lepfa

Hallo .. gibt es eine "Updateliste" die beschreibt, welche Sicherheitsupdates nach dem erscheinen von SP2 für XP seitens Microsoft bis zum heutigen Datum zur Verfügung gestellt werden? Und ist es möglich diese Updates manuell zu downloaden? Hintergrund ist die "unattended installation" da nach erfolgreichem "betanken" des PC's es via Webupdate doch noch etwas dauert. Ein Update des frisch installierten Rechners via WSUS ist auch nicht sehr komfortabel. Kann ich desweiteren NET.Framework auf die aktuelle Version updaten via "unattended installation"? danke im voraus lepfa

Der DSL Router war der Übeltäter :( Obwohl der Passthrough PPTP L2TP unterstützt .. was aber ganz komisch ist. Ein baugleicher Router gleiche Firmware und Settings -> damit funktiniert es wunderbar .. werde wohl eine RMA Geschichte daraus machen .. sry für den nerv von mir

Guten Morgen. Auch auf die Gefahr hin für immer und ewig vom Forum gebannt zu werden :D bin gestern nach dem Beitrag vom Super Moderator völlig frustriert in die Wanne und den Rest des Abends mit meiner Freundin verbracht .. hoite Morgen auf Arbeit und (ich kann es nicht lassen zu lesen und zu probieren und das Forum zu nervern ;) ). Habe am Server nix verändert, einfach einen Client im LAN der nicht zur Domäne gehört. Zertifikat geholt .. PPTP eingericht und Auth EAP und der Computer wurde im Netzwerk registriert. ??? Einzigster Unterschied Client -> Router->Internet->Router->Server .. aber eine identische Konfig funktionierte mit einem anderen WIN2k Server auf den selben Wege. Gruß lepfa

ich werd's versuchen :)

wenn ich in der mmc auf dem Server .. unter eigene Zertifikate rechte Maustaste alle Tasks .. neues Zertifikat anfordern .. dann steht da zertifikatsvorlagen Domäncontroller und darunter erweiterte Option ,, wenn ich via Webanforderung für den User erweiterte Konfiguration bei der Zertifikatsanforderung nicht anwähle wird das Zertifikat mit 512 verschlüsselt .. bei erweitert kann ich 1024 auswählen .. so ist die CA auch eingestellt .. Microsoft Base Cryptographic Provider 1.0 1024 .. habe beides versucht Zertifikat mit 512 und 1024 aber keinen Erfolg .. der Domäncontroller ist Mitglied von RAS IAS Gruppe .. Domäncontroller und Zertifikatherausgeber .. wenn ich ganz ehrlich sein soll .. ich blick nicht mehr durch .. ich kann nirgends etwas finden wo ich die Konfig kontrollieren kann :suspect:

ich möchte nicht einen neuen Thread öffnen .. bei dem gleichen Server ist es mir unmöglich eine EAP Verbindung zu erstellen. Ein User erhält ein Userzertifikat der RRAS Server ist auf EAP Auth eingestellt. Bei Konfiguration EAP bei Rasrichtlinien wird das Identitätsnachweiszertifikat installiert aber nur dann vom RRA Server akzeptiert, wenn ich den Haken bei erweiterten Optionen nicht setze. Wenn ich den setze und die Einstellungen vornehme die der CA funktioniert RRAS nicht mehr .. Aber auch mit dem automatisch generierten Zertifikat ist eine Einwahl nicht möglich .. ich versteh es nicht ..

danke :wink2:

Hallo zusammen, Win2k Server mit AD DNS RRAS und CA im native Mode ich weiß nicht warum der Reiter Zertifikate bei Benutzern im AD nicht angezeigt wird. Mit netdiag und dcdiag habe ich mal im trüben gefischt aber so richtig weitergeholfen hatte es nicht. Und irgendwie langweile ich bestimmt schon ein klein wenig ;) gruß

danke Dir -- funktioniert wunder bar :-) WIN2k Server (Standard) IIS 5 -- CA AD integriert -- Zertifikatausstellung nur an Benutzer der Gruppe VPN User und Admins :-) -- RRAS Server PPTP Auth EAP -- Einwahl via DFÜ DDNS und diese User haben auch nicht die Möglichkeit sich innerhalb der Domäne irgendwo anzumelden nur euinwählen *fein* -- kann ich das noch mehr verschärfen? ist eben nur PPTP

