Skip to content

SRV-Einträge im DNS abfragen

MCSE Der SRV-Eintrag ist ein DNS-Ressource-Eintrag und in RFC 2782 definiert. Er wird verwendet um Computern bestimmte Dienste auf einem Server zu identifizieren. Der Netlogon-Dienst z.B. registriert solche Einträge.

Mittels eines SRV-Resource-Records kann per DNS bekanntgegeben werden, welche IP-basierenden Dienste angeboten werden. Dazu wird bei jedem Dienst dann weitere Information geliefert, wie z.B. der Server-Name, der diesen Dienst bereitstellt. Einem Dienst erkennt man am Namen und das mit einem Punkt angehängte Protokoll.

Um Verwechslungen mit anderen Domain-Namen zu verhindern wird jeweils ein "_" vorangestellt.

Wenn der Domain-Controller als DNS eingetragen ist und die Zonenübertragung zugelassen wurde, kann man mit "nslookup" und dem Befehl "ls -t SRV domain.zone" die SRV-Records abfragen:


SRV-Ressource-Einträge werden eingesetzt um im Active Directory die Domäne-Controller zu finden. Ein Client kann z.B. per einfacher DNS-Abfrage ermitteln dass in einer DNS-Domain ein LDAP-Server existiert, der über TCP Port 389 erreichbar ist.

System-DLL "user32.dll" im Speicher verschoben nach Windows-Update

Software Da staunt man ja schon nicht schlecht, wenn am Mittwochmorgen der Computer mal wieder eine neue Fehlermeldung bringt. Und man dazu natürlich grad in den letzten Tagen nichts neues installiert hat. Umso mehr, wenn sie sofort nach dem Start der diebischen Elster erscheint und diese unsanft wieder aus dem Speicher befördert.

Doch die Software des Finanzministers war gar nicht schuld - den Dienstag davor war mal wieder der große Patch- und Update-Tag des Betriebssystem-Lieferanten aus Redmond. Und da wurde diesmal eine Sicherheitslücke in der Verarbeitung von ANI-Dateien behoben (für animierte Cursor, ähnlicher Aufbau wie AVI-Dateien, seit Ende letzten Jahres bekannt). Leider stehen die Basisadressen dieses und einen weiteren Sicherheitsupdates von Microsoft miteinander in Konflikt.
Da muss man aber erst mal drauf kommen; sonst denkt man erstmal an irgendwelche Trojaner oder ähnliches was so zufällig auf die Platte gefallen sein könnte. Mit einem Update des Patches ist das Problem dann schnell gelöst. Es dürfte aber noch eine Zeitlang dauern, bis dies überall der Fall ist: Das "Realtek HD Audio Control Panel" findet sich auf vielen Notebooks insbesondere von HP und eher wenige Anwender werden in der Lage sein den neuen Patch herunterzuladen und anzuwenden.

Richtlinien für verschiedene Gruppen durchsetzen

MCSE Wenn für verschiedene Gruppen Richtlinien durchgesetzt werden sollen, dann ist die Reihenfolge zu beachten!

In diesem Beispiel würde nur die Richtlinie "Textverarbeitung" allen Anwendern zur Verfügung stehen. Die GPO "Buchhaltung" würde nie erfolgreich angewendet.


Die Liste wird von oben nach unten abgearbeitet und die erste Richtlinie gewinnen, allen Anwendern steht nur die "Textverarbeitung" und nichts anderes mehr zur Verfügung, weil nur diese Software in der obersten Richtlinie erlaubt und durchgesetzt wird.

Lösung des Problems könnte sein nur der Buchaltungs-Gruppe die GPO für die Buchhaltung zuzuweisen, diese GPO um eins nach vorn zu setzen und um die Textverarbeitung zu ergänzen wenn diese auch verwendet werden soll.

MSP-Patches auf MSI-Pakete anwenden

MCSE Wenn ein Hersteller wie z.B. Microsoft mit seinem Office eine fehlerhafte Version seiner Software in einem MSI-Paket ausgeliefert hat gibt es häufig die Patches im MSP-Format. Dies ist nicht zu verwechseln mit den MST-Dateien (Transformsdatei).

Das MSP-Paket ist kompakter kann aber nicht direkt zugewiesen werden. Man muss mit "msiexec /a c:\software\office.MSI /p F:\patch.msp" das MSI-Paket patchen und dann mit der GPO neu zuweisen damit es noch einmal deployed wird.

Mehrere Patches müssen unbedingt nacheinander und in der richtigen Reihenfolge angewendet werden!

MSI-Pakete können auch von Hand als Administrator installiert werden, obwohl sie natürlich eigentlich für die Zuweisung mit einer Richtlinie gedacht sind. Soll aber z. B. die Verfügbarkeit der Dateiserver nicht unterbrochen werden auf denen ein Anti-Virus-Programm installiert werden soll, so kann diese nicht per GPO geschehen, denn die Software würde erst beim nächsten Systemstart installiert werden.
tweetbackcheck