CertBase Community
Die Lernplattform für Ihren Erfolg

70-412, Frage 103 (Domänenquarantäne, SID-Filterung)

rated by 0 users
This post has 9 Replies | 2 Followers

Top 10 Mitwirkender
Beiträge 176
mongo Posted: Fri, 06. Sep 2013 12:08 | IP-Adresse ist Registriert

Woher kann man ableiten, dass B falsch und C richtig ist?

C beschreibt den Fakt, B die Realisierung.

Top 10 Mitwirkender
Beiträge 1,704
Maik Antwort zu Sat, 07. Sep 2013 9:31 | IP-Adresse ist Registriert

Ich sehe ebenfalls nicht, dass man eine der beiden Lösungen (B oder C) eindeutig vorziehen und die andere ausschließen kann.  Die beiden Lösungen beschreiben dasselbe.

Um die Aufgabe eindeutig lösbar zu machen, habe ich bei Antwort B den Parameter /Quaranine um den Wert Yes erweitert (/Quarantine:Yes).

Top 10 Mitwirkender
Beiträge 176
mongo Antwort zu Sat, 07. Sep 2013 13:15 | IP-Adresse ist Registriert

Prima! Danke! Yes

Top 10 Mitwirkender
Beiträge 103
the-mole Antwort zu Wed, 26. Aug 2015 18:22 | IP-Adresse ist Registriert

Hallo Community,

ist zwar schon lange her, aber ich kann Licht ins Dunkel bringen: Das Kommando /quarantine:Yes|No sorgt dafür, das nur noch den SIDs der direkt verbundenen Domänen vertraut wird, d.h. auch die SIDs aus der europa.traincert.de werden gefiltert, die Transitivität der Vertrauenstellung wäre dahin, zum deaktivieren der SID-Filterung in diesem Fall wäre dann der Parameter /EnableSIDhistory:Yes der richtige.

Gefunden habe ich einen alten Forumsbeitrag in dem das Thema diskutiert wird:

http://forums.techarena.in/windows-server-help/494336.htm

Schöne Grüße,

Wolfgang

Top 50 Mitwirkender
Beiträge 30
Numerix Antwort zu Sat, 19. Mar 2016 19:13 | IP-Adresse ist Registriert

Hallo,

mit dieser und der 242 tue ich mich besonders schwer. Ich verstehe nicht warum nicht Antwort D richtig ist. Im Text heißt es doch: Für die Vertrauensstellung ist die ausgewählte Authentifizierung festgelegt.

Vielleicht habe ich im Einleitungs- und Frage Text etwas falsch verstanden oder interpretiere das falsch. Es wäre freundlich wenn mir jemand erklären könnte warum hier die C richtig ist und warum dann bei Frage 242 A richtig ist und nicht auch B

Danke!

Top 10 Mitwirkender
Beiträge 176
mongo Antwort zu Sun, 20. Mar 2016 12:14 | IP-Adresse ist Registriert

In Frage 103 können Benutzer nach der Migration nicht mehr zugreifen. Ursache: Durch die Migration bekommen sie ein neue SID, Berechtigungen sind aber an die alte SID geknüpft. Folge: Zugriff verweigert.

Lösung: Im Kerberos-Token muss zusätzlich die alte SID eingebettet werden. Das gelingt durch das Deaktivieren Sie die SID-Filterung für die bestehende Gesamtstruktur-Vertrauensstellung. (C) Realisiert wird das durch den Parameter /Quarantine:No beim Kommando netdom.

Auf die ausgewählte Authentifizierung wird in den Antworten dieser Frage überhaupt nicht eingegangen. Sie ist natürlich zusätzlich zu konfigurieren, würde aber allein nichts bewirken. Also kann D nicht richtig sein.

 

In Frage 242 dagegen ist genau diese ausgewählte Authentifizierung relevant. Sie bedeutet, dass nur auf ausgewählte Server zugegriffen werden kann. Die Auswahl wird dadurch getroffen, dass dem Computerobjekt im Active Directory die Berechtigung Authentifizierung zulassen erteilt wird. Da bei dieser Aufgabe die Dateiserver migriert werden, entstehen genauso neue Objekte, wie bei Frage 103. Die erwähnte Berechtigung ist natürlich standardmäßig nicht gesetzt. Folge: Zugriff verweigert.

Lösung: Berechtigung erteilen (so eine Antwort gibt es aber nicht) oder Deaktivieren Sie die ausgewählte Authentifizierung für die bestehende Gesamtstruktur-Vertrauensstellung. (A)

Die SID-Filterung kann in dieser Aufgabe nicht die richtige Lösung sein, weil die Benutzer gar nicht migriert wurden. Also haben sie auch keine neue SID, die den Zugriff verhindern würde.

 

Weitere Informationen gibt es im TechNet, beispielsweise ausgehend von der Seite Securing Domain and Forest Trusts.

Top 50 Mitwirkender
Beiträge 30
Numerix Antwort zu Sun, 20. Mar 2016 13:27 | IP-Adresse ist Registriert

Hallo und Danke für deine Ausführungen. Ich bin noch nicht so weit, das ich sagen kann ich habe es verstanden, obwohl es jetzt klarer wird. Lese gerade

https://msdn.microsoft.com/de-de/library/cc755427(v=ws.10).aspx

Zu der 242 habe ich eine extra Frage schon gestellt, ich denke die habe ich verstanden. Obwohl ich jetzt nach der Erklärung noch mehr Fragezeichen sehe.

