AD Replikation erzwingen

erzwingt eine Pull-Replikation des Domain Controller dc2 von allen anderen DCs

repadmin /syncall /AeD (auf DC2 ausgeführt)
repadmin /syncall /AeD dc2 (zB WinRM Sitzung)

Für einen Push

repadmin /syncall /APeD

Argumente:

A = All Partitions
e = Enterprise (Cross Site)
D = Identify servers by distinguished name in messages.
P = Push

Ref: http://technet.microsoft.com/en-us/library/cc736571(v=ws.10).aspx

Microsoft CA und Exchange 2010

So kann man ein Zertifikat für Exchange 2010 von der Microsoft CA signieren lassen (ohne CA-Webseite):

  • Request im Exchange Manager erzeugen
  • Die Datei im Edito öffnen und als ANSI speichern (Unicode wird nicht unterstützt von der CA
  • certreq -submit -attrib “CertificateTemplate:WebServer” exchange-request-ansi.req
  • Im Exchange Manager den Vorgang mit der oben erstellen Datei abschließen

Domain Join/Rejoin

Mit der Powershell kann man den Computer in eine Domain aufnehmen. Dies funktioniert auch wenn ein Computer die Verbindung zur Domain verloren hat. Man spart sich das herausnehmen in eine Arbeitsgruppe und wieder hinzufügen zu Domain.


Add-Computer -DomainName testdomain.de -Credential testdomain\administrator
Restart-Computer

SID eines User herausfinden

Folgende Abfrage in der PowerShell zeigt die SID eines Benutzers an:


Get-WmiObject win32_useraccount -Filter "domain='MYDOMAIN' and name='myusername'"

Als Ergebnis wird dann folgendes ausgegeben:

AccountType : 512
Caption : MYDOMAIN\myusername
Domain : MYDOMAIN
SID : S-1-5-21-599123-211612220-1558478652-1222
FullName : My Full Name
Name : myusername

Aktive AD Benutzer in CSV Exportieren

Das folgende Powershell Kommando exportiert alle aktiven Benutzer in eine CSV-Datei:


Get-ADUser -LDAPFilter "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" | sort-object Name | Select-Object Name,SamAccountName,UserPrincipalName| export-csv c:\activeusers.csv

Active Directory Upgrade nach 2008 R2

Kurze Übersicht, wie eine Windows 2003 Domain nach 2008 R2 migriert werden kann. Eigen detaillierte Anleitung gibt es im Link unten.

  • Forest vorbereiten: adprep.exe /forestprep
  • Domäne vorbereiten: adprep.exe /domainprep
  • 2008 R2 Server hochstufen: dcpromo.exe
  • FSMO-Rollen verschieben
  • Alte Domain Controller herabstufen: dcpromo.exe

Quelle: Galileo Windows 2008 R2 Buch, http://blog.dikmenoglu.de/PermaLink,guid,735ae625-042f-4144-b926-de761db9a205.aspx

SSL-Zertifikate mit Microsoft Zertifikatserver (PKI)

Als erstes muss mit Hilfe von OpenSSL ein privater Schlüssel und daraus dann eine neue Zertifikatanforderung erstellt werden.

Auf dem Client

Auf dem Client wird der private Schlüssel und die Anforderung folgendermaßen erstellt:

openssl genrsa -out $(hostname -f).key 1024
openssl req -new -key $(hostname -f).key -out $(hostname -f).csr

[...]
Common Name (eg, YOUR name) []: thisis.myfullqulified.domainname
[...]

Bitte darauf achten, den kompletten Servername, als Common Name angeben.

Auf dem Zertifikatserver (via Webfrontend)

Auf dem Zertifikatserver muss die oben erstelle Anforderung über das Webfrontend (/certsrv/) eingereicht werden. Nach erfolgreichem Abschluss kann das unterschiebene Zertifikat heruntergeladen werden.

  • Ein Zertifikat anfordern
  • erweiterte Zertifikatanforderung
  • Reichen Sie eine Zertifikatanforderung ein, die eine Base64 …
  • den Inhalt der oben erstellen CSR-Datei (netmon.viastore.de.csr) einfügen; Zertifikatevorlage: Webserver
  • Base-64-codiert, Download es Zertifikats als XXXXX.pem

Mitglieder an AD Gruppe auflisten

Mit dem folgenden Kommand können alle Mitglieder einer bestimmten Active Directory Gruppe aufgelistet werden.

Get-QADGroupMember -Identity "Domain Admins" | Sort-Object Name | Select-Object Name, SamAccountName

Für diese Kommand ist die PowerShell Extension ActiveRoles Management Shell for Active Directory von Quest erforderlich (Download).