").
The solution they present is to rename the affecting domain or server. So, be sure that you only use alpha-numeric characters and "-" in your naming and no other characters!
When your Windows 2003 DNS server shows events with ID 5781 during boot, then something went wrong with unregistering de netlogon services on the DNS server. This can happen when you haven't followed the guidelines on demoting a domain controller to member server.
Although it seems that DNS is clean, it also caches the information in two seperate files to compare data from the different domain controllers. The content of these two files are loaded when starting the DNS server. If these files contain old information, you get the above events in your eventlog.
Solution: stop the "netlogon service", rename or remove the Netlogon.dns and Netlogon.dnb files in "c:\windows\System32\config" and restart the "netlogon service".
Microsoft has a article on Technet:
KB311354
The current poll is already online for some weeks now and makes clear that 33% of the people got their MCSE 2003 and 33% hasn't got any MS certification. On the left you will find a new poll which should tell us how many people are using pre-Windows 2003 OS'es. According to Microsoft there should be an installed base of Windows NT 4.0 of about 40%. So, your votes please! And below you will find the result of the previous poll:
At the last week held TechEd 2004 in the VS, hackers have continuously tried to sabotage Microsoft's wireless network. This network was put in place for visitors of TechEd 2004 to take part at online conversations. After 48 hours the network had more than 8000 hack attempts. One hacker tried to spread a new worm from the exhibition hall on to the wireless network. "What they did not realize is that this is one of the closely monitored networks on the world", according to a technician. Unbelievable!
Microsoft has presented their roadmap for the so called "common criteria" for the Windows Server System. A nice detail is that they want to introduce a common interface for error messages for all server products (example below). Beginning with SQL Server 2005, this messagebox will be present.
Link:
http://download.microsoft.com/download/e/b/8/eb8e4260-e8a7-4da9-8e13-e55f0accb9b7/Roadmap.doc
When you have multiple NIC's in a Window Server 2003 machine, it can happen that the machine generates error messages in the eventlog. Among others the error is "Windows cannot query for the list of Group Policy object". Another symptom is the "Access Denied" error when editting group policies. This is a serious problem as group policies aren't being applied to the machine.
(more)
Service Performance Advisor is a server performance diagnostics tool which was developed to diagnose important problems on a Microsoft® Windows Server™ 2003 operating system, specifically any performance problems with Internet Information Services (IIS) 6.0 and Active Directory®. Server Performance Advisor collects data of the performance and usage of resources and reports about these properties. Among other things you get insight in the most used files, TCP clients which make extensive use of your system, CPU usage, printing, etcetera.
See this
link at Microsoft for downloading this
free tool.
People working with Active Directory will now that there are loads of tools and scripts to get information out of AD. Besides that, there are often situations at companies that require to setup one or more forests and what is the best approach to do this? Robby Allen has wrote a book called "Active Directory Cookbook" where those practical examples are discussed. Dutch people can order it at Computer Collectief (click
here) and I can really recommended it. On the O'Reilly site there is a
sample chapter in PDF format.
Op de PressPass site van Microsoft is een link te vinden naar de keynote van TechEd 2004 welke door Steve Ballmer werd verzorgd. Met name de powerpoint presentatie is aardig om te bekijken, aangezien het aangeeft hoe men bij Microsoft de visie voor de komende tijd ziet. Klik op de link hieronder om de presentatie te bekijken.
http://download.microsoft.com/download/f/9/d/f9dd899b-0c6d-455e-9415-61acbdecb9d3/05-24SteveBTechEdKeynote.ppt
Deze week wordt op TechEd 2004 USA de nieuwste versie van ISA (Internet Security & Acceleration) Server gelanceerd: versie 2004. Naast verbeterde firewall- en proxy-mogelijkheden worden er in samenwerking met partners ook hardware-varianten op de markt gebracht. HP heeft bekend gemaakt dat zij in het vierde kwartaal van dit jaar een ISA 2004 hardware-oplossing zullen leveren op basis van de HP Proliant DL320 G2. Veel klanten twijfelen nu aan de kwaliteit van ISA omdat deze in grote mate afhankelijk is van het OS. HP en Microsoft denken op deze manier klanten een volwaardige oplossing te kunnen bieden.