Ja ist sie .. Ich war aber vollständig auf nem falschen Dampfer .. ich dachte Benutzerzertifikate werden nur von 2k3-ern ausgestallt .. dem ist aber nicht so .. unabhängig davon funktioniert jetzt beides :-) wenn ich aber nur einen 2k-er benutze und (ich hoffe jetzt liege ich nicht wieder total daneben) VPN L2TP/IPSec ist nicht möglich mit 2k Standard .. darum PPTP mit EAP .. das geht erstmal .. jetzt möchte ich aber nicht immer bei der Zertifikaterstellung die CA starten sondern die sollte die ganze Zeit aktiv sein .. und wenn ein Benutzer ein Zertifikat benötigt ok .. kann ich das eigentlich noch eingrenzen das nur Benutzerzertifikate angeboten werden? bestimmt !!! :) @edit: nur Benutzer funktioniert schon :-) Eine winzige Frage interessiert mich aber noch: Wenn ich alle Benutzer von einer Zertifikatausstellung bis auf meine User innerhalb der Gruppe VPN User und den Admin ausascließe. Der Admin aber keine Einwahlrechte hat. Der Admin sich ein Zertifikat beantragt, das auch erhält. Sich an einem Client anmeldet .. irgendwo .. kann er dieses Zertifikat trotzdem zur Einwahl benutzen wenn er Einwahl unter anderm namen in der Konfig der DFÜ Verbindung angibt?

tut mir leid .. benutzt Du WIN2k Server (Standard)?? @Edit: oh pardon! hätte mal eher alles von Beginn an testen sollen :wink2: habe am Client immer nur auf aktualisieren geklickt. Nach dem vollständigen neu anmelden am Client (../certsrv) ging es dann *hmm* danke Dir .. irgendwie klaue ich Dir immer die Zeit :rolleyes:

ja .. ich werde es probieren

thx .. Konfig win2k Server: AD -> neue OU erstellt in dieser OU eine Gruppe VPN User (Sicherheitsgruppe), die Gruppe der VPN User ist an keine andere Mitgliedschaft gebunden. Innerhalb der OU dann einen VPN User erstellt mit Einwahlberechtigung (RAS Richtlinie) der die Gruppenmitgliedschaft VPN User aufweist. CA -> Unter Eigenschaften der CA Sicherheitseinstellungen dort Gruppe VPN User hinzugefügt und Berechtigungen lesen, registrieren. Active Directory Standorte und Dienste -> Ansicht Dienstknoten anzeigen -> Services -> Public Key Service -> Certificate Templates -> Zertifikatvorlage User Eigenschaften Sicherheitseinstellungen Gruppe VPN User hinzugefügt (lesen) .. ergibt Fehlermeldung beim beantragen des Zertifikates keine Vorlage gefunden oder Sicherheitseinstellungen überprüfen

Alles bleibt anders :) die Gruppe der VPN User darf nach editieren des Templates für die Userzertifikatvorlage und nach ändern der Sicherheitseinstellungen der CA (lesen, registrieren) danke fehlender Berechtigungen immer noch kein Zertifikat beantragen :(

Guten Morgen .. habe ich getan. User Zertifikatsvorlage . Eigenschaften . Sicherheitseinstellung die Gruppe hinzugefügt (in dieser Gruppe ist mein VPN User Mitglied-sonst nirgends) beim Aufruf der .../certsrv Seite kann ich noch das Zertifikat einstellen "Benutzer" wenn ich dann aber auf erweiterte Konfiguration klicke erhalte ich folgende Fehlermeldung "Es wurden keine Zertifikatsvorlagen gefunden, oder Sie verfügen nicht über Rechte ...)" :(

Stimmt .. funktioniert bestens :) ist es weiterhin möglich der CA mitzuteilen, nur Zertifikate an Benutzer einer bestimmten Gruppe auszustellen. Also ich dachte mir eine eigene Sicherheitsgruppe die keine Domänusermitgliedschaft hat?

Na weil der Client ein NONDOMÄN Mitglied ist .. das Benutzerzertifikat kann nur ab der Enterpriseversion ausgestellt werden . .soweit ich weiß :)

Richtig. Aber ich kann doch mit dem WIN2k Server (Standard) keine Benutzerzertifikate ausstellen :(

ich dachte das wäre nicht nötig!

sry für meine Unbeholfenheit .. muß der 2000er Mitglied der Domäne sein? Eigentlich ist der 2000er der DC und der 2003er nur zu Testzwecken installiert .. den wollte ich nicht in die Domäne aufnehmen, weil noch viel darum herumexperimientiert wird. Und schnell mal wieder die Platte vom 2003er formatiert wird :)

danke .. aber ich bin im Moment etwas verwirrt :cool: Du schreibst .. meinst Du für den WIN2k Server? Ich kann Deiner Konfig nicht ganz folgen *sry* Meine Konfig: WIN2k3 Server (Standard) CA DC AD . ole :-) XP Client (NONDOMÄNMITGLIED) beantragt via WEB ein Benutzerzertifikat .. mit diesem kann er sich dann an dem RRAS der auch auf dem WIN"k3 Server läuft via VPN (EAP) authentifizieren. Jetzt möchte ich das der XP Client mit diesem Zertifikat sich an einen WIN2k RRAS Server via Auth EAP verbinden kann. Dem WIN2k Server wollte ich mitteilen, daß die CA und das Benutzerzertifikat das von dieser CA ausgestellt wird soweit vertrauenswürdig ist, daß ein Benutzer sich an dem RRAS WIN2k Server anmelden kann. Ohne das ich dabei eine CA auf dem WIN2k Server installiere. Mit der Standard Versin kann ich keine Benutzerzertifikate ausstellen (an dem WIN2k Server) *puh* ich hoffe ich habe nichts verdreht :)

