Een domeincontroller degraderen (stapsgewijze handleiding)

Is je domeincontroller kapot en wil je deze handmatig verwijderen? Geen probleem.
In deze handleiding zal ik twee opties doornemen om een ​​domeincontroller te verwijderen. Als je nog toegang hebt tot de server, dan heeft optie 1 de voorkeur.

Optie 1:
Een domeincontroller degraderen met Server Manager.
Gebruik deze optie als u nog toegang heeft tot de server.

Optie 2:
Een domeincontroller handmatig verwijderen.
Gebruik deze optie als de server kapot is of je er geen toegang meer toe hebt.

In beide voorbeelden gebruik ik de Windows Server 2016, maar deze stappen werken ook voor Server 2012 en hoger.

Tip #1
Vanaf Server 2008 worden de metadata van domeincontrollers automatisch opgeschoond.
Voor Windows Server 2003 of eerder moet het commando “ntdsutil” worden gebruikt om metagegevens op te schonen. Dat gezegd hebbende, moet je de server nog steeds handmatig van sites en services verwijderen.

Tip #2
Zorg ervoor dat er geen andere services op de server draaien (zoals DNS of DHCP) voordat u de server afsluit. Als u dit kunt vermijden, kunt u uzelf een grote hoofdpijn besparen.

Tip #3
Als de domeincontroller die u verwijdert FSMO-rollen heeft geconfigureerd, worden deze automatisch naar een andere DC overgebracht. U kunt dit controleren met het commando ”netdom query FSMO”.

Optie 1:
Een domeincontroller degraderen met Server Manager
Dit is de aanbevolen methode van Microsoft voor het verwijderen van een domeincontroller.

Stap 1.
Open Serverbeheer

Stap 2.
Selecteer “Remote rollen en functies”
Klik op volgende op de pagina “Voordat u begint”

Stap 3.
Selecteer op de serverselectiepagina de server die u wilt degraderen en klik op de volgende knop.
In dit voorbeeld degradeer ik server “srv-2016”

Stap 4.
Schakel “Active Directory Domain Services” uit op de pagina Serverrollen.

Wanneer u het vinkje weghaalt, krijgt u een pop-up om functies te verwijderen waarvoor Active Directory Domain Services vereist is.

Stap 5.
Selecteer ”Deze domeincontroller degraderen”.

Zorg ervoor dat u in het volgende scherm NIET “De verwijdering van deze domeincontroller forceren” selecteert. U moet dit alleen selecteren als u de laatste domeincontroller in het domein verwijdert.
U kunt indien nodig ook inloggegevens op dit scherm wijzigen.

Klik op volgende

Stap 6.
Op het waarschuwingsscherm krijgt u een waarschuwing dat deze server extra rollen heeft. Als u clientcomputers heeft die deze server gebruiken voor DNS, moet u deze bijwerken zodat ze naar een andere server verwijzen, aangezien de DNS-rol wordt verwijderd.

Vink het vakje aan “Doorgaan met verwijderen en klik op volgende”

Stap 7.
Als u DNS-delegatie heeft, kunt u “DNS-delegatie verwijderen” selecteren en op volgende klikken. In de meeste gevallen heeft u geen DNS-delegatie en kunt u dit vakje uitschakelen.

Stap 8.
Voer nu het nieuwe beheerderswachtwoord in. Dit is voor het lokale beheerdersaccount op deze server.

Stap 9.
Bekijk de opties en klik op “Degraderen”

#Tip
Er is een knop “script bekijken” die een PowerShell-script genereert om alle stappen te automatiseren die we zojuist hebben doorlopen. Als u extra domeincontrollers wilt verwijderen, kunt u dit script gebruiken.

Wanneer u op degraderen klikt, wordt de server gedegradeerd en opnieuw opgestart. Zodra het opnieuw is opgestart, is de server een lidserver. U kunt inloggen met domeinreferenties op de server.

Aanvullende opruimstappen
Om de een of andere reden heeft Microsoft besloten sites en services niet op te nemen in het opschoningsproces. Misschien is het daar achtergelaten voor het geval u de server terug wilt promoveren naar een domeincontroller. Als u de server niet terug naar een DC gaat promoten, volgt u deze stappen.

1.  Open Active Directory Sites en Services en verwijder de server

Je kunt hierboven zien dat de server die ik zojuist heb gedegradeerd nog steeds wordt vermeld in sites en services. Ik zal er gewoon met de rechtermuisknop op klikken en het verwijderen.

Dat is het voor optie 1. U kunt naar de map “Domeincontrollers” gaan en controleren of de server is verwijderd. Het is ook een goed idee om het commando ”dcdiag” uit te voeren na het verwijderen van een DC om er zeker van te zijn dat uw omgeving geen grote fouten bevat.

Mogelijk moet u ook de replicatie controleren en testen. U kunt het commando ”repadmin” gebruiken om te testen op replicatieproblemen.

Optie 2: Een domeincontroller handmatig verwijderen
Gebruik deze optie als de server kapot is, de verbinding verbroken is of u er gewoon geen toegang toe hebt. Er is eigenlijk maar 1 stap.

Stap 1.
Open op een andere domeincontroller of computer met RSAT-tools “Active Directory: gebruikers en computers”
Ga naar de map domeincontrollers. Klik met de rechtermuisknop op de domeincontroller die u wilt verwijderen en klik op verwijderen.

Selecteer in het volgende scherm het vakje “Deze domeincontroller toch verwijderen” en klik op verwijderen”

Als de DC een globale catalogusserver is, krijgt u een extra bericht om de verwijdering te bevestigen. klik op Ja.

