Alle Aktivitäten

Wenn nur Zertifikate auf Basis derselben Vorlage erstellt werden, wird dort keine neues Zertifikat bezogen. Wäre mir jedenfalls neu. Aber selbst wenn, wo ist denn das Problem?

Die Vorlage, auf der meine DCs ihre jetzigen Zertifikate ausgestellt haben, wird angezeigt/angeboten, wenn ich auf dem DC ein neues Zertifikat anfordern möchte. Auf der Vorlage besitzen die DCs ja auch das Recht "Automatisch Registrieren" Würden Sie das Recht nicht besitzen oder die Vorlage nicht angeboten werden, würde ich mir keine Sorgen um die Aktivierung der GPO machen Edit: was mir dann nicht ganz klar ist: Wenn ich den DCs das Recht zum AutoEnrollment wegnehme und die GPO aktiviere.. wann gebe ich den DCs das Recht auf AntoEnrollment dann wieder? Sie brauchen es ja

Ja, und gibt es die konkret bei Dir? Du kannst ja certlm.msc auf einem DC öffnen und schauen, welche Vorlagen für einen DC überhaupt zum Enrollment angeboten werden, um dann zu überprüfen, welche von ihnen auf Autoenroll für DCs, Domain Computers oder Authenticated Users stehen (letzteres sollte es grundsätzlich nicht geben).

Entschuldige, hätte es spezifizieren sollen, statt hoffen, dass man die Stelle findet, die ich meine :) Ich meine folgendes: Achtung: Bei der erstmaligen Aktivierung der Richtlinie muss darauf geachtet werden, welche Zertifikate bereits für den oder die Domain Controller ausgestellt worden sind. Sollten bereits Zertifikate, die Zertifikatsvorlagen nutzen, ausgestellt worden sein, werden diese Zertifikate ebenfalls aktualisiert und ggf. abgeändert. Da dies in der Regel nicht gewünscht ist, muss die Zertifikatsvorlage des entsprechenden Zertifikats angepasst werden, sodass dem Domain Controller die Autoenroll Berechtigung entfernt wird. Damit ist gewährleistet, dass die bestehenden Zertifikate durch Aktivierung der Gruppenrichtlinie nicht verändert werden

In dem von Dir verlinkten Artikel sehe ich nicht, dass man das Recht "Automatisch registrieren" herausnehmen soll - man soll vielmehr verifizieren, DASS es besteht??? Oder was war Deine Frage? Und zur Zeitschiene der Ablösung: Wenn Deine PAM-Software nicht ein bestimmtes Zertifikat auf den DCs erwartet, das man dort händisch hochladen soll, ist es doch kein Problem, wenn lange vor Ablauf ein {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} gegen ein anderes {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} ausgetauscht wird?

PAM Software im Einsatz.. Automatische Passwort Rotation etc. Wäre cool, wenn nochmal Jemand was zu meiner vorherigen Frage sagen könnte, falls bekannt

Moin, aber habt ihr auch tatsächlich einen Use Case für LDAPS? Denn nur dann lohnt es sich, den ganzen Aufwand zu betreiben.

Wenn ich nun die GPO aktiviere, ziehen die DCS sich sofort ein neues Zertifikat obwohl das jetzige noch Monate lang aktiv ist? Wird zumindest hier https://www.escde.net/blog/dc-zertifikat-autoenrollment-teil-1 so beschrieben, dass man auf der Vorlage "Automatisch Registrieren" herausnehmen soll Wann setzt man das Recht auf Automatisch Registrieren dann wieder? P.S. Warum die GPO nicht aktiv ist, weiß ich nicht. Ich habe das Zertifikat selber auch nicht ausgestellt bzw. die Vorlage erstellt

Ja, musst du. Gibts Gründe, warum du die Optionen deaktiviert hast?

Hi, ich habe die Vorlage Kerberos Authentifizierung dupliziert. Folgende Eigenschaften: Server - und Client Authentifizierung, Smart Card und KDC Authentifizierung. SAN nicht aktiviert.. sprich Name kommt aus dem AD. Also müsste ich in dem Fall die GPO aktivieren?

Hi, wenn du eh schon dran bist, auf welcher Vorlage basiert denn das Zertifikat, welches deine DCs nutzen? Wenns Domaincontroller ist, dann brauchst du nichts tun, denn das ist hardcoded für die Erneuerung. Es wird allerdings nicht mehr empfohlen, sondern verwende lieber die Vorlage für die Kerberos-Authentifizierung. Für das musst du dann natürlich die Automatische Registrierung in der Vorlage aktivieren und den Enrollmentclient aktivieren.