Bei 242 heißt es in Absatz 4 Sie migrieren die Dateiserver in die Domäne traincert.eu. Ich habe jetzt beide Fragen nochmals gelesen. Weil Sie ja bei der 103 davon sprechen das Benutzer migriert werden, bei 242 werden die Server migriert. Ist das genau der Punkt warum die Antwort unterschiedlich ist?

Die Antwort:Deaktivieren Sie die ausgewählte Authentifizierung für die bestehende Gesamtstruktur-Vertrauensstellung.habe ich ja in beiden Fragen als Auswahl Möglichkeit.

Wenn es bei den Antworten heißen würde wählen sie 2 Antworten und jede ist Teil der Lösung, dann würde ich bei der 103 die C und die D wählen müssen. Aber weil nur eine zu wählen ist, wähle ich die C weil das quasi der erste Schritt wäre, den ich machen würde. Kann man das so sagen? 

Top 10 Mitwirkender
Beiträge 176
mongo Antwort zu Mon, 21. Mar 2016 9:24 | IP-Adresse ist Registriert

Benutzermigration

Bei der Benutzermigration wird in der neuen Domäne ein gleichnamiges Konto, wie in der alten Domäne, angelegt. Dabei entsteht zwangsläufig ein neuer Secure Identifier (SID). Wenn sich der Benutzer nun anmeldet wird die SID in sein Kerberos-Token geschrieben. Dieses Token zeigt der Benutzer dem Dateiserver, wenn er auf dessen Ressourcen zugreifen will (Das stimmt zwar nicht ganz so, reicht aber für das Verständnis dieses Problems. Näheres in der Wikipedia.) Der Dateiserver vergleicht nun die vorgezeigte SID mit denen in der Access Control List (ACL) und entscheidet über den Zugriff.

Da in dieser Aufgabe der Dateiserver noch in der ursprünglichen Domäne steht, kann er keine Übereinstimmung bei den SIDs finden und verweigert den Zugriff.

Damit die migrierten Benutzer nun trotzdem zugreifen können, deaktiviert man die SID-Filterung. Bei der Migration wird auch die alte SID mit in das neue Konto geschrieben, aber standardmäßig wird sie "versteckt" (gefiltert, befindet sich quasi in der Quarantäne). Sie taucht also nicht im Kerberos-Token auf. Durch das Deaktivieren der SID-Filterung wird sie ins Kerberos-Token übernommen. Damit zeigt der Benutzer nun zwei SIDs beim Dateiserver vor, wovon ihn eins den Zugriff erlaubt.

Welche SIDs im Kerberos-Token enthalten sind, kann man mit einem PowerShell-Skript herausfinden.

Migration der Dateiserver - Ausgewählte Authentifizierung

Wird bei einer Vertrauensstellung die Ausgewählte Authentifizierung gewählt heißt das, dass erst dann auf irgendwelche Ressourcen der fremden Domäne zugegriffen werden kann, wenn der betreffende Server die Berechtigungen dazu erhält. Diese Berechtigung (Authentifizierung zulassen) wird dem Computerkonto im AD erteilt. Zusätzlich müssen selbstverständlich Berechtigungen auf die Freigaben und die Ordner/Dateien vergeben werden, so dass es Benutzern fremder Domänen möglich ist, auf die Ressourcen zuzugreifen. Das macht man normalerweise unter Beachtung der AGDLP-Regel.

Nun werden Dateiserver in eine neue Domäne migriert. Dadurch entstehen in der neuen Domäne neue Computerkonten. Natürlich wird die Berechtigung Authentifizierung zulassen nicht automatisch vergeben. Folglich ist erst einmal kein Zugriff für Benutzer fremder Domänen möglich, selbst wenn die ACL richtig konfiguriert wird.

Um den Zugriff zuzulassen würde man in der Praxis nun den betreffenden Dateiserver die Berechtigung Authentifizierung zulassen erteilen. Man kann aber auch die gesamte Sicherheit verringern, indem man die Vertrauensstellung ändert und auf die ausgewählte Authentifizierung verzichtet. Dann kann grundsätzlich sofort überall dort zugegriffen werden, wo Berechtigungen an Authentifizierte Benutzer oder Jeder vergeben sind.

Top 10 Mitwirkender
Beiträge 490
webbel Antwort zu Mon, 21. Mar 2016 9:46 | IP-Adresse ist Registriert

Hallo!

Numerix:

Wenn es bei den Antworten heißen würde wählen sie 2 Antworten und jede ist Teil der Lösung, dann würde ich bei der 103 die C und die D wählen müssen. Aber weil nur eine zu wählen ist, wähle ich die C weil das quasi der erste Schritt wäre, den ich machen würde. Kann man das so sagen? 

Nein!

Die Migration findet nur in der Gesamtstruktur traincert.eu statt. Für die certbase.de ändert sich nur die SID der vertrauten Benutzer. Durch die Deaktivierung der SID-Filterung können die alten SID der migrierten Benutzer für die Authentifizierung ebenfalls überprüft werden. Da diese in certbase.de bekannt sind funktioniert der Zugriff wieder. Da muss die Authentifizierung nicht konfiguriert werden.

Es muss aber die SID-History aktiviert werden. Das kann aber bei der Migration mit dem ADMT durchgeführt werden, ist dort als Option wählbar. Nur die SID-Filterung deaktivieren reicht nicht aus.

Top 50 Mitwirkender
Beiträge 30
Numerix Antwort zu Mon, 21. Mar 2016 10:15 | IP-Adresse ist Registriert

Danke euch beiden für die guten Erklärungen.

Seite 1 von 1 (10 Treffer) | RSS
CertBase - IT-Prüfungsvorbereitung Online