De laatste stap zou zijn om de server van Sites en Services te verwijderen, net zoals ik je liet zien in optie 1.

Zoals ik boven aan dit artikel al zei, beginnend met server 2008 wordt het opschonen van metagegevens automatisch gedaan met beide opties. De meeste handleidingen zullen u vertellen om de opdrachtprompt te openen en het commando ”ntdsutil” uit te voeren om de metagegevens op te schonen. Dit is niet nodig als uw serverbesturingssysteem 2008 of hoger is.

Het lijkt gemakkelijker om de DC handmatig te verwijderen dan door de serverbeheerwizard te gaan. Technisch gezien weet ik niet zeker wat het verschil is, maar Microsoft raadt aan om de verwijderingswizard te gebruiken als je kunt. Gebruik de handmatige methode als laatste optie.

Samenvatting
In deze handleiding heb ik je twee methoden laten zien voor het verwijderen van een domeincontroller. Microsoft heeft dit proces zeer eenvoudig gemaakt door de metadata automatisch op te schonen vanaf server 2008. Aangezien netwerken en systemen voortdurend veranderen, kan er een moment komen dat u een domeincontroller moet verwijderen.

Microsoft bevestigt patch dinsdag-updates van mei 2022 die AD-verificatieproblemen veroorzaken

Microsoft heeft een nieuw probleem erkend dat authenticatiefouten veroorzaakt op de server of clientcomputers voor sommige Windows-services. Het bedrijf heeft op het Windows Health Dashboard bevestigd dat het de bug actief onderzoekt en dat er in de komende release een permanente oplossing beschikbaar zal zijn.

De eerste bugrapporten begonnen eerder deze week aan de oppervlakte te komen, waarbij verschillende Windows-beheerders meldden dat sommige Network Policy Server (NPS)-beleidsregels niet werkten na het installeren van de Patch Tuesday-updates van mei 2022. Met NPS-beleid kunnen IT-professionals organisatiebrede netwerktoegangsbeleidsregels maken voor verificatie van verbindingsverzoeken.

De Reddit-rapporten suggereren dat de authenticatie mislukt met het volgende foutbericht: “Authenticatie is mislukt vanwege een mismatch van de gebruikersreferenties. Ofwel de opgegeven gebruikersnaam is niet gekoppeld aan een bestaand account of het wachtwoord was onjuist.”

Microsoft heeft bevestigd dat dit probleem van invloed is op Windows Servers-machines die als domeincontrollers worden gebruikt. Het heeft echter geen invloed op niet-domeincontroller Windows-servers en client-Windows-apparaten.

“Na het installeren van updates die op 10 mei 2022 op uw domeincontrollers zijn uitgebracht, ziet u mogelijk authenticatiefouten op de server of clientcomputer voor services zoals Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol ( EAP) en Protected Extensible Authentication Protocol (PEAP). Er is een probleem gevonden met betrekking tot hoe de toewijzing van certificaten aan computeraccounts wordt afgehandeld door de domeincontroller”, legde het bedrijf uit op het Windows Health Dashboard.

Microsoft biedt een tijdelijke oplossing om AD-verificatieproblemen op te lossen

Microsoft heeft ook een aantal tijdelijke oplossingen geboden om IT-beheerders te helpen dit probleem op te lossen. Het bedrijf raadt klanten aan om certificaten handmatig toe te wijzen aan een computeraccount in Azure Active Directory. Microsoft heeft ook aanvullende oplossingen geboden voor omgevingen waar de bovengenoemde tijdelijke oplossing het probleem niet oplost, en u kunt meer details vinden in het gedeelte SChannel-registersleutel van deze ondersteuningspagina.

GPU-rendering inschakelen voor Microsoft Remote Desktop

Sommige software maakt gebruik van krachtige grafische weergaven en de GPU (Graphics Processing Unit) voor een snelle weergave van het scherm. Het uitvoeren van technische software en andere grafisch zware software in een Remote Desktop-omgeving kan echter een uitdaging zijn om de voornaamste reden dat Microsoft Windows Remote Desktop standaard GPU-rendering niet toestaat. Het opstarten van de grafisch zware software kan fouten genereren wanneer de software probeert om DirectX- of OpenGL GPU-beeldschermstuurprogramma’s op de hostcomputer te initialiseren.

Dit probleem kan eenvoudig worden verholpen door het groepsbeleid op de hostcomputer aan te passen om het gebruik van GPU-rendering tijdens een Extern bureaublad-sessie mogelijk te maken.

Volg deze stappen om dit probleem op te lossen:

1. Geef het dialoogvenster Uitvoeren van Windows weer door op de Win + R-toetsen (de Windows-toets en de “R”-toets tegelijkertijd) op het toetsenbord te drukken. Hierdoor wordt het dialoogvenster Uitvoeren van Windows weergegeven.
2. Typ gpedit.msc in het item Openen en druk vervolgens op Enter of klik op de knop [OK]

3. De toepassing Editor voor lokaal groepsbeleid wordt weergegeven. Gebruik het navigatiepaneel aan de linkerkant en selecteer Beheersjablonen > Windows-componenten > Extern bureaublad-services > Host Extern bureaublad-sessie > Omgeving van Externe sessies > RemoteFX voor Windows Server, zoals hieronder weergegeven.

4. Klik in het weergegeven paneel met de rechtermuisknop op het item RemoteFX configureren en selecteer vervolgens Bewerken in het weergegeven contextmenu.

