none
ActiveDirectory Module und Remote Sessions RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich möchte über einen AD Memberserver mit Server2008R2 und installiertem RSAT-AD-Powershell Modul AD Aufgaben durchführen.

    Wenn ist dies auf dem MemberServer direkt ausführe ist alles ok, ebenso bei einer PSSession zu einem DC.

    Über eine PSSession zu dem MemberServer erhalte ich zuerst eine Warnung:

    "Error initializing defaut drive: 'Unable to contact the server .....'"  und bei Get-ADUser den Error:

    "Unable to contact the server: This may be because this server does not exist, it is cureently down, or it does not have the Active Directory Web Services running."

    Auch ein Export-PSSession auf dem Client hilft hier nicht weiter ebenso wenig ein New-PSDrive -Name ADDrive -PSProvider ActiveDirectory ...  in der Session.

    Gibt es hierfür einen Workaround? Kann nämlich in der Produktivumgebung keine PSSession direkt zu einem DC aufbauen!

    Gruss Olaf






    • Bearbeitet Olaf.Stagge Mittwoch, 31. Oktober 2012 10:17
    Mittwoch, 31. Oktober 2012 10:14
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    So, ist hab es jetzt mal getestet mit Quest AD Snapin bezüglich Remotesession.

    Auch diese funktionieren in dieser Konstellation nicht über einen Relaisserver :-(

    Da ich bei diesem Projekt nicht all zuviel mit dem AD zu tun habe, habe ich mich entschlossen, erst einmal auf  ADSI auszuweichen. Module auf einen Share abzulegen funktioniert in dieser Firma nicht, da etliche Firewall dies verhindern! 

    @Peter

    Hatte die Quest Tools vor einiger Zeit in der Version 1.4 eingesetzt. Der Performanzunterschied bezog sich gegenüber den Microsoft AD Commandlets. MS ist hier in großen AD's signifikant besser!

    Auch deckt MS einen größeren Aufgabenbereich ab - gerade im Hinblick auf die neuen AD Features ab Server 2008R2! Ob Quest hier nachzieht ist zumindest fraglich. 

    Konnte bisher mit MS alle AD Schreibvorgänge ausführen. Daher werden mich die MS AD CommandLets immer erste Wahl bleiben. 

    Gruss Olaf

    • Als Antwort markiert Olaf.Stagge Montag, 5. November 2012 16:32
    Samstag, 3. November 2012 11:02
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Mir fällt gerade ein, dass ich es noch nicht mit CredSSP versuche habe.

    Hole ich jetzt nach und berichte dann.

    Gruss Olaf


    • Bearbeitet Olaf.Stagge Mittwoch, 31. Oktober 2012 13:53
    Mittwoch, 31. Oktober 2012 11:03
    |
  • Question
    Anmelden
    0
    Anmelden
    So, erfolglos getestet mit CredSSP :-(
    Mittwoch, 31. Oktober 2012 13:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Olaf

    Das das am second-hop problem liegen wird das hast du ja herausbekommen.
    Ich verstehe nur nicht so ganz welche anforderungen bzw, welche Spezielle NEtzwertopoligie ihr da habt.
    Wenn ich Get-AdUser aufrufe, dann kann man das ja von jedem Rechner in der Domäne! Ebenso kann man das AD von jedem Rechner der Domäne aus administrieren (verändern).

    Ich vermute mal das du dich von aussen einwählst, und du von aussen nicht in der Domäne bist!?
    Dann nimmst du den Memberserver als ralaisstation!?

    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Mittwoch, 31. Oktober 2012 18:42
    |
  • Question
    Anmelden
    1
    Anmelden

    Mit CredSSP sollte es aber schon gehen, da Du dann tatsächlich Deine Credentials an das Zielsystem weiterleitest. Was ist denn die Fehlermeldung?

    Mit Kerberos Delegation oder CredSSP konnte ich bisher immer von einem Remote System eine zweite System erreichen.

    -Raimund

    Mittwoch, 31. Oktober 2012 21:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Peter,

    hatte vergessen zu erwähnen, das Admin Workstations noch unter Windows XP laufen und erst 2014 migriert werden sollen :-(. Die Server sind aber schon größtenteils 2008R2. 

    Folgende Lösungsmöglichkeiten fallen mir ein:

    • Installation der Quest AD CmdLets auf den Workstations. Würde ich allerdings nur ungern tun, da diese mittelfristig keine Zukunft haben und nicht besonders performant sind.
    • Installation der Quest AD CmdLets auf einen Server und testet, ob es in einer PSSession funktioniert. Auch nicht perfekt, da ich eigentlich von Quest weg will.
    • alle Aufgaben per ADSI erledigen. Wäre ganz schön mühselig.
    • man bekommt es doch irgendwie hin über eine PSSession ohne CredSSP, weil ja XP
    • man wartet bis 2014 ;-)

    Gruss Olaf



    • Bearbeitet Olaf.Stagge Donnerstag, 1. November 2012 06:24
    Donnerstag, 1. November 2012 06:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Raimund,

    CredSSP habe ich diesbezüglich zwischen zwei Servern mit 2008R2 getestet, da es ja unter XP nicht funktioniert.