Volgende week is Microsoft TechEd 2004 in San Diego. De verwachting is dat onder andere Exchange Server 2003 SP1 en ISA Server 2004 gepresenteerd zullen worden. De week erna wordt
TechEd 2004 Europe in Amsterdam gehouden. Eén van onze Techloggers (André) zal dit evenement voor ons bezoeken. Let daarom goed op in de 1e week van Juni voor TechEd 2004 nieuws op Techlog!
Het Pentagon is begonnen met een uitgebreide proef op het gebied van aanloggen op Active Directory door middel van vingerafdruk. Eind vorig jaar zijn zij - in samenwerking met DigitalPersona - begonnen om de PC's van een groep officieren te voorzien van vingerafdruk scanners. Door middel van DigitalPersona Pro kunnen zij hiermee op Active Directy aanloggen. "Belletjes naar de helpdesk omtrent wachtwoord problemen zijn met 80% afgenomen en belletjes omtrent de vingerafdrukken zijn niet noemenswaardig", alsdus de CIO.
Meer informatie op:
http://gcn.com/vol1_no1/daily-updates/25381-1.html
Windows Update Versie 5 RC 2 is voor test doeleinden online gezet. Zowel de site als de update pagina's zijn beschikbaar voor:
- Windows XP SP2 (build 2120), Windows XP RTM/SP1, Windows Server 2003 en Windows 2000 SP3/SP4
Handige artikelen en technische info over het werken met Exchange Server 2003. Vooral het eBook "Administration Guide" is een aanrader.
http://www.microsoft.com/exchange/techinfo/administration/mailbox.asp
Microsoft heeft een nieuwe versie van de MCP Member Site online gezet. Deze versie beschikt over een groot aantal nieuwe en verbeterde mogelijkheden o.a.:
- Certificering planner
- Delen van je transcript
- Vacature zoeker
Vooral het delen van je transcript is erg handig. Door middel van een toegangscode kan bijvoorbeeld een collega of (nieuwe) werkgever deze online bekijken.
Microsoft heeft een tool beschikbaar gesteld waarmee je de standaard domein(controller) policy bestanden kunt restoren, voor in het geval dat deze per ongeluk zijn verwijderd. Deze tool is exclusief beschikbaar voor:
- Windows 2000 Server, Advanced Server en DataCenter Server
Gebruik deze tool niet voor Windows Server 2003; daarvoor in de plaats gebruik je Dcgpofix.exe (reeds aanwezig in Windows Server 2003).
Bron: Microsoft Download
Sinds de komst van Exchange Server 2000 en 2003 is er flink wat veranderd qua rechten binnen Exchange. Na wat problemen van dien aard viel mijn oog op het volgende artikel:
Q821897 "How to assign service account access to all mailboxes in Exchange Server 2003".
Met name de volgende alinea opent de ogen, mijn inziens:
"If your logon account is the Administrator account or is a member of the Domain Admins or Enterprise Admins groups, then you are explicitly denied access to all mailboxes other than your own, even if you otherwise have full administrative rights over the Exchange system. All Exchange Server 2003 administrative tasks can be performed without having to grant an administrator sufficient rights to read other people's mail."
Verder nog een aardige (registry) tip om het Security tabblad aan te zetten (ShowSecurityPage = 1).
Bij het plaatsen van een grote IDE HardDisk (bv 140Gb/160Gb) in oude hardware kan men voor verrassingen komen te staan. Persoonlijk heb ik een Maxtor 160 Gb (type 6Y160PO) in een oude PC met gigabyte GA-686LX4 moederbord geplaatst.
De ondersteuning van grote harddisken, door de BIOS, laat te wensen over.
Echter niet getreurd hieronder zijn een aantal oplossingen:
(more)
Op woensdag openbaarde Microsoft haar 'roadmap' voor de komende versies van Windows Server. 'Longhorn Server', de server die is gebaseerd op Longhorn, de opvolger van Windows XP, staat gepland voor 2007.