5. Het volgende dialoogvenster wordt weergegeven. Selecteer het keuzerondje Ingeschakeld en klik vervolgens op de knop [OK].

6. Selecteer en klik met de rechtermuisknop op de visuele ervaring optimaliseren bij gebruik van RemoteFX en selecteer vervolgens Bewerken in het weergegeven contextmenu.

7. Selecteer het keuzerondje Ingeschakeld en klik vervolgens op de knop [OK].

8. Selecteer en klik met de rechtermuisknop op het Visuele ervaring  voor sessies met Remote Desktop Services en selecteer vervolgens Bewerken in het weergegeven contextmenu.

9. Selecteer het keuzerondje Ingeschakeld en klik vervolgens op de knop [OK].

10. Merk op dat de status bij RemoteFX configureren, Visuele ervaring optimaliseren bij gebruik van RemoteFX optimaliseren en Visuele ervaring voor sessies met  Extern bureaublad-servicesessies zijn ingesteld op Ingeschakeld.

11. Selecteer in het navigatiepaneel aan de linkerkant omgeving van externe sessies zoals hieronder weergegeven.

12. Klik in het weergegeven paneel met de rechtermuisknop op het item grafische hardware-adapter gebruiken voor alle sessies van Extern bureaublad-services en selecteer vervolgens Bewerken in het weergegeven contextmenu.

13. Selecteer het keuzerondje Ingeschakeld en klik vervolgens op de knop [OK].

14. Selecteer en klik met de rechtermuisknop op Compressie voor RemoteFX-gegevensinvoer configureren en selecteer vervolgens Bewerken in het weergegeven contextmenu.

15. Selecteer het keuzerondje Ingeschakeld en klik vervolgens op de knop [OK].

16. Merk op dat de status van “de standaard grafische hardware-adapter gebruiken voor alle sessies van Extern bureaublad-services en Compressie configureren voor RemoteFX-gegevensgroepsbeleid” zijn ingesteld op Ingeschakeld.

17. Start de hostcomputer opnieuw op en de wijzigingen die in het groepsbeleid zijn aangebracht, worden van kracht. De engineeringsoftware kan vervolgens worden bediend vanaf de hostcomputer met behulp van Remote Desktop.

Microsoft brengt out-of-band Windows Server-update uit om problemen met extern bureaublad op te lossen

Microsoft heeft nieuwe out-of-band patches voor Windows Server uitgebracht om enkele problemen met Remote Desktop op te lossen die zijn veroorzaakt door de updates van de patch dinsdag in december. Volgens de release-opmerkingen verhelpt deze update een Remote Desktop-bug die prestatieproblemen veroorzaakte en gebruikers verhinderde om verbinding te maken met de server.

“Microsoft brengt vandaag, 4 januari 2022, Out-of-band (OOB)-updates uit om problemen op te lossen waarbij Windows Server een zwart scherm, traag inloggen of algemene traagheid kan ervaren”, legde het bedrijf uit over de gezondheid van de Windows-release dashboard. Mogelijk kunt u ook Extern bureaublad niet gebruiken om de server te bereiken. In sommige gevallen reageert de server mogelijk niet meer.”

Microsoft merkte op dat deze verbinding met extern bureaublad en prestatieproblemen zijn opgemerkt in alle ondersteunde versies van Windows Server. De lijst bevat Windows Server 2022, Windows Server 2019, Windows Server 2016 en Windows Server 2012 R2. De out-of-band updates zijn momenteel echter alleen beschikbaar voor Windows Server 2019 (KB5010196) en Windows Server 2012 R2 (KB5010215).

De nieuwste out-of-band updates zijn niet beschikbaar als optionele patches in Windows Update

Het is belangrijk op te merken dat de nieuwste out-of-band updates niet beschikbaar zijn als optionele patches in Windows Update. Het bedrijf raadt zakelijke klanten aan om de zelfstandige pakketten handmatig te downloaden via de Microsoft Update-catalogus. Voor IT-beheerders heeft Microsoft ook een stapsgewijze handleiding verstrekt voor het handmatig importeren van de updates in Windows Server Update Services (WSUS).

Microsoft is van plan om de fixes voor de resterende betrokken platforms in de komende dagen vrij te geven.

Microsoft levert noodoplossing voor Exchange Y2K22-bug

Microsoft heeft een officiële oplossing uitgebracht voor de “Y2K22”-bug die voorheen verhinderde dat lokale Exchange-servers e-mails konden verzenden. Dit probleem begon op 1 januari 2022 om middernacht en zorgde ervoor dat e-mails vast kwamen te zitten in transportwachtrijen als gevolg van een datum controlefout in de FIP-FS-antimalware-scanengine.

De Microsoft Exchange Y2K22-bug werd voor het eerst gemeld door een Exchange-beheerder op Reddit en is van invloed op Microsoft Exchange Server 2016 en 2019. De rapporten suggereren dat dit probleem verschillende foutmeldingen heeft veroorzaakt in het gebeurtenislogboek van de Exchange Server, waaronder de melding “Can’t convert” 220100001 “tot long” fout.

“Het probleem heeft te maken met een mislukte datumcontrole met de verandering van het nieuwe jaar en niet met een storing van de AV-engine zelf. Dit is geen probleem met het scannen van malware of de malware-engine, en het is geen beveiligingsprobleem. De versiecontrole die wordt uitgevoerd met het handtekeningbestand zorgt ervoor dat de malware-engine crasht, waardoor berichten vast komen te zitten in transportwachtrijen”, legde het Exchange-team uit op zijn Tech Community-forum.

