carnivore 10 Geschrieben 19. Dezember 2014 Melden Teilen Geschrieben 19. Dezember 2014 (bearbeitet) Hallo, kennt Ihr einen Befehl, damit Clients und Server die Informationen von der AD Configuration-Partition sofort updaten? Bei mir dauert es oft mehrere Stunden, selbst auf dem DC, auf dem die Conf-Partition geändert wurde. Für Testfälle wäre ein erzwungenes Update hilfreich. Merci carnivore bearbeitet 19. Dezember 2014 von carnivore Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 19. Dezember 2014 Melden Teilen Geschrieben 19. Dezember 2014 repadmin /replicate sollte helfen. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 19. Dezember 2014 Autor Melden Teilen Geschrieben 19. Dezember 2014 (bearbeitet) nee, leider nicht. Ich suche einen Befehl/ Trigger für das Update der Informationen auf einen Client (konkret der AIA-Container), kein Anschubsen der Replication zwischen den DCs. bearbeitet 19. Dezember 2014 von carnivore Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 20. Dezember 2014 Melden Teilen Geschrieben 20. Dezember 2014 Ah, sag das doch gleich :p Da wir leider keine Windows-PKI haben, muß ich raten - aber möglicherweise hilft ein "gpupdate /force" schon weiter?!? Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 20. Dezember 2014 Autor Melden Teilen Geschrieben 20. Dezember 2014 genau, so etwas ähnliches wie der "gpupdate". Nur eben nicht für Policies (=domain partition), sondern für Trusted Store (=configuration partition). Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 20. Dezember 2014 Melden Teilen Geschrieben 20. Dezember 2014 Wenn ich nun noch wüsste, was Du am Client updaten willst? K.A. was eine AD-Partition damit zu tun hat. Für CA-Dinge wurde ich mal einen Blick auf certutil -? werfen. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 20. Dezember 2014 Autor Melden Teilen Geschrieben 20. Dezember 2014 (bearbeitet) Hallo Zahni, am Client (win7 / Win8 / Server 2008R2) : MMC -> Certificates (computer account) -> Trusted Root Certification Authorities -> (physical Store = Enterprise) . Die zu synchronisierenden Daten liegen im AIA-Container des ADs in der Config-Partition Da ich relativ häufig diesen AIA-Container mittels certutil -f dspublish "123.cer" Root updaten muss, suche ich nach einem Befehl, den Enterprise Store des Clients schneller mit dem AIA-Container des ADs zu synchronisieren. Prinzipiell funktioniert die Synchronisation auch, dauert meist aber Stunden bis Tage, egal ob in unserer relativ großen ProdUmgebung oder in einer Mini-Testumgebung mit 2 DCs. Selbst ein Client-Reboot beschleunigt übrigens die Synchronisierung nicht. Bei certutil hören sich einige Befehle vielversprechend an, haben aber keinen Effekt. Das könnte aber natürlich auch ein Layer 8 Fehler sein :-) Gruß Carnivore bearbeitet 20. Dezember 2014 von carnivore Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 20. Dezember 2014 Melden Teilen Geschrieben 20. Dezember 2014 "Eigentlich" sollte der gpupdate auch die Certs neu ziehen - aber wie gesagt: Mangels PKI bin ich da leider relativ blank :( Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 21. Dezember 2014 Melden Teilen Geschrieben 21. Dezember 2014 Moin, Da ich relativ häufig diesen AIA-Container mittels certutil -f dspublish "123.cer" Root updaten muss, suche ich nach einem Befehl, den Enterprise Store des Clients schneller mit dem AIA-Container des ADs zu synchronisieren. magst Du uns aufklären, warum eine Root CA häufig aktualisiert werden muss? Mit 'certutil -pulse' lässt sich am Client ein Update der CAs auslösen. Der Befehl hat eigentlich eine andere Funktion, kann aber in einigen Fällen dafür zweckentfremdet werden. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 22. Dezember 2014 Autor Melden Teilen Geschrieben 22. Dezember 2014 (bearbeitet) Trusted Root Certificate Container <> Root CA aber lasst gut sein, so wichtig ist es auch nicht bearbeitet 22. Dezember 2014 von carnivore Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 22. Dezember 2014 Melden Teilen Geschrieben 22. Dezember 2014 Du willst also fremde Root Zertifikate ausrollen? Da geht nun wieder per GPO. und mit GPUPDATE. Einfach mal beschreiben, was Du wirklich machen willst. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 22. Dezember 2014 Autor Melden Teilen Geschrieben 22. Dezember 2014 (bearbeitet) Du willst also fremde Root Zertifikate ausrollen? Da geht nun wieder per GPO. und mit GPUPDATE. Einfach mal beschreiben, was Du wirklich machen willst. Fremde Root Zertifikate ausrollen, geht AUCH! per GPO. und mit GPUPDATE., korrekt! Aber auch per "certutil -dspublish". Beide Wege haben ihre Vor- und Nachteile. Gerne nochmal die Frage: Wie kann man gezielt den AIA-Container des ActiveDirectories auf den lokalen Enterprise Store unter "Trusted Root Certification Authorities" synchronisieren? Warum ich 3rd-party certificates mittels AIA/ "certutil -dspublish" manage und nicht per GPO?...In erster Linie sind es Prozessgründe Wenn jemand eine Lösung zu meiner Frage kennt, freu ich mich. Wenn nicht, ist es auch kein Drama. carnivore bearbeitet 22. Dezember 2014 von carnivore Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.