Monat: Januar 2018

Active Directory: Wann hat sich ein Benutzer zuletzt angemeldet?

Veröffentlicht am von 11 Kommentare ↓

Problem

Wann hat sich ein Benutzer oder Konto zuletzt am Active Directory angemeldet? Die Objekt-Registerkarte im ActiveDirectory Benutzer- und Computer SnapIn ist da nicht sondelrich auskunftsfreudig.

Die Objekteigenschaft „LastLogon“ lässt sich zwar an der PowerShell mittels „Get-ADUser“ auslesen, aber nur als Large-Integer, der die Anzahl von 100-Nanosekunden-Intervallen seit dem 1.1.601 in UTC anzeigt. Leicht esoterischer Wert …

Lösung

Dieses PowerShell-Script wirft den Wert lesbar raus und funktioniert auch außerhalb von Domänencontrollern (RSAT-Tools vorausgesetzt):

Import-Module activedirectory
([DateTime][long](
     $(ForEach ($dc in ((Get-ADDomaincontroller -filter *).name)) 
        {
           (Get-ADUser -Identity "administrator" -Properties "LastLogon" -server $dc).LastLogon
        }
 ) | Measure -Maximum).Maximum).AddYears(1600)

Oder für besonders faule Admins auch als Einzeiler:

([DateTime][long]($(ForEach($dc in ((Get-ADDomaincontroller -filter *).name)){(Get-ADUser -Identity "mroelz" -Properties "LastLogon" -server $dc).LastLogon})|Measure -Maximum).Maximum).AddYears(1600)

Es geht natürlich auch via CMD, also an der klassischen Kommandozeile:

wmic NetLogin where (name like "%<USERNAME>%") get name, lastlogon

Powershell „Für jede Zeile in einer Textdatei“ … foreach Powershell Schnippsel

Veröffentlicht am von 1 Kommentar ↓

Weil ich JEDESMAL diesen blöden Syntax nachschaue, hier mein persönlichliches Powershell foreach-Bookmark:

[PS] C:\> foreach ( $eintrag in Get-Content .\liste.txt) { Mach-Irgendwas $eintrag }

Zum Beispiel:

[PS] C:\> foreach ( $foo in Get-Content .\liste.txt ) { Write-Host $foo }

Alternativ:

Get-Content .\liste.txt | foreach { $_ }

Ich weiss nicht warum, das bleibt einfach nicht in meinem Kopf haften. Das gute alte „for %%i in …“ hat aber auch eine ganze Weile gedauert, zugegeben.

Es gibt in der PowerShell zwei verschieden Varianten von ForEach:

  • Das ForEach-Object { … } Cmdlet
  • Die  ForEach() { … } Schleife

Beide Arten von ForEach können eingesetzt  werdenum, für jedes einzelne Objekt aus einer Menge von Objekten, etwas ausführen zu können.

  • ForEach-Object ist ein Cmdlet und wird in der Pipeline eingesetzt
  • Die ForEach() Schleife wird nicht innerhalb der Pipeline eingesetzt.

Mehr Input und Beispiele gibt es beim Peter Kriegel.

Outlook archiviert einige Elemente nicht richtig oder archviert überhaupt nicht

Veröffentlicht am von 1 Kommentar ↓

Problem

Obwohl in Outlook im Bereinungsungsassistenten ein Zeitraum ausgewählt ist, werden einige Elemente (E-Mails, Kalendereinträge) aus diesem Zeitraum nicht archviert.

Die Objekte werden nicht verschoben, aber in der Archiv-PST werden die passenden Ordner aus der Quellstruktur korrekt angelegt. Unabhängig davon welche Datumsgrenzen- oder Quellordner man auswählt, Outlook archiviert nicht.

Lösung

„This behaviour is by design“ – aber änderbar. Ganz leicht unverständlicherweise nutzt Outlook seit 2010 nicht dem Empfangs- oder Terminzeitpunkt für die Archivierung von Elementen, sondern das Datum der „letzten Änderung“. Dieses Datum wird selbstverständlich nicht angezeigt und kann auch nicht angezeigt werden. *ARGH*. Das Änderungsdatum bei Elementen hängt von vielen Dingen ab, zum Beispiel vom letzten Zugriff eines Exchange-Virenscanners …

Wann wird in Outlook standartmäßig archiviert?

  • E-Mail: Empfangsdatum oder Datum und Uhrzeit der letzten Änderung, je nachdem, welches später ist.
  • Kalender: Datum und Uhrzeit der letzten Änderung oder tatsächliches Datum, für das ein Termin, eine Veranstaltung oder eine Besprechung geplant ist, je nachdem, welches später ist.
  • Aufgabe: Das Abschlussdatum oder Datum und Uhrzeit der letzten Änderung, je nachdem, welches später ist. Aufgaben, die nicht als abgeschlossen gekennzeichnet sind, werden nicht archiviert. Aufgaben, die anderen Benutzern zugeordnet sind, werden nur archiviert, wenn der Status abgeschlossen ist.
  • Notiz: Datum und Uhrzeit der letzten Änderung.
  • Journaleintrag: Das Erstellungsdatum des Journaleintrags oder Datum und Uhrzeit der letzten Änderung, je nachdem, welches später ist.

Wie kann man das ändern?