Een eerste beta moet al in de eerste helft van volgend jaar beschikbaar komen, en een tweede beta in 2006. Longhorn Server zal in ieder geval 'Indigo' ondersteunen, de webservices architectuur waarmee Windows zal gaan communiceren. Daarnaast moet deze versie interessanter worden om in te zetten als een Windows 'mainframe' en daarvoor zal het beheer worden verbeterd en zaken ondersteunen als dynamische partitionering. Longhorn Server moet dan in 2009 een update krijgen en in 2008 een Service Pack.
Ook over de toekomst van Windows Server 2003 werd meer duidelijk; nog dit jaar moet een Service Pack volgen, met daarin verbeteringen voor een hogere betrouwbaarheid en een betere beveiliging en de ondersteuning van 64-bits applicaties. Dat laatste maakt het meer dan 'zomaar' een Service Pack. Volgend jaar komt er een update op Windows Server 2003 (codenaam 'R2'), met daarin een nieuwe beveiligingstechniek die machines onzichtbaar maakt in het netwerk als ze pas nieuw in een netwerk worden aangesloten.
Heeft iemand wel eens overwogen Email Security (S/MIME) te implementeren in hun Exchange 2003 omgeving? Zo complex als het opzetten was met vorige versies van Exchange, zo makkelijk kan het nu met Exchange 2003 Server. De enige vereiste is een Windows Server 2003 CA (Certificate Authority) met "auto enrollment". Zodra je Email Security geimplementeerd hebt, kunnen gebruikers hun email "encrypten" en "signen".
Lees verder voor de installatie handleiding!
(more)
In het geval van Active Directory problemen kan het handig zijn om (tijdelijk) de replicatie op een domein controller te stoppen. Er zijn twee methodes om dit te doen:
1. Start ADSI-Edit en navigeer naar CN=NTDS Settings,CN=
Site,CN=Sites,CN=Configuration,DC=
jouw,DC=
domein en zet het
options attribuut op
0x01 voor het stoppen van Intrasite replicatie en
0x10 voor het stoppen van Intersite replicatie. (Dit moet op elke domein controller!)
2. Gebruik de ongedocumenteerde parameter van Repadmin. Om replicatie naar je DC te stoppen tik je
repadmin /options dc.jouw.domein +DISABLE_INBOUND_REPL en om de replicatie vanaf je DC te stoppen tik je
repadmin /options dc.jouw.domein +DISABLE_OUTBOUND_REPL. (Moet ook op elke domein controller!)
Met dank aan John Reijnders van LogicaCMG!
Iedereen heeft een hekel aan NetBIOS, dus waarom is het er nog steeds? Zoals je zult weten is NetBIOS een oeroude (1983) sessie-transport protocol ontwikkeld door Sytec voor IBM om het mogelijk maken meerdere PC's met elkaar te laten netwerken.
Het is luidruchtig (broadcast), onveilig (commando's zoals "net view" en "nbtstat" kunnen hackers veel vertellen over het netwerk) en slecht te beheren (het is een platte naamgeving welke ontwikkeld was voor maximaal 72 pc's).
Microsoft heeft NetBIOS in de tachtiger jaren omarmt voor hun Lan Manager product en zodoende ook terecht gekomen in vroege versies van Windows en zelfs Windows NT. Het is nog steeds aanwezig (en zelfs standaard ingeschakeld) in Windows 2000, XP en Server 2003 omdat vele bedrijven nog steeds "legacy" client computers (Windows 9x of NT) heeft die gebruik maken van het netwerk.
Deze machines hebben NetBIOS nodig om normaal te kunnen functioneren omdat ze onder andere NetBIOS gebruiken voor het aanloggen op domeinen, een andere pc vinden, of contact leggen met gedeelde mappen.
Lees verder op: Windows Dev Center
Aelita heeft een
whitepaper op haar site gezet met 10 tips bij de recovery van Active Directory. Een interessante tip gaat over het feit dat objecten niet meer ge-restored kunnen worden na verloop van tijd i.v.m. tombstone periode.