Hallo, ich habe auf unseren DCs jeweils ein Domänenzertifikat für LDAPS aktiviert. Läuft dieses Jahr aus. Würde gerne das Auto Enrollment für diese beiden aktivieren, falls man es doch mal vergisst manuell zu verlängern. Die Domaincontroller haben das recht "Registrieren" und "Automatisch Registrieren" Allerdings fehlt noch die GPO unter Computer Konfiguration > Windows Settings > Sicherheitseinstellungen > Richtlinien für automatische Schlüssel -> Automatische Registrierung Muss die GPO heutzutage noch aktiviert werden, oder reicht die Berechtigung "Automatisch Registrieren" auf der Zertifikatsvorlage? Gibt es etwas, was dagegen spricht, das AutoEnrollment für die DC-Zertifikate zu aktivieren? Danke Euch Edit: Wenn ich jetzt die GPO aktiviere, würden die DCs sich sicherlich direkt ein neues Zertifikat ziehen? Nehme ich denen dann das Recht "Automatisch Registrieren" raus? Jemand eine Idee, wie man das am besten macht?

Viel Erfolg! 👍

Kaffe kann ich gut gebrauchen. Habe gleich ein Meeting.

Moin an Board, so starten wir dann in eine neue, spannende Woche, die letzte im Oktober - ich koche Kaffee Allen einen guten Montag, bleibt gesund! Hier derzeit Nieselregen bei 9°C, der Tag bleibt regnerisch bis etwa 11°C Am Freitag Helloween…

Ich diskutiere nicht mehr mit dem DL. Jeder ist dort für was Anderes zuständig, aber nie für das aktuelle Problem.

Moin, sowas in der Art? https://www.davidpashley.com/articles/automatic-proxy-configuration-with-wpad/

Hallo zusammen. Ich bin auf der Suche nach einem Template für die Proxy Konfiguration in Win Server 2016/2019/2022. Hintergrund: Ich möchte erreichen dass nur bei bestimmten Webseiten der Proxy genutzt wird und ALLES ANDERE seinen normalen weg ohne Proxy geht. Ist dafür ein Skript der richtige weg oder gibt es sonst Möglichkeiten das zu bewerkstelligen ? Die Anzahl Webseiten für die der Proxy verwendet werden liegt im 1 stelligen Bereich... Grüße GTR

Willkommen in der NORMALzeit! Wieder halbwegs im Einklang mit dem globalen Rhytmus. VG Damian

Willkommen in der Winterzeit ! Alle Zeitumstellungen abgeschlossen Gleich geht es los zurück nach Hause 🏠 Bis Montag…

Naja dann steht er ja auch nicht direkt im netz (quasi). ;)

Das hatten wir mal gemacht für Genehmigungen, aber da war ein Reverse Proxy mit Cert Preauth davor.

https://www.heise.de/news/WSUS-Luecke-Bereits-Attacken-beobachtet-10899799.html gibt’s wirklich Leute die den internen wsus ins Internet veröffentlichen und ihre eigenen Clients damit versorgen? Ich mein, ja ist bequem, aber ich hätte da auch vor dieser Lücke definitiv kein gutes Gefühl gehabt.

Habe gerade festgestellt, das überhaupt kein DC installiert war Füge ich jetzt einmal nachträglich hinzu, kann mich ja austoben weil ich mit dem geklonten System arbeite. Lernen ist immer gut. Der Hersteller und auch meine Meinung ist, das WIN11 Pro völlig ausreichend ist. Ich wollte eigentlich ein System mit 2x NVME Raid1 und eine zusätzlich WD RED oder Plus als Backuplösung zusätzlich zum Bandlaufwerk aufsetzen. Dafür möchte ich aber kein Gaming Board von ASUS benutzen. Also weiter umsehen, was es an bootfähigen Raid Controllern gibt. Das bedeutet aber eine Neuinstallation und die Pfade an den Clients anpassen. Kann ich aber nicht entscheiden und Chef liegt in der Sonne.

Moin, wenn es nur drei Clients sind, kann man sich den Zauber mit dem zusätzlichen DC vielleicht auch sparen. Einfach auf dem neuen Server ein neues AD installieren, die Daten kopieren, die Anwendung installieren. Die drei Clients dann eben neu aufnehmen. Falls dort Daten in den Profilen der früheren Anmeldekonten gespeichert sind, kommt man da mit Adminrechten lokal ran und kann die in die neuen Profile verschieben. Ob das grundsätzlich funktioniert, weiß man in ca. 2 Stunden. Die Chance ist groß. Falls doch nicht, dann gilt der Weg von Evgenij im Groben. Gruß, Nils