Het geautomatiseerde reset-script voor de scanengine downloaden voor Exchange Y2K22-bug

IT-beheerders moeten de onderstaande stappen volgen om het script voor het automatisch resetten van de scanengine uit te voeren op elke lokale Microsoft Exchange-server in hun organisatie:

• Download eerst het scriptbestand voor het automatisch resetten van de scanengine.

• Open vervolgens een Exchange Management Shell (EMS) als administrator.

• Klik vervolgens op Yes als er om het volgende gevraagd wordt

• Stel het uitvoeringsbeleid voor PowerShell-scripts in op RemoteSigned door de volgende opdracht uit te voeren:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

• Type vervolgens “A” om “yes to all” in te geven en het script te starten

• Ten slotte moet u het geautomatiseerde script uitvoeren op elke Exchange-mailboxserver die antimalware-updates downloadt.

Het is belangrijk op te merken dat het script voor het automatisch resetten van de scanengine ook tegelijkertijd op meerdere servers kan worden uitgevoerd. De Redmond-gigant heeft gewaarschuwd dat het uitvoeren van het script enige tijd kan duren om alle berichten op te ruimen die vastzitten in de transportwachtrij, afhankelijk van de grootte van de organisatie.

Het Microsoft Exchange-team heeft ook een handmatige invoermethode uitgewerkt die Exchange-beheerders zal helpen bij het updaten van de scanengine. Bovendien merkte Microsoft op dat zijn nieuwe scanengine (versie 2112330001) in de toekomst updates in deze volgorde zal blijven ontvangen.

Outlook account toevoegen iOS & Android

In deze post behandelen we hoe je een Outlook account toevoegt op een iOS & Android device.
We hebben het netjes onderverdeeld in 2 scenarios, een nieuwe  installatie van Outlook waarbij we het eerste account toevoegen., en
waarbij we er vanuit gaan dat je Outlook hebt geïnstalleerd, en een tweede account toevoegen.

Outlook voor iOS

1. Navigeer naar de App-store aangeduid met het volgende icoontje:

2. Tik op de zoekbalk en type “Outlook” in.

3. Download de Outlook-app, en op de app

4. Voer uw e-mailadres in en klik op de knop account toevoegen.

5. Voer als volgt het wachtwoord in van het e-mailaccount en klik op “Aanmelden”

6. U heeft Outlook succesvol toegevoegd en kunt aan de slag gaan met Outlook voor iOS

7. Je krijgt misschien het volgende bericht te zien, in dit geval mag je een vinkje in de check box zetten en op “Allow” of “accepteren” klikken.

Vanuit een bestaand account een tweede Outlook account toevoegen

1. Open de Outlook app

2. Open uw Outlook-app en klik op uw profielfoto/Inbox

3. Navigeer naar “Instellingen”

4. Klik op “Add Account” of “Account toevoegen”

5. Voer het e-mailadres in en klik op de knop account toevoegen.

6. Voer vervolgens het wachtwoord in voor het nieuwe e-mailaccount en klik op Aanmelden

7. U kunt aan de slag gaan met Outlook voor iOS.

8. Je krijgt misschien het volgende bericht te zien, in dit geval mag je een vinkje in de check box zetten en op “Allow” of “Accepteren” klikken.

Outlook voor Android

1. Navigeer naar de Google Play Store

2. Tik de zoekbalk aan en zoek naar “Outlook”

3. Klik op de groene knop “Installeren”

4. Wanneer u de app voor het eerst opent, klik op “Account toevoegen”

5. Voer uw e-mailadres in

6. Voer het wachtwoord in van uw Outlook account.

7. Outlook is nu gereed voor gebruik.

8. Je krijgt misschien het volgende bericht te zien, in dit geval mag je een vinkje in de check box zetten en op “Allow” of “Accepteren” klikken.

Vanuit een bestaand account een tweede Outlook account toevoegen

1. Klik op de Outlook-app om deze te openen

2. Klik op uw profielfoto om het menu uit te schuiven

3. Klik op Instellingen

4. Klik op “Account Toevoegen”

5. Type uw e-mailadres in, en klik vervolgens op doorgaan

6. Voer uw wachtwoord in

7. Het account is succesvol toegevoegd

8. Je krijgt misschien het volgende bericht te zien, in dit geval mag je een vinkje in de check box zetten en op “Allow” of “Accepteren” klikken.

Outlook account toevoegen

Deze post heeft als doel u te instrueren hoe u een outlook account toevoegt.
Wij hebben deze netjes voor u onderverdeeld in verschillende secties.
Ook hebben we elke categorie gesplitst, waar we uitgaan van een nog niet ingelogde
gebruiker, en gebruikers die al zijn ingelogd in hun Outlook account maar een tweede
bestaande e-mail willen toevoegen.

Laten we beginnen met het Outlook voor Windows.
We zullen dit stap voor stap aan u uit leggen.

Outlook voor Windows
Outlook voor Microsoft 365 en Outlook 2016/2019

Om een account toe te voegen via Outlook voor Windows doet u het volgende:

1. Navigeer naar het Windows icoontje op de taakbalk en klik hierop

2. Klik op Outlook om het programma te starten

3. Voer uw e-mailadres in

4. Voer hier uw wachtwoord in.

5. Uw nieuwe account is nu gereed voor gebruik, klik op Gereed.

6. Je krijgt misschien de volgende melding te zien, als dit het geval is, mag je een vinkje in de check box zetten en op “Allow” of “Accepteren” klikken.