Link: 10_Things_to_Know_about_Active_Directory_Recovery.pdf
Microsoft Exchange Intelligent Message Filter is een geavanceerd berichtfilter op de server dat is bedoeld als hulpmiddel in de strijd tegen ongevraagde commerciële e-mail, ook wel spam of ongewenste post genoemd. Voor Exchange Intelligent Message Filter, dat zal uitkomen in de eerste helft van 2004, is Microsoft Exchange Server 2003 vereist. Als u dit product gebruikt in combinatie met Microsoft Outlook 2003 helpt het de hoeveelheid ongewenste post die gebruikers ontvangen aanzienlijk te verminderen.
(more)
Beste Techlog-lezers, de komende tijd zullen we meer informatie (voor zover mogelijk) over MOM 2005 en WUS gaan plaatsen, we zijn namelijk officiele beta-tester geworden voor beide producten. Met dank aan Microsoft! Klik op
meer om alvast een voorproefje te krijgen.
(more)
Op de WinSuperSite van Paul Thurrot zijn screenshots te vinden van prototypes van Lognhorn. Verschillende varianten van Longhorn (voor tablet-pc, etc) zijn op WinHEC 2004 gepresenteerd en Paul heeft er over geschreven. Ga naar
zijn site om meer te zien over de toekomst van Windows.
Windows Update Services, voorheen bekend als SUS (software updates services) 2.0 is momenteel in beta stadium. Wij hebben de hand weten te leggen op de eerste screenshots. WUS zal eind dit jaar beschikbaar komen als gratis toevoeging voor Windows Server 2003. Grote verschillen met SUS versie 1 zijn de mogelijkheid tot update van meer Microsoft producten zoals Office, Exchange, SQL en MSDE. Tevens zijn er eindelijk rapportage mogelijkheiden (web-based). Wanneer de client PC service pack 2 voor Windows XP geladen heeft wordt het mogelijk om volledig - zonder tussenkomst van de gebruiker - de updates te distribueren (bij SUS kreeg men als ze Administrator equivalente rechten hadden altijd een waarschuwing-scherm).
In
dit artikel op Microsoft Technet wordt helder uitgelegd hoe het in zijn werk gaat wanneer men tussen 2 verschillende forests resources benaderd. Handige en praktische informatie voor omgevingen waar met meerdere Active Directory forests wordt gewerkt.
Wanneer je een server die als Microsoft DHCP Server fungeert verwijderd uit Active Directory dien je handmatig op een andere DHCP Server de oude server te "unauthorizen".
Wanneer je dit niet doet blijven er foutmeldingen komen in de "eventviewer" van de overgebleven DHCP servers.
Als je geen duur 3e-partij pakket wilt gebruiken, maar toch op een effectieve manier spam wilt voorkomen met Exchange 2003 kan je gebruik maken van de RBL (Real-time Block List) functie. Exchange zal geen mail ontvangen van IP nummers/reeksen die voor komen op zogenaamde "black lists". Lees verder om dit in te stellen.
(more)
Jawel, het is mogelijk. Active Directory gebruikers authentiseren via het kerberos protocol in Apache. Let op: dit artikel vereist dat je enigzins ervaring hebt met UNIX, Apache en Kerberos. In dit voorbeeld ga ik uit van een Debian 3.x linux installatie omdat deze al standaard Apache 2.x en Kerberos 5 bevat. Download de laatste versie van mod_auth_kerb vanaf http://modauthkerb.sourceforge.net, deze zorgt voor kerberos ondersteuning in Apache.
(more)
BITS is een service die in Windows XP en Windows Server 2003 aanwezig is. Diensten zoals SUS (software update services) gebruiken deze service om (grote) bestanden intelligent en zonder verstoring van het andere verkeer naar client pc's te distribueren. BITS gebruikt de resterende bandbreedte die er nog over is om bestanden te verzenden. Bijvoorbeeld: bij een continue 60% netwerkbelasting zal BITS de overige 40% gebruiken voor verzending. BITS houdt ook bestandsverzending bij wanneer de netwerkverbinding verbreekt of wanneer de PC gaat herstarten en zal deze wanneer de situatie hersteld is weer afmaken. Windows XP bevat BITS versie 1.0 welke alleen downloads kent, Windows Server 2003 bevat BITS versie 1.5 welke zowel uploads als downloads kent. BITS versie 1.5 voor Windows XP is verkrijgbaar als losse download.
Meer informatie over BITS, het service account en andere relevante zaken vindt je op
deze pagina.