    Die Fehlermeldung lautet:

    "Unable to contact the server. This may be because this server does not exist, it is currently down, or it does not
    have the Active Directory Web Services running."

    Gruss Olaf


    • Bearbeitet Olaf.Stagge Donnerstag, 1. November 2012 10:17
    Donnerstag, 1. November 2012 06:45
    |
  • Question
    Anmelden
    0
    Anmelden
     

    Hallo Olaf!

    Zu CredSSP kann ich dir nichts sagen da ich dies nie brauchte… Da hilft dir Raimund sicher weiter!

    Das Unternehmen bei dem ich Arbeite benutzt die Active Roles Server von Quest wenn ich etwas in das AD schreiben will MUSS ich di QAD Cmdlets nutzen. Auf die normalen AD DCs habe ich nur noch lesend Zugriff.
    Deshalb muss Quest auch eine Zukunft haben;-))

    Ich habe in meinem Blog in einer 2-teiligen Serie beschrieben wie man PowerShell Module zentral im Unternehmen von einem Share aus benutzen kann.
    Dazu gehört auch wie man das Quest Snapin in ein Modul umwandelt und dies Zentral von diesem Share nutzen kann. Somit entfällt dann die Installiererei und die Scripts können das Modul auch von diesem Share laden ;-) (man legt eventuell noch ein zweites Bakup Share auf einem anderen Server an als Notfall Strategie).

    PowerShell Snapins und Module zentral im Unternehmen Teil 1
    http://www.admin-source.de/BlogDeu/117/powershell-snapins-und-module-zentral-im-unternehmen-teil-1
    http://www.admin-source.de/BlogDeu/153/powershell-snapins-und-module-zentral-im-unternehmen-teil-2

    Ich find es immer müßig gerade beim Scripting von Performance zu reden!
    Ein Assembler Programmierer lacht über die C/C++ Performanz, die lachen wieder über .NET und die lachen über PowerShell ….
    Mit einer Skriptsprache befindet man sich nun mal in einer sehr hohen Abstraktionsebene und Abstraktion kostet! Ist aber sehr komfortabel. Wenn´s richtig zeitkritisch wird muss man halt was anderes nehmen!
    Alles andere ist doch wurscht!? ;-)

    Bevor ich die Quest Cmdlets genutzt habe, habe ich gerne mit ADSI gearbeitet.
    Die Firma Idera stellt eine Sammlung von fertigen ADSI Funktionen zum Download bereit.
    Diese kannst du in ein Skript Moodule (.psm1) wieder auf einem Share Zentral zur Verfügung stellen und Nutzen (und erweitern)! ;-)
    https://www.idera.com/Free-Tools/PowerShell-scripts/

    Windows 7 32Bit als Virtuelle Maschine auf XP !? Ach nö ......

    Wenn man ein Problem nicht lösen kann, muss man drum herum laufen! ;-))

    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!


    Donnerstag, 1. November 2012 07:11
    |
  • Question
    Anmelden
    1
    Anmelden

    Richtig, CredSSP ist unter 2003 / XP nicht verfügbar. Weiterhin ist es die Lösung für Double-Hop Probleme und ich würde hier weiter versuchen, den Fehler zu finden.

    Eine recht gut Resource ist http://www.ravichaganti.com//blog/wp-content/uploads/2010/12/A%20layman's%20guide%20to%20PowerShell%202.0%20remoting-v2.pdf.

    Ich konnte es bisher in alles Umgebungen genau für diese Fälle ohne Probleme nutzen.

    -Raimund

    Donnerstag, 1. November 2012 15:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Hier ein Aktueller Link in sachen Active Directory und Performanz ;-)

    http://becomelotr.wordpress.com/2012/11/02/quick-active-directory-search-with-pure-powershell/

    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Freitag, 2. November 2012 11:35
    |
  • Question
    Anmelden
    0
    Anmelden

    So, ist hab es jetzt mal getestet mit Quest AD Snapin bezüglich Remotesession.

    Auch diese funktionieren in dieser Konstellation nicht über einen Relaisserver :-(

    Da ich bei diesem Projekt nicht all zuviel mit dem AD zu tun habe, habe ich mich entschlossen, erst einmal auf  ADSI auszuweichen. Module auf einen Share abzulegen funktioniert in dieser Firma nicht, da etliche Firewall dies verhindern! 

    @Peter

    Hatte die Quest Tools vor einiger Zeit in der Version 1.4 eingesetzt. Der Performanzunterschied bezog sich gegenüber den Microsoft AD Commandlets. MS ist hier in großen AD's signifikant besser!

    Auch deckt MS einen größeren Aufgabenbereich ab - gerade im Hinblick auf die neuen AD Features ab Server 2008R2! Ob Quest hier nachzieht ist zumindest fraglich. 

    Konnte bisher mit MS alle AD Schreibvorgänge ausführen. Daher werden mich die MS AD CommandLets immer erste Wahl bleiben. 

    Gruss Olaf

    • Als Antwort markiert Olaf.Stagge Montag, 5. November 2012 16:32
    Samstag, 3. November 2012 11:02
    |