Vanuit een bestaand account een tweede Outlook account
toevoegen
Outlook voor Microsoft 365 en Outlook 2016/2019 toevoegen

1. Navigeer naar het Windows icoontje op de taakbalk en klik hierop.

2. Klik op Outlook om het programma te starten.

3. Klik op bestand

4. Selecteer Account toevoegen

5. Voer hier uw e-mailadres in en klik op Verbinden.

5.Voer hier uw wachtwoord in en klik op aanmelden

6. Je account is succesvol toegevoegd, klik op gereed

7. Je tweede e-mail is nu zichtbaar onder je andere e-mail

8. Je krijgt misschien het volgende bericht te zien (zie afbeelding onder)
In dit geval mag je een vinkje in de check box zetten en op “Allow” of  “Accepteren” klikken.

Outlook voor macOS

Outlook voor macOS
Mailaccounts zoals Microsoft 365, Outlook.com, Hotmail.com, Exchange Server,
Live.com- en Google-accounts, kunnen makkelijk ingesteld worden.

1. Klik op het vergrootglas om de zoeker te starten en type Outlook, klik enter.

2. Type in het zoekvak “Outlook” in

3. Als u Outlook voor het eerst opent, komt u bij het welkomscherm terecht. Klik op “aan de slag”

4. Uitgaande dat u een abbonement heeft, klikken we op de “Hebt u al een abbonement? Aanmelden-knop”

5. Vul hier uw e-mailadres in en klik vervolgens op “Volgende”

6. Voer uw e-mailadres en wachtwoord in, klik vervolgens op aanmelden

7.  Klik in dit scherm op “Gereed” om door te gaan.

8. Klik vervolgens op “Outlook gebruiken”

9. Klik vervolgens op toevoegen

10. Uw e-mailadres is succesvol toegevoegd. Klik vervolgens op “Gereed”

11. Je krijgt misschien de volgende melding te zien als je ingelogd bent, in dit geval klikt u op Allow:

Vanuit een bestaand account een tweede Outlook account
toevoegen

1. Klik op het vergrootglas en type “Outlook” in

2. Klik op “Microsoft Outlook” om Outlook te openen.

3. In Outlook, klik op Accounts

 4. Klik vervolgens op het (+) teken

5. Selecteer de optie “Nieuw account…”

6. Type uw e-mailadres in en klik op “Doorgaan”

7. Type vervolgens uw wachtwoord in en klik op “Aanmelden”

8.  Uw account is toegevoegd en klaar voor gebruik. Klik op “gereed”

9. Uw account is zichtbaar onder uw primaire account

10. Uw krijgt misschien het volgende bericht te zien, in dit geval mag je een vinjke in de check box zetten en op “Allow” of “Accepteren” klikken

Log4j zero-day krijgt beveiligingsoplossing, net zoals scans voor kwetsbare systemen toenemen

De Apache Software Foundation heeft vandaag een noodbeveiligingsupdate uitgebracht om een zero-day kwetsbaarheid te patchen in Log4j, een Java-bibliotheek die logging-mogelijkheden biedt.

De patch, onderdeel van de 2.15.0-release, verhelpt een kwetsbaarheid voor het uitvoeren van externe code (CVE-2021-44228) die gisteren op Twitter werd bekendgemaakt, compleet met proof-of-concept-code.

De kwetsbaarheid, ook wel Log4Shell genoemd, kan worden misbruikt door op Java gebaseerde apps en servers, waar de Log4j-bibliotheek werd gebruikt, te dwingen een specifieke string in hun interne systemen in te loggen.

Wanneer de app of server de logs verwerkt, kan deze string het kwetsbare systeem dwingen een kwaadaardig script te downloaden en uit te voeren vanuit een door een aanvaller gecontroleerd domein, waardoor de kwetsbare applicatie/server effectief wordt overgenomen, volgens een technische storing die gisteren is gepubliceerd door beveiligingsbedrijf LunaSec.

Met een score van 10/10 op de CVSSv3-ernstschaal, is Log4Shell zo slecht als het kan in termen van beveiligingsfouten, omdat het zowel op afstand kan worden misbruikt als weinig technische vaardigheden vereist om uit te voeren.

Enorme impact
Ontdekt tijdens een bug bounty-actie tegen Minecraft-servers, is de kwetsbaarheid veel groter dan sommigen zouden verwachten, voornamelijk vanwege de bijna alomtegenwoordige aanwezigheid van Log4j in bijna alle grote op Java gebaseerde zakelijke apps en servers.

Log4j wordt bijvoorbeeld meegeleverd met bijna alle enterprise-producten die zijn uitgebracht door de Apache Software Foundation, zoals Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo en mogelijk nog veel meer.

Bovendien gebruiken andere open-sourceprojecten zoals Redis, ElasticSearch, Elastic Logstash, de Ghidra van de NSA en anderen het ook in een of andere hoedanigheid.

Natuurlijk zijn alle bedrijven die een van deze producten gebruiken ook indirect kwetsbaar voor de Log4Shell-exploitatie, zelfs als sommigen zich hiervan bewust zijn of niet.

Volgens een gisteren gepubliceerd onderzoek zijn bedrijven met servers waarvan is bevestigd dat ze kwetsbaar zijn voor Log4Shell-aanvallen, zoals Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase en mogelijk nog duizenden meer.

Aanvallen kunnen worden geblokkeerd met een configuratiewijziging
Volgens p0rz9, de Chinese beveiligingsonderzoeker die de exploitcode voor het eerst online plaatste, kan CVE-2021-44228 alleen worden misbruikt als de optie log4j2.formatMsgNoLookups in de bibliotheekconfiguratie is ingesteld op false.