Zowel legale als illegale kopieen van Windows XP zullen de aankomende service pack 2 kunnen installeren. Volgens Barry Goffe, product manager bij Microsoft, baart het groeiende aantal security lekken Microsoft zorgen en heeft men besloten om geen checks in SP2 in te bouwen. Dit in tegenstelling tot SP1, waar nog gecontroleerd werd of je er gebruikt werd gemaakt van een legaal serienummer. "Het was een moeilijke keuze, maar we laten veiligheid prevaleren boven inkomsten", aldus Barry. Service pack 2 zal als 250 MB pakket gedownload kunnen worden vanaf de Microsoft site of tegen verzendkosten op CD besteld kunnen worden.
Meer hierover kun je lezen in de
Asia Computer Times.
Vaak is het niet mogelijk om zonder dure hardware een lab-omgeving te maken voor Windows Server 2003 clusters. Met de komst van VMware versie 4 is dit veranderd. We hebben een tutorial geschreven hoe je dit in VMware configureert. Erg leuk, want dit betekend dat je thuis nu ook kunt spelen met een 2-node active/active W2003/Exchange cluster, bijvoorbeeld.
Link: VMware_Clustering.pdf
Ondanks dat Microsoft op WinHEC beweerde dat DCE (Desktop Composition Engine, de DirectX-gebaseerde video engine) nog niet in de 4074 build van Longhorn zat, is deze wel degelijk aanwezig maar standaard niet geactiveerd. Wanneer je het commando
sbctl.exe start (system32) uitvoert, wordt DCE geactiveerd. Benieuwd naar de mogelijkheden? Bekijk dit voorbeeld:
Na de zomer verschijnt ISA 2004 en is inmiddels al in "release candidate 1" status. Er zijn vele verbeteringen, waaronder Application Filters, Visual Policy Editor (vergelijkbaar met Checkpoint FW-1 regels), Real Time Monitoring Dashboard, Radius (met plugin voor RSA SecurID) en Exchange Publication.
Met name de uitgebreide HTTP filtering functionaliteit trok bij mij de aandacht. Het is daarmee mogelijk om HTTP pakketten te inspecteren op bepaalde "handtekeningen". Dit is vooral handig als je file-sharing programma's zoals Kazaa of eMule wilt blokkeren op je netwerk.
Deze week was de WinHEC conferentie waarin veel informatie over Windows (client + server) en gerelateerde zaken aan bod kwamen. Misschien wel het meest interessante nieuwsfeit is dat men bij Microsoft een interim versie van Windows Server 2003 plant. In het midden van 2005 moet deze zogenaamde "Windows Server 2003 Update" beschikbaar komen.
(more)
Terwijl veel mensen de ogen gericht hebben op Windows XP SP2 werkt Microsoft tegelijkertijd aan een ander service pack: de eerste voor Windows Server 2003. Microsoft heeft gezegd dat zij verwachten dat deze in de 2e helft van 2004 beschikbaar zal komen. Zoals ook in SP2 voor XP, zal SP1 voor 2003 een flink aantal beveiligings-verbeteringen bevatten.
Eén van de grootste veranderingen zal ACI (Advanced Client Inspection) zijn, welke de geschiktheid van PC's zal bekijken die naar het netwerk willen connecten. Het systeem is te vergelijken met Cisco's project genaamd Network Admission Protocol, maar ACI werkt alleen op Windows PC's. Wanneer een PC aan probeert te loggen op het netwerk, zal Windows Server 2003 kijken naar de security instellingen op de PC en deze vergelijken met het niveau van beveiliging dat de beheerder ingesteld heeft middels een policy en waaraan de client tenminste moet voldoen. Indien deze niet overeenkomen zal de PC buitengesloten blijven.
Hoe het systeem exact werkt is nog niet bekend. Men laat weten dat de meeste rekenkracht aan de serverzijde zal plaatsvinden en dat er op de client PC slechts een agent benodigd zal zijn. Ook zal het service pack een tool bevatten die het mogelijk maakt om vooraf in te stellen naar welke draadloze netwerken een client mag connecten. Meer informatie kan je vinden bij
eweek.
