DNS Server (Windows 2008 R2) Backup

Um ein Backup eines DNS Servers der unter Windows 2008 R2 (sollte bei anderen Systemen ähnlich sein) läuft, muss man erstmal unterscheiden um welche Art DNS Server es sich handelt. Ist die Zone die gesichert werden soll nicht im Active Directory (AD) integriert reicht hier ein kleiner copy Befehl. Für eine AD integrierte Zone muss man das Tool dnscmd verwenden.

Copy Befehl :
robocopy %systemroot%\system32\dns d:\backups\dns /S /ZB /XJ /R:2 /W:3 


Backup mit dnscmd :
dnscmd /zoneexport domain.de backup\domain.de.backup

Dieser Befehl erstellt die Datei %systemroot%\system32\dns\backup\domain.de.backup wichtig ist hierbei das die Datei nicht überschrieben wird sollte sie bereits existieren. Wenn man die Sicherung in einem Skript automatisiert ablaufen lassen will sollte man die Datei weg kopieren oder mit Datum ablegen.

Wenn man eine AD integrierte Zone wieder herstellen möchte geht man diesen Weg :

dnscmd /zoneadd domain.de /primary /file domain.de.backup /load

Hier gilt es zu beachten das die Datei %systemroot%\system32\dns\backup\domain.de.backup vorhanden ist. Der Parameter /load bewirkt das die Konfiguration aus der vorhandenen Datei übernommen wird. Vergisst man diesen wird eine neue Zonen Datei erstellt und das Backup File ist leer ...

Um diese Zone nun wieder auf AD integriert zu konvertieren nimmt man diesen Befehl :
dnscmd /zoneresettype domain.de /dsprimary


Quelle : mcpmap.com

NAS Thecus N7700PRO / N5500 - Zeit läuft nicht synchron zum AD

Problem :
Die Zeit der NAS Systeme N7700PRO / N5500 von Thecus laufen mit der Zeit nicht mehr synchron zum Active Directory. Dies liegt vermutlich daran das Linux die Zeit vom Mainboard abgreift. In der heutigen Zeit können hier schonmal Abweichungen von bis zu 10 Sekunden in 24 Stunden auftreten. Irgendwann verliert das NAS dann das AD je nach GPO (normalerweise 5 Minuten Zeitunterschied). Leider haben alle Versuche dieses Verhalten über die GUI zu ändern nicht funktioniert.

Lösung :
Das Problem wurde hier so gelöst das ich ein Bash Skript erstellt habe das im Cron alle 24 Stunden aufgerufen wird. Da auf diesen Systemen von Thecus ntpdate vorhanden ist habe ich dieses auch verwendet. Natürlich wird zum Thecus ein SSH Zugang benötigt

Erstellt ein Skript mit diesem Inhalt :
#!/bin/bash
ntpdate -b dc.dom.local


dc.dom.local


dieses Skript kann man dann über cron z.B. täglich um 12 Uhr ausführen lassen.
Der Eintrag für crontab könnte z.B. so lauten.

0 12 * * * /raid0/data/scripts/NTP_SYNC.sh > /dev/null 2>&1

DHCP Server 2008 R2: DHCP aktualisiert Revers-DNS-Eintrag im DNS nicht

Problem:
Nach dem Umzug des DHCP-Servers auf unseren neuen Server 2008 R2 haben wir festgestellt, dass die Reverse-Lookup-Zone nicht aktualisiert wird.
Betroffen waren hier alle Windows 7-Clients.

Lösung:
Nach einiger Suche im Internet haben wir mehrfach dieses Problem angetroffen. Hierzu gibt es eine einfache Lösung.
Man aktiviert in den DHCP-Server-Einstellungen den Punkt "DNS-A und -PRT-Einträge immer dynamisch aktualisieren"
Folgende Vorgehensweise hierzu:

1.) DHCP-Server-SnapIn starten
2.) Rechtsklick auf den betroffenen Bereich und "Eigenschaften" auswählen
3.) Im Reiter "DNS" wählen
4.) Hier den Punkt "DNS-A und -PRT-Einträge immer dynamisch aktualisieren" aktivieren
5.) OK klicken

Danach soltlen bei der nächsten Client-Anmeldung der Reverse-Eintrag wieder angelegt werden.
Man kann dies gerne mittels "ipconfig /release" und nachfolgendem "ipconfig /renew" an einem Windows 7 Client testen.