In een gesprek vandaag vertelde Heige, de oprichter en CEO van het Chinese beveiligingsbedrijf KnownSec 404 Team en een van de eerste onderzoekers die de impact van de kwetsbaarheid begrepen, aan The Record dat de Log4j 2.15.0-release van vandaag deze optie in feite op true zet om te blokkeren aanvallen.

Log4j-gebruikers die updaten naar versie 2.15.0 maar deze vlag vervolgens weer op false zetten, blijven kwetsbaar voor aanvallen. Evenzo kunnen Log4j-gebruikers die niet kunnen updaten maar de vlag op true zetten, aanvallen zelfs op oudere versies blokkeren.

Helaas is deze optie standaard ingesteld op false in oude releases, wat betekent dat alle eerdere Log4j-releases sinds 2.10.0, toen deze optie werd toegevoegd, standaard kwetsbaar zijn.

Volgens rapporten van beveiligingsbedrijven Bad Packets en Greynoise scannen meerdere dreigingsactoren al naar apps die mogelijk kwetsbaar zijn voor de Log4Shell-aanval, wat betekent dat servereigenaren hoogstwaarschijnlijk een heel klein patchvenster tot hun beschikking hebben voordat servers aangevallen worden via het achterdeurtje, als dat in iedergeval nog niet het geval is.

How to Install Rocky Linux 8.5 Step by Step

CentOS 8 is reaching EOL (End Of Life) by the end of this year, 2021, and a few Linux distributions have been floated as formidable CentOS alternatives.

Among them is Rocky Linux, which is a fork of CentOS and 100% binary compatible with RHEL. In a previous guide, we introduced Rocky Linux 8.5 and how to download it. We have also touched on how you can migrate from CentOS 8 to Rocky Linux 8.5.

In this guide, we walk you through a step-by-step procedure of how you can install Rocky Linux 8.5. Since Rocky Linux is a fork of CentOS 8, the installation procedure remains more or less the same.

Prerequisites
Before you get started, ensure you have the following:

An ISO image of Rocky Linux 8.5. You can download it from the official Rocky Linux download page. Note that the image is quite big – approximately 9GB for the DVD ISO- and therefore ensure you have a fast and stable internet connection. Alternatively, you can opt for the minimal ISO which is about 2G.
A 16 GB USB drive for use as an installation medium. With the ISO image at hand, you can make the USB drive bootable using the UNetbootin tool or dd command.
Minimum Hard disk space of 15 GB and 2GB RAM.

Installation of Rocky Linux
With your bootable USB drive at hand, plug it in and boot your PC. Keep in mind that you need to set the BIOS to boot from your installation medium.

Booting the PC
Upon booting, the first screen you get is a dark screen with a list of options. Select the first option “Install Rocky Linux 8” and press the ENTER key on your keyboard.

Thereafter, some boot messages will be splashed on the screen as shown.

The Anaconda installer for Rocky Linux will then be started.

Choose Installation Language
On the Welcome page displayed, select your preferred installation language and click ‘Continue’.

Installation Summary – Configure Key Parameters
Before the installation gets underway, some crucial parameters need to be properly set or configured. These are grouped into 4 main sections:

Localization
Software
System
User settings

We will configure the key parameters in each of these categories.

Configure the Keyboard
To configure the keyboard, click on the ‘Keyboard’ option.

The keyboard configuration is set to English (US) by default. If you need to change to something else, click on the plus sign ( + ) at the bottom and select your preferred layout.

In addition, you can type a few words in the textbox at the right to test the layout. Once you are satisfied, click on ‘Done’ to save the changes. For now, we will go with the default selection.

Configure Language Support
To choose the OS language, click on ‘Language Support’.

Once again, select the language that you prefer to use to administer Rocky Linux with and click on ‘Done’.

Configure Time and Date
Next up are the ‘Time and Date’ settings. Click on the option. By default, this is set to Americas/New York.

Click on the map to specify your geographical location. At the very bottom, feel free to configure the time and date settings, and hit ‘Done’ to save the changes.

Configure Software
The next category is the ‘SOFTWARE’ which comprises ‘Installation Source’ and ‘Software Selection’.

Nothing much is required in the first option, but you can take a peek.

Just accept the default settings and click ‘Done’. Next up is the ‘Software Selection’ option.

The ‘Software Selection’ section provides a couple of Base environments that you can choose from. On the right pane is a list of additional software utilities and tools that you can select to install in addition to the base environment.

Select your preferred base environment and Additional packaged and click on ‘Done’.

Installation Destination – Configure Partitioning
This is the most pertinent section in customization and it defines how the hard drive is to be partitioned before the installation of Rocky Linux. By default, automatic partitioning is selected.

Automatic partitioning, as the name implies, automatically partitions your hard drive without requiring your intervention. This is mostly recommended for new Linux users who are not familiar with manual partitioning or users who don’t mind about the partition sizes. The downside to automatic partitioning is that you do not get the benefit of defining your preferred mount points and their sizes.

For this reason, we will try something more ambitious and manually partition the hard drive. Therefore. Select the ‘Custom’ option and click on ‘Done’.

This brings you to the ‘Manual partitioning’ window as shown. We are going to create the following mount points:

To start creating the partitions, click on the plus ( + ) sign.

Specify the /boot partition and its desired capacity.

The newly created /boot partition appears on the partition table as indicated.

Repeat the same step and create the / (root) partition.

And do likewise to create the Swap mount point.

