Results for category "Windows"

42 Articles

Langsames Netzwerk unter Windows Vista (inkl. Service Pack)

Wenn die Performance beim Schreiben über SMB auf Windows Vista unheimlich schlecht ist – trotz Gigabit – sollte testweise folgender Eintrag in der Registry geändert werden:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionMultimediaSystemProfileNetworkThrottlingIndex

und diesen Wert dann auf 0xFFFFFF setzen.

Erstellen eines Active Directory-Benutzers mit Nur-Leserechten

Vor einigen Tagen berichtete ich über das Active Directory-Authentifizierungsproblem bei SMTP-Benutzern auf unserer Astaro-Firewall. Nachdem der Support von Astaro sich die Logs auf der Firewall näher angeschaut hatte, bekamen wir folgenden Tip: Der von uns vorgesehene Benutzer besaß im Active Directory zu wenig Rechte.
Normalerweise wird in Applikationen, z.B. bei mod_ldap für Apache, eine Suchanfrage für einen Benutzer gestartet, in dem überprüft wird, ob eine Gruppe oder eine OU den Benutzer enthält. Außerdem geschieht oft das Binding über den zu autorisierenden Benutzer.
Die Software der Astaro-Firewall geht einen etwas anderen Weg: Der Benutzer wird am Active Directory authentifiziert, danach wird geschaut, ob der Benutzer im Attribut memberOf Mitglied der Gruppe ist.

Unser obiger Benutzer – der Einfachheit halber LDAP-Account genannt – war als normaler Domänen-Benutzer im Active Directory eingetragen und konnte somit Anfragen auf OUs oder Gruppen stellen, aber eben nicht das memberOf-Attribut von speziellen Benutzern auslesen.
Mit Hilfe der Aussage des Supports wiesen wir dem LDAP-Account zum Test im Active Directory die Gruppe “Domänen-Administratoren” zu und siehe da: Die Authentifizierung beim SMTP-Relaying funktioniert.

Nun wollten wir aus Sicherheitsgründen aber natürlich nicht, dass der Benutzer weiterhin mit der Rolle des Domänen-Administrators in der Domäne agierte. Der LDAP-Account sollte nur lesend auf die Attribute von Benutzern zugreifen können.

Damit dieses Vorhaben gelingt, muss die MMC ADSI Edit aufgerufen werden. Falls diese nicht installiert ist, muss sie von der Windows Server 2000/2003-CD aus dem Verzeichnis Support Tools nachinstalliert werden.

Nun wählt man die OU aus, in der dem LDAP-Account Leserechte gewährt werden sollen.

Auswahl der OU

Auswahl der OU

Danach muss im Tab Sicherheit mit einem Klick auf Hinzufügen der LDAP-Account dieser OU hinzugefügt werden.

Sicherheitseinstellungen für diese OU

Sicherheitseinstellungen für diese OU

Auswahl des Benutzers

Auswahl des Benutzers

Der LDAP-Account erscheint nun in der Liste der Gruppen- oder Benutzernamen.

Benutzer, nachdem dieser der OU zugewiesen wurde

Benutzer, nachdem dieser der OU zugewiesen wurde

Mit einem Klick auf Erweitert, Auswahl des LDAP-Accounts und nochmaligen Klick auf Bearbeiten wird dem Benutzer das Recht Berechtigungen lesen entzogen. Weiterhin war das Recht Inhalt auflisten für unsere Anforderungen nicht nötig.

Erweiterte Sicherheitseinstellungen

Erweiterte Sicherheitseinstellungen

Spezielle Berechtigungen setzen

Spezielle Berechtigungen setzen

Nach diesen Änderungen konnte nun der Benutzer LDAP-Account auf das memberOf-Attribut zugreifen.

Tips und Tricks in Windows 7

Tim Sneath hat in seinem Blog einige nützliche Tips veröffentlicht, die Windows 7 bereit hält.
Besonders interessant fand ich, dass sich mit Hilfe der psr.exe Benutzer-Interaktionen aufzeichnen lassen. Somit kann man anderen Personen per Video demonstrieren, wie sich Probleme beheben lassen.

Der Blog-Eintrag ist definitv empfehlenswert.

HTC Touch Diamond / WPA2 / PEAP / Windows Server 2003

Szenario: HTC Touch Diamond über WPA2 AES mit Hilfe von RADIUS/IAS an das Firmen-Netzwerk anbinden.

Nicht nur ich, sondern auch andere Personen haben das Problem, dass der Wifi-Manager im HTC Touch Diamond bei ausgewähltem PEAP meldet, dass man ein persönliches Sicherheitszertifikat benötigt.
Im Internet gibt es einige Hinweise, dass man entweder ValidateServerCert auf “0” setzen soll -so habe ich es vor einigen Tagen auch in diesem Blog geschrieben- oder aber, dass man Securew2 benutzt.
Beides reichte bei unserem Netzwerk nicht aus. Deshalb hier eine kurze Anleitung, wie es funktioniert.