cool .. ich kann bei dem WIN2k Server bei RRAS nur Auth MS CHAP Ver 2 oder anderes User Kennwort Verfahren einstellen .. bei EAP kommt vom RAS Server (Richtlinien) kein Zertifikat gefunden ...! ich weiß nicht sorecht wo ich da ansetzen soll .. ich habe das Userzertifikat auf dem WIN2k Server via MMC SnapIn Zertifikat dem lokalen Computer hinzugefügt und zu Vetrauenswürdigen CA's hinzugefüt .. waren also 2 Zertifikate 1 für die CA und eins für den User .. Jetzt bin ich bei Zertifikaten nicht so fit, denn ich weiß nicht ob dem Benutzernamen bei der Ausstellung des Zertifikates seitens der CA vom WIN2k3 Server irgendwelche Parameter mit zur Erstellung benutzt werden, die der WIN2k Server nicht haben kann .. kann ich auf dem WIN2k Server einstellen, daß der CA die ich importiere vertraut werden kann und das Zertifikaten (Benutzer) die für die Einwahl via VPN vertraut werden kann?? thx Edit: die Einwahl via PPTP Auth EAP Verschlüsselung MPPE 128 von dem XP Pro Client mit dem Userzertifikat von der WIN2k3 CA ist erfolgreich

Hallo .. ist es möglich mit einem BenutzerZertifikat das von der CA eines WIN2k3 StandardServer ausgestellt wurde, sich an einen WIN2k StandardServer via VPN "PPTP" (Authmethode EAP) anzumelden? Ich stelle mir das so vor: die CA ist AD integriert (WIN2k3 Server) .. der Client ist ein NONDOMÄNMITGLIED (XP Pro SP2) .. dann exptortiere ich das ausgestellte Benutzerzertifikat Richtung WIN2kServer und richte dann RRAS VPN PPTP Auth. EAP auf dem Server ein. Geht dies?¿? Ich bekomme es nicht hin . gruß lepfa

hm .. ich glaube nicht .. aber so funktioniert zum Beispiel der Switch von ich sag mal XP mit installierten Intel Treibern für Celeron CPU auf Gigabyte xyz Mainboard zu Athlon 64bit oder umgekehrt oder zu SIS .. man hat freie Wahl ;-)) ohne Stress und Bluescreen und es dauert 10 Minuten.

Teil2 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_10ad&dev_0001] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="pciide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_10ad&dev_0150] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="pciide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_10b9&dev_5215] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="pciide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_10b9&dev_5219] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="pciide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_10b9&dev_5229] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="pciide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_1106&dev_0571] "Service"="pciide" "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_8086&dev_1222] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="intelide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_8086&dev_1230] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="intelide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_8086&dev_2411] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="intelide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_8086&dev_2421] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="intelide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_8086&dev_7010] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="intelide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_8086&dev_7111] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="intelide" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\pci#ven_8086&dev_7199] "ClassGUID"="{4D36E96A-E325-11CE-BFC1-08002BE10318}" "Service"="intelide" ;Add driver for Atapi (requires Atapi.sys in Drivers directory) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi] "ErrorControl"=dword:00000001 "Group"="SCSI miniport" "Start"=dword:00000000 "Tag"=dword:00000019 "Type"=dword:00000001 "DisplayName"="Standard IDE/ESDI Hard Disk Controller" "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,61,00,74,00,61,00,70,00,69,00,2e,\ 00,73,00,79,00,73,00,00,00 ;Add driver for intelide (requires intelide.sys in drivers directory) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IntelIde] "ErrorControl"=dword:00000001 "Group"="System Bus Extender" "Start"=dword:00000000 "Tag"=dword:00000004 "Type"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6e,00,74,00,65,00,6c,00,69,\ 00,64,00,65,00,2e,00,73,00,79,00,73,00,00,00 ;Add driver for Pciide (requires Pciide.sys and Pciidex.sys in Drivers directory) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCIIde] "ErrorControl"=dword:00000001 "Group"="System Bus Extender" "Start"=dword:00000000 "Tag"=dword:00000003 "Type"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,63,00,69,00,69,00,64,00,65,\ 00,2e,00,73,00,79,00,73,00,00,00 gruß lepfa .. Zeichenbeschränkung vom Board max 4000. Darum 2 Teile ;-))