This is how the partition table looks like with all the partitions created. To save the changes made on the hard drive, click on ‘Done’.

On the pop-up alert that appears, click on the ‘Accept Changes’ button to write the partitions on the disk.

Configure Network and Hostname
Another important parameter that requires your attention is the ‘Network and Hostname’ setting.

At the far right, turn on the toggle adjacent to the network adapter- Ethernet, in our case. This ensures that your system picks an IP address dynamically using the DHCP protocol from the router. At the very bottom, specify the hostname and click ‘Apply’.

To save the changes, click on ‘Done’.

Configure User Settings
The last parameter to configure is the ‘User settings’ beginning with the root password.

Provide a robust root password and save the changes.

Next, proceed and create a new regular user by clicking on the ‘User creation’ option.

Provide the username and password and click on ‘Done’.

Begin the Installation of Rocky Linux 8
At this point, all the required settings have been configured. To kickstart the installation of Rocky Linux 8 on your system, click on ‘Begin Installation’.

The installer will begin by writing all the partitions on the hard drive and start installing all the required software packages depending on the base environment selected. This process takes roughly 40 minutes. At this point, you can take a much-deserved break and take a stroll.

Once the installation is complete, you will be prompted to restart the system. At this point, remove your bootable USB drive and hit ‘Reboot system’.

On the GRUB menu, select the first option to boot into Rocky Linux.

You will be required to accept the End User License agreement. So, click on the License Information section.

Accept the license agreement as shown.

And finally, click on ‘FINISH CONFIGURATION’.

Finally, the login GUI will be displayed. Click on the login user icon and provide the password that you specified when creating a new user.

And this ushers you to the Rocky Linux desktop.

Conclusion
As you have noted, the installation of Rocky Linux 8.5 mirrors that of CentOS 8 since Rocky Linux is a fork of the latter. You can now rest easy with the assurance that you have a stable and enterprise-grade system that will provide the same benefits as RHEL at absolutely no cost. In this tutorial, we have successfully installed Rocky Linux 8.5.

Deze post behandelt de stappen voor het upgraden van een domeincontroller die draait op Windows Server 2019 naar Windows Server 2022. We zullen een interne upgrade uitvoeren van een domeincontroller die draait op Windows Server.

Een in-place upgrade is de oplossing als u dezelfde hardware en alle serverrollen wilt behouden zonder de server plat te maken.

Wanneer u een upgrade van de domeincontroller uitvoert, kunt u van een ouder besturingssysteem naar een nieuwer besturingssysteem gaan, terwijl uw instellingen, serverrollen en gegevens intact blijven.

Dit artikel kan worden gebruikt om een interne upgrade van een domeincontroller op Windows Server 2019 naar Windows Server 2022 uit te voeren.

In-place upgrade paths voor Windows Server 2022
Wanneer u van plan bent een upgrade van de domeincontroller op Windows Server uit te voeren, is het belangrijk om de upgradepaden te controleren. Als u bijvoorbeeld een in-place upgrade van Server 2109 naar Server 2022 wilt doen, controleert u eerst of het een ondersteund upgradepad is.

Microsoft heeft de interne upgradepaden voor Windows Server 2022 nog niet bijgewerkt. U hoeft zich geen zorgen te maken, want het upgraden van een domeincontroller van Windows Server 2019 naar Windows Server 2022 wordt ondersteund.

Info – Windows Server kan doorgaans worden geüpgraded via ten minste één en soms zelfs twee versies. Windows Server 2016 en Windows Server 2019 kunnen bijvoorbeeld beide worden geüpgraded naar Windows Server 2022

Vereisten voor het upgraden van een domeincontroller
De volgende lijst bevat enkele vereisten voordat u een upgrade van de domeincontroller van Windows Server 2019 naar Windows Server 2022 uitvoert.

• Controleer of de doelserver voldoet aan de systeemvereisten. Het belangrijkste is dat u de hardwarevereisten controleert en bevestigt of uw server na de upgrade probleemloos kan werken.
• Verifieer de compatibiliteit van applicaties – Er is geen gemakkelijke snelkoppeling hiervoor, u moet de werking van applicaties handmatig testen op een testserver.
• Connectiviteit – Controleer de verbinding met de doelserver vanaf de computer waarop u de interne upgrade wilt uitvoeren.
• Maak een back-up van uw server vóór de upgrade – Microsoft raadt u aan een back-up te maken van uw besturingssysteem, apps en virtuele machines voordat u een upgrade van de domeincontroller uitvoert.
• Download Windows Server 2022 – Windows Server 2022 kan worden gedownload in het Microsoft Evaluatiecentrum. Ik raad echter aan om de nieuwste en een volledige versie te downloaden via Microsoft VLSC- of Visual Studio-abonnementen.

Controleer de versie van het AD-schema

Wanneer u een interne upgrade plant van een domeincontroller die op Windows Server wordt uitgevoerd, vereist de Schema-versie een update naar de nieuwste versie.

U kunt de Power shell snel openen en de volgende opdracht uitvoeren om de huidige versie van het AD-schema te bepalen.

Get-ADOBject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

In een apart bericht heb ik meerdere methoden behandeld om de Active Directory Schema-versie op Windows Server te vinden. De post vermeldt ook alle AD Schema-versies met objectVersion Value.

De AD Schema-versie van Windows Server 2022 en Windows Server 2019 is 88. Dus als u de domeincontroller upgradet van Windows Server 2019 naar Server 2022, kunt u de stap van de schema-upgrade overslaan, aangezien er geen wijzigingen zijn met de Schema-versie

Voer Adprep /ForestPrep uit

De adprep /forestprep bereidt een forest voor op de introductie van een domeincontroller. U hoeft deze opdracht maar één keer in het forest uit te voeren.