Zuerst muss auf dem Domänen-Controller – bei uns ist das ein Windows Server 2003 R2 – das Server-Zertifikat exportiert werden. Microsoft stellt dazu unter http://www.microsoft.com/downloads/details.aspx?FamilyID=6123EB55-6590-4643-8E7F-11C177104DE2&displaylang=en das Tool SslChainSaver zur Verfügung. Dies muss auf der Kommandozeile aufgerufen werden:

sslchainsaver $DOMAENENCONTROLLER

Man erhält nun zwei XML-Dateien und einige Zertifikate. Das Windows Mobile 6-Zertifikat ($DOMAENENCONTROLLER.wm6.xml) muss in _setup.xml umbenannt und danach zu einer CAB gepackt werden:

makecab _setup.xml domaene_rootcert.wm6.cab

Die domaene_rootcert.wm6.cab muss auf das HTC Touch Diamond kopiert und installiert werden. Unter Einstellungen > System > Sicherheitszertifikate sollte nun die Zertifizierungsstelle erscheinen.

Als nächstes folgt der Export des Benutzerzertifikats nach PCKS#12. Auch hier gibt es wieder viele Anleitungen wie man das macht: Unter Windows Server 2003 die MMC starten, das Zertifizierungsstellen-Snap-In laden (muss mit dem Domänen-Controller verbunden werden) und dann unter Ausgestellte Zertifikate den Benutzer auswählen, Details > In Datei kopieren und PKCS#12 auswählen. Aus welchen Gründen auch immer war die PCKS#12-Option bei unserem Server deaktiviert.

Deshalb gilt nun folgendes: Auf einem Client-Computer den Internet Explorer starten und die Adresse http://$DOMAENENCONTROLLER/certsrv aufrufen und sich mit seinem Benutzernamen und Passwort authentifizieren. Nun muss ein neues Benutzer-Sicherheitszertifikat im PCKS#10-Stil angefordert werden. Dieses muss nach der Erzeugung in der Zertifizierungsstelle logischerweise auch im IE installiert werden.

Danach kann man im IE 8 unter Extras > Internetoptionen > Inhalt > Zertifikate > Eigene Zertifikate sein eben gerade erstelltes Zertifikat auswählen und dieses als PCKS#12 exportieren.
Die exportierte Datei muss ebenfalls auf das HTC Touch Diamond kopiert und danach mit einem Doppelklick installiert werden.

Nun kann die WLAN-Verbindung über PEAP und ohne Securew2 erfolgen.

Tool zum Resizen von Fenstern über mehrere Bildschirme

Eclipse-Entwickler kennen das: Sie besitzen zum Entwickeln zwar zwei Bildschirme, aber Eclipse unterstützt kein Multi-Display-Support bzw. keinen, der wirklich zuverlässig funktioniert.
Auf Codeplex wurde nun das Tool VirtualScreenMax releast, dass eine Anwendung auf mehrere Bildschirme resizt. Ich finde das Tool mehr als praktisch, denn nun habe ich Eclipse im Vollbild-Modus auf beiden Bildschirmen laufen und muss nicht mehr Detached-Outlines u.ä. benutzen.

USB-Programmierung unter Windows

Ich benutze im ckl-net udev – für Windows habe ich ein ähnliches Framework dazu leider nicht gefunden.
Deshalb hier ein paar Infos, wie man denn auf Statuswechsel bei USB-Geräten reagiert: Der Schlüssel dafür ist WM_DEVICECHANGE – siehe dazu http://www.toolbox-mag.de/data/tx22005artikel1.pdf, Unter C++ ist dieser Artikel hilfreich (inkl. Source): http://www.codeproject.com/KB/system/HwDetect.aspx, Unter C# lohnt sich ein Blick auf http://www.mycsharp.de/wbb2/thread.php?threadid=29802, http://www.codeproject.com/KB/system/DriveDetector.aspx und besonders http://www.matze-friedrich.de/development/devnotify.aspx.

Synchronisierungs-Tool von Microsoft

Björn hat in einem Blog-Eintrag das SyncToy von Microsoft erwähnt. Ich hab das Ding mal ausprobiert und muss sagen: Ist ganz cool 😉
SyncToy besitzt drei verschiedene Modi zum Synchronisieren von Ordnern.

Hier die Feature-Liste von Microsoft:

# Dynamic Drive Letter Assignment: Drive letter reassignment will now be detected and updated in the folder pair definition.

# True Folder Sync: Folder creates, renames and deletes are now synchronized for all SyncToy actions.

# Exclusion Filtering Based on Name: File exclusion based on name with exact or fuzzy matching.

# Filtering Based on File Attributes: The ability to exclude files based on one or more file attributes (Read-Only, System, Hidden).