Microsoft is bezig met een plan om programma's die wormen kunnen verwijderen in de nieuwe Windows Update site. Met de grootschalige verspreiding van destructieve wormen zoals Blaster, Netsky en Sasser wordt de bedreiging steeds groter. Microsoft gaat aan het eind van dit jaar een nieuwe Windows Update site online brengen als onderdeel van het vernieuwde Windows Patch Management programma. Afhankelijk van de grootte en de snelheid van de verspreiding zal het mogelijk worden om via de Windows Update site de worm te laten verwijderen van je pc.
Meer informatie hierover kan je vinden in het artikel op
Internetnews.
Het lijkt nu duidelijk te worden waar de recentelijk gesloten deal tussen Sun en Microsoft om draait. In
dit artikel van de SD Times valt te lezen dat "Sun en Microsoft samen gaan werken om het mogelijk te maken Active Directory en Sun Java Identity Server te koppelen". Eindelijk! Misschien dat we nu eindelijk een degelijke oplossing krijgen voor de uitwisselbaarheid tussen de verschillende "directory" fabrikanten.
Op
deze pagina kan je een whitepaper vinden over het uitrollen van Windows XP SP2 firewall instellingen. Aangezien er veel veranderd is in SP2 zullen beheerders GPO's, ADM's en andere instellingen moeten aanpassen om een vlekkeloze uitrol van SP2 mogelijk te maken. In dit document staat beschreven hoe je dat het beste aan kunt pakken.
Microsoft heeft Windows "Longhorn" (client preview 2 - build 4074) beschikbaar gemaakt via MSDN. We zullen deze gaan bekijken en binnenkort hier een artikel over schrijven.
Misschien wel één van de meest opmerkelijke zaken die onopgemerkt is gebleven van de Microsoft PDC conferentie: Monad. Microsoft gaat met Longhorn definitief afscheid nemen van DOS, toch gaan ze een alternatief voor de command-shell introduceren: Monad. Voorlopig nog een werktitel (MSH - Monad SHell) wat je nog het beste kunt vergelijken met de unix command-prompt. In Longhorn build 4080 kan je er al kennis mee maken en hier en daar op internet is al een Windows XP-versie te vinden.
Met name de gelijkenis op het unix principe, scripten vanuit de command-prompt, zie je duidelijk terug. Zo zijn ook aliassen voor bestanden mogelijk en kan je zelfs direct Active Directory aansturen en bijvoorbeeld gebruikers-gegevens uitlezen. Query resultaten worden uitgevoerd als .NET objecten. Misschien nog wel het leukste detail: alles kan naar een drive-letter gemapt worden en harddisks hoeven geen drive-letters te zijn. Als voorbeeld hadden ze op de PDC het register gemapt naar een letter en kon je, zoals je nu doet, met de Explorer er doorheen wandelen. De resultaten werden dan als .NET commandlet objecten bewaard!
Er is een service pack uitgebracht voor Windows 98 SE. Lekker belangrijk? Ja, aangezien deze niet door Microsoft is uitgebracht, maar een Windows enthousiasteling. Alper Coskun heeft service pack 1.5 op zijn website gezet en claimt betere USB ondersteuning en een groot aantal hotfixes die hij via de Windows Update site heeft verzameld.
Downloaden kan via:
http://exuberant.ms11.net
In een reactie geeft Microsoft aan geen problemen te hebben met de situatie en zal het oogluikend toestaan. Ze haasten zich wel te zeggen dat ze niet kunnen instaan voor de functionaliteit en kwaliteit van het service pack.
Microsoft heeft de File Server Migration Toolkit beschikbaar gemaakt voor download. Via
deze pagina kan je meer informatie vinden en de toolkit (na registratie) downloaden.
De toolkit bevat een tool genaamd de File Server Consolidation wizard die het mogelijk maakt om vanaf NT4 fileservers de bestanden, shares en rechten te migreren naar een Windows Server 2003 DFS. Naast de makkelijke interface zorgt deze wizard voor een ander heel groot voordeel: de oude UNC paden blijven behouden. Hierdoor kan je heel makkelijk migreren en blijven bestanden en programma's met oude UNC verwijzingen gewoon blijven werken.
(more)