Zorg ervoor dat u deze opdracht uitvoert op de domeincontroller die de rol van schema-operationsmaster voor het forest bevat. U moet lid zijn van alle volgende groepen om deze opdracht uit te voeren:

• Enterprise Admins group
• Schema Admins group
• Domain Admins group of the domain that hosts the schema master

Als u de adprep /forestprep uitvoert om het schema te upgraden op een domeincontroller met Windows Server 2019, ziet u dit.

Forest-wide information is al bijgewerkt. De Adprep heeft niet geprobeerd deze bewerking opnieuw uit te voeren. Dit betekent dat u het schema niet hoeft te upgraden, aangezien het de nieuwste versie is.

Forest-wide information is al bijgewerkt.
[Status/Consequence]
Adprep heeft niet geprobeerd deze bewerking opnieuw uit te voeren

Zorg ervoor dat u deze opdracht uitvoert op de domeincontroller die de rol van schema-operationsmaster voor het forest bevat. U moet lid zijn van alle volgende groepen om deze opdracht uit te voeren:

• Enterprise Admins group
• Schema Admins group
• Domain Admins group of the domain that hosts the schema master

Als u de adprep /forestprep uitvoert om het schema te upgraden op een domeincontroller met Windows Server 2019, ziet u dit.

Forest-wide information is al bijgewerkt. De Adprep heeft niet geprobeerd deze bewerking opnieuw uit te voeren. Dit betekent dat u het schema niet hoeft te upgraden, aangezien het de nieuwste versie is.

Forest-wide information is al bijgewerkt.
[Status/Consequence]
Adprep heeft niet geprobeerd deze bewerking opnieuw uit te voeren

Upgradeschema voor Active Directory Forest

Voer Adprep /DomainPrep uit
U voert de opdracht adprep /domainprep uit nadat de opdracht forestprep is voltooid en nadat de wijzigingen zijn gerepliceerd naar alle domeincontrollers in het forest.

Als u de adprep /domain uitvoert om het schema te upgraden op een domeincontroller met Windows Server 2019, ziet u dit.

Domeinbrede informatie is al bijgewerkt. De Adprep heeft niet geprobeerd deze bewerking opnieuw uit te voeren. Dit betekent dat u het schema niet hoeft te upgraden, aangezien het de nieuwste versie is.

Upgrade domeincontroller van Windows Server 2016 naar Server 2022
Als u de AD-domeincontroller op Windows Server 2016 gebruikt en u wilt upgraden naar Windows Server 2022, verschilt de schemaversie.

Windows Server 2016 heeft Schema objectVersion Value 87, terwijl de schemaversie van Windows Server 2022 88 is. Daarom moet u adprep.exe /forestprep uitvoeren om het schema te upgraden naar de nieuwste versie als u een upgrade uitvoert van Server 2016 naar Server 2019.

De adprep-tool breidt het Active Directory-schema uit en werkt de machtigingen indien nodig bij om een forest en domein voor te bereiden voor een domeincontroller waarop het besturingssysteem Windows Server 2016/2019 wordt uitgevoerd.

Steps to Upgrade Domain Controller
Om de domeincontroller op Windows Server te upgraden, hebt u de Windows Server-media nodig. Kopieer de Windows Server 2022 ISO-media naar de Windows Server en koppel deze.
Voer vanaf de installatiemedia van Windows Server 2022 setup.exe uit als beheerder.

Upgrade domeincontroller – Voer Setup uit als beheerder

On the Install Windows Server screen click Next.

Install Windows Server 2022

Om het besturingssysteem te upgraden naar Windows Server 2022, voert u de productsleutel in en klikt u op Volgende.

Voer de productsleutel van Windows Server 2022 in

Selecteer op het scherm Afbeelding selecteren de juiste afbeelding van het besturingssysteem. De image van Windows Server 2022 Datacenter (Desktop Experience) is geselecteerd. Klik volgende.

Selecteer Windows Server 2022 Image

Klik voor toepasselijke kennisgevingen en licentievoorwaarden op Accepteren.

Accepteer de licentievoorwaarden

Opmerking – In het ideale geval zou u op een server met de rol van domeincontroller geen toepassingen moeten installeren, met name de softwareprogramma’s van derden.

Domeincontroller upgraden

Klik in het venster Klaar om te installeren op Installeren. Hiermee begint de upgrade van de Windows Server-domeincontroller.

On Ready to install window, click Install. This begins the Windows Server domain controller upgrade.

Upgrade domeincontroller – Klaar om te installeren

Your server will restart several times during the upgrade. It is best to leave the server as it and let it complete the in-place upgrade.

Upgrade van domeincontroller in uitvoering

De upgrade van de domeincontroller duurt meestal even, afhankelijk van de grootte van uw infrastructuur. Er zijn verschillende factoren die de tijd bepalen die nodig is om een domeincontroller te upgraden.

Na een paar keer opnieuw opstarten, wordt de Windows Server 2016 met de domeincontroller geüpgraded naar Windows Server 2022.

U kunt de Windows Server-editie verifiëren door mijn mijn pc te openen. In de onderstaande schermafbeelding ziet u dat de editie Windows Server 2022-datacenter is en versie 21H2.

En ja, de map Windows.old wordt gemaakt op het C:\-station nadat u de upgrade van de domeincontroller hebt uitgevoerd

Upgrade Domain Controller Complete