Wenn man die Richtlinieneinstellung aktiviert, ignoriert Outlook das letzte Änderungsdatum und archiviert alle Elemente basierend auf:

  • E-Mail: Das Empfangsdatum
  • Kalenderelement: Das Datum für das ein Termin geplant ist.
  • Aufgabe: Das Abschlussdatum
  • Notiz: Datum der letzten Änderung
  • Journaleintrag: Erstellungsdatum des Journaleintrags

Das Verhalten von Outlook lässt sich in einer Gruppenrichtlinie anpassen:

  1. Die passenden Office Administrative Template files (ADMX) herunterladen und in der Domäne (am besten in einem Central Store) hinterlegen
  2. Diese Einstellung auf „Aktiviert“ setzen: 
    Benutzerkonfiguration > Richtlinien > Administrative Vorlagen
 > Microsoft Outlook <VERSION>
  > Outlook Optionen
   > Weitere
    > AutoArchivierung
     > Ändern der Kriterien, die Outlook zum Archivieren verschiedener Elementypen verwendet

Oder via Registry-Schlüssel auf einem lokalen Outlook ändern:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Preferences]
"ArchiveIgnoreLastModifiedTime"=dword:00000001

 

 

Postfix: ausgehende E-Mail via TLS pro Domain erzwingen

Veröffentlicht am von Keine Kommentare ↓

Problem

Es gibt eine (Management-)Richtlinie, die vorschreibt mit einem bestimmten Partner ausschliesslich über (TLS) verschlüsselte Verbindungen zu kommunizieren. Der ausgehende Mailserver ist ein Postfix (z.B. ein Smarthost). TLS mit den entsprechenden Zertifikaten ist hier schon korrekt eingerichtet. Es sollen nur sichere TLS-Verbindungen zu bestimmten Domain erzwungen werden.

Lösung

Standardmäßig verschlüsselt Postfix ausgehende E-Mails nicht. Sofern die Zertifikate richtig konfiguriert sind (Stichwort smtpd_tls_cert_file) lässt sich die ausgehende Verschlüsselung IMMER erzwingen:

Zum erzwingen von TLS In der Datei /etc/postfix/main.cf eintragen:

smtp_tls_security_level = encrypt

Viele Mail-Server akzeptieren aber auch heute noch keine TLS-Verbindungen. E-Mails an solche Mailserver werden daher nicht versendet. Als sinnvolle Alternativebietet sich daher an:

 smtp_tls_security_level = may

Bei dieser Einstellung wird die TLS-Verschlüsselung nur verwendet, wenn der Empfängerserver ebefalls TLS-Verbindungen akzeptiert. Verschlüsselt geht hier von iunverschlüsselt.

Nur für bestimmte Domains erzwingen

Es soll TLS für alle E-Mails erzwungen sein, die an *@denic.de gesendet werden. Der MX von denic.de zeigt auf mx1.denic.de und mx2.denic.de.

    • Mapping-Datei erstellen, z.B. „/etc/postfix/tls_policy“ mit diesem Inhalt: 
      denic.de       encrypt
    • Mapping übernehmen 
      root@posty:/etc/postfix# postmap /etc/postfix/tls_policy
    • Tabelle in der main.cf in der TLS-Policy referenzieren 
      # TLS erzwingen
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
    • Postfix reloaden 
      root@posty:/etc/postfix# /etc/init.d/postfix reload

Im Log lässt sich der Erfolg direkt danach prüfen, indem man nach dem Servernamen (oder der Adresse) und „STARTTLS“ grept:

postfix/smtp[61070]: > mx1.denic.de[2a02:568:102:211::1:1]:25: STARTTLS

Exchange 2013/2016 Ordner „ETLTraces“ mit ETL-Dateien wird riesig (läuft voll)

Veröffentlicht am von Keine Kommentare ↓

Problem

Exchange Ordner ETLTraces läuft mit ETL Dateien voll

Nach dem Update auf Exchange 2013 CU6 (oder neuer) gibt es plötzlich einen neuen Ordner in

%ProgramFiles%\Microsoft\Exchange Server\V15\Bin\Search\Ceres\Diagnostics\ETLTraces

der riesig wird. Dort sammeln sich DocumentProcessingTrace*.etl Dateien, die auf gut 50Mbyte pro Stück anwachsen können. In einem Fall hatten sich dort etwas mehr als sieben Gbyte an Daten angesammelt, die nicht so wirklich jemandem helfen.

Das sind die Diagnose-Dateien der Exchange Volltextsuche. Man kann diese auch mit Eventviewertools öffnen und Exchange entfernt diese auch irgendwann, aber ob diese in der Zwischenzeit so viel Platz belegen müssen bleibt dem Admin überlassen.

Lösung

Glücklicherweise lässt sich das Diagnostische Tracking der Suche Konfigurieren. Sowohl der Pfad zu den Dateien, die Größe als auch die Anzahl sind in der Registry einstellbar:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0\Search\Diagnostics\Tracing]
"TracingPath"="C:\\Program Files\\Microsoft\\Exchange Server\\V15\\Bin\\Search\\Ceres\\Diagnostics\\ETLTraces"
"MaxTraceFileSize"=dword:00000028
"MaxTraceFileCount"=dword:0000000a

Die Werte für „MaxTraceFileSize“ und „MaxTraceFileCount“ sind hier hexadezimal anzugeben.

Nach einer Änderung müssen die Dienste „Microsoft Exchange-Diagnose“ und „Microsoft Exchange-Suche“ einmal neu gestartet werden und schon ist man die Plage los.