Quelle: Microsoft Technet: DNS not updating for Reverse Pointer - DHCP runing on windows 2003 and DC &DNS runing on windows 2008R2

Profil anlegen über VPN ohne DC Kontakt bei Anmeldung

Der Eintrag ist jetzt keine Wirkliche Problemlösung eher ein kleiner Trick , in meinem Job kann es vorkommen das für einen Außendienstmitarbeiter ein neues Profil auf dem Rechner angelegt werden muss. Wenn z.B. das lokale Profil defekt ist oder ein Kollege die Anpassung des Laptops auf den User verschlafen hat ;-) Nun stellt sich die Frage wie legt man ein lokales Profil an wenn man keinen Kontakt zum DC (Domain Controller) bei der Anmeldung hat ?

Ich hab es so gelöst :

Man meldet sich mit einem beliebigen lokalen User an dem Laptop an und startet eine VPN Verbindung ins Firmennetz , wenn diese steht führt man ein Programm mit dem "Ausführen als" Dialog aus , Windows XP legt in diesem Schritt das Profil des User auf der lokalen HDD mit den aktuellen Kontoinformationen an. Nun meldet man den lokalen User ab und man kann sich mit dem AD User ohne Probleme anmelden.

Weiterführende Links :

Aktivieren von RunAs

Alternativ dazu kann natürlich auch die Kommandozeile diese Aufgabe erfüllen -> RunAs

Kein Zugriff von Windows Server 2008 auf NAS - 0x80070035

Problem:
Beim Zugriff von einem Windows Server 2008 auf eine NAS-Freigabe wird folgender Fehler angezeigt:
Netzwerkpfad nicht gefunden
0x80070035

Lösung:
Das Problem hängt mit der NTLM-Authentifizierungseben bei Windows 2008 zusammen. Hier sind die Einstellungen einfach strenger als in den früheren Windows-Versionen. Man muß hier die Gruppenrichtlinien des einzelnen Servers/Clients anpassen.

1.) START - AUSFÜHREN - GPEDIT.MSC
2.) Computereinstellungen - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen
3.) Hier dne Punkt "Netzwerksicherheit:LAN-Manager-Authentifizierungsebene"
4.) Diesen Punkt ändern auf "NM- und NTLM-Antworten senden"
5.) Gruppenrichtlinien-Editor schließen
6.) START - AUSFÜHREN - GPUPDATE

Danach ist der Zugriff möglich!

Quelle: Making Windows 7 PC's compatible with older Buffalo NAS products

Fehler beim Zugriff einer Serverfreigabe über den DNS-Alias (CNAME)

Problem:
Es wird folgende Fehlermeldung angezeigt, wenn ein Clientcomputer eine Freigabe (z.B. Logon-Skript) auf einem Dateiserver über den Alias-Namen (DNS CNAME) zu öffnen versucht:
Systemfehler 52 ist aufgetreten.
Ein doppelter Name ist in dem Netzwerk vorhanden.

Lösung:
1.) Erstellen Sie den CNAME-Eintrag für den Dateiserver auf dem entsprechenden DNS-Server, wenn der CNAME-Eintrag nicht bereits vorhanden ist.
2.) Wenden Sie auf dem Dateiserver die folgende Registrierungsänderung an.Starten Sie den Registrierungseditor (Regedt32.exe).
3.) Suchen Sie den folgenden Registrierungsschlüssel und klicken Sie darauf
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

4.) Klicken Sie in dem Menü "Bearbeiten" auf "Wert hinzufügen", und fügen Sie dann den folgenden Registrierungswert hinzu:
Wertname: DisableStrictNameChecking
Datentyp: REG_DWORD
Basis: Dezimal
Wert: 1
5.) Beenden Sie den Registrierungseditor und starten Sie den Dateiserver neu

Quelle: Microsoft KB Artikel-ID: 281308
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)