# Unattended Folder Pair Execution: Addressed issues related to running scheduled folder pairs while logged off.

# Folder Pairs With Shared Endpoints: Ability for folder pairs associated with the same or different instances of SyncToy to share end-points.

# Command line enhancements: Added the ability to manage folder pairs via the command line interface.

# Re-Architect Sync Engine: The SyncToy engine has been rearchitected to provide scalability and the ability to add significant enhancements in future releases.

# Sync engine is also more robust insomuch that many single, file level errors are skipped without affecting the entire sync operation.

# Sync Encrypted Files: Sync of Encrypted files works when local folder and files are encrypted, which addresses the common scenario involving sync between local, encrypted laptop PC folder and remote, unencrypted desktop PC folder.

# 64-Bit Support: SyncToy now has a native 64-bit build (x64 only) for 64-bit versions of Windows.

# Folder pair rename

# Sub-folder Exclusion Enhancements: Descendents created under excluded sub-folders are automatically excluded. Usability improvements for the sub-folder exclusion dialog.

# Folder Pair Metadata Moved: Folder pair metadata removed from MyDocuments to resolve any issues with server-based folder pair re-direction setup.

# Setup Improvements: Integrated setup with single self-extracting archive file and no extra downloads if you already have .NET Framework 2.0 installed. Enabled silent install for the SyncToy Installer file (see readme.txt file for more information). Removed combine and subscribe actions.

# Removed combine and subscribe action

Edith: SyncToy lässt sich auch von der Kommandozeile aufrufen, hier der Eintrag aus der Dokumentation:

SyncToy can be run from the command line to provide support for scheduling or automating folder pair execution. The command line executable by default is located at: [System Drive]Program FilesSyncToy 2.0SyncToyCmd.exe.
The parameters provided by this command line interface are described below:

-R Run all folder pairs that are marked as Active For Run All.
-R [Name] Run the named folder pair (only one folder pair can be specified).
Usage Examples:

SyncToyCmd -R MyFolderPair
SyncToyCmd -R
It is also possible to manage folder pairs from the command line. Note: Folder pairs are managed through SyncToy.exe whereas scheduling is performed through SyncToyCmd.exe as described above.

SyncToy does not support running multiple copies of SyncToy.exe at the same time. If SyncToy is already running in in the Task Bar, and a second instance of SyncToy.exe is launched with or without any command line parameters, it will simply bring the already running instance into focus and no errors will be reported.

The parameters associated with SyncToy.exe are described below:

-d(left=, right=, name=,operation=Synchronize|Echo|Contribute, [check=yes|no], excluded=,included=) Creates a new folder pair with the specified options:
left – mandatory, provide absolute path for left folder
right – mandatory, provide absolute path for right folder
name – mandatory, provide name of folder pair
operation – mandatory, specifiy action type for this folder pair
check – optional, specify whether file contents should be checked for file matching, default is no
excluded – optional, specifies exclude filter for files, defaults to none
included – optional, specifies include filter for files, defaults to all
-u Delete one or more folder pairs, no user data will be deleted
-? Display Help
Sample Usage:

SyncToy -d(left=e:,right=c:Pictures, name=MyPictures,operation=contribute)
SyncToy -uMyPictures

iSCSI über die Kommandozeile

Heute habe ich die Sicherungsstrategie für unsere virtuellen Hosts implementiert. Alle Daten werden ersteinmal auf einer iSCSI-Festplatte gesichert und am Ende dann aufs Band geschrieben. Dabei kam dann die Frage auf, ob man sich über die Kommandozeile mit Targets verbinden kann. Flo hatte schnell die Antwort parat:

iscsicli

ist der gewünschte Befehl.

Zugriff auf meine Dateien

Heute habe ich seit einiger Zeit mich mal wieder mit meinem Server befasst. Ursprünglich war für heute Abend geplant, dass ich vom NFS-Protokoll auf WebDAV umschwenke. NFS hat für mich das Problem, dass der NFS-Dienst für Windows (SFU) nicht ganz rund läuft und ich außerdem aus der Firma nicht an meine Dateien heran komme.
Deshalb wollte ich Apache + WebDAV über SSL für den Zugriff nutzen. Nachdem ich alles eingerichtet hatte -was recht fix ging- musste ich leider feststellen, dass die Übertragungs-Performance mehr als mies ist: mehr als knapp 120 KByte gingen nicht über die Leitung.

Deshalb kam ich zu dem Entschluss: Weg von NFS, weg von WebDAV – hallo SFTP! Problem dabei -weswegen ich auch WebDAV einsetzen wollte-: mit den Clients SftpDrive oder WebDrive kann man zwar SFTP-Ressourcen als Laufwerk unter Windows mounten, aber sie kosten Geld.
Nach ein paar Minuten stöbern bin ich über diesen Blog-Eintrag gestolpert, in dem Reddrive erwähnt wird. Ist kostenlos und bindet ein SFTP-Laufwerk im Windows Explorer ein.