skyerjoe

Sorry das ich diesen Thread nochmal ausgrabe Aber ich hätte gerne gewußt,ob es ungefährlich ist, mit einem 2003 Adminstration Pack u. winxp per mmc snapin auf einen windows 2008 Server zuzugreifen, und zB. die Benutzerkonten oder sonstiges zu ändern. Sind die Zugriffsmethoden und die Hirachie den gleichgeblieben? grüße skyerjoe

Ich weiß der Thread is uralt Aber wer noch so alte pc's ein tipp Es kann auch an der Platte liegen, war erst bei uns so. Also mal mit BootOS rein, und Festplatte prüfen falls ungewöhnlich niedrige Liestungswerte auftauchen... Platte is mit Sicherheit defekt.... grüße skyerjoe

Hallo Allerseits Wir haben in unserer Umgebung ein Ticketsystem auf einem Linux Server installiert. Jetzt wollte ich die versch. Dashboards mithilfe von RSS feeds abfragen welches das Programm erzeugt. Ausprobiert habe ich es mit folgenden Readern: Nfreader: geht Feedreader: geht Outlook: geht nicht Fehlermeldung: Die Webseite konnnte nicht gefunden werden ... Thunderbird: geht nicht Fehlermeldung: Adresse konnte nicht gefunden werden Hier ist der RSS Link in Reinform: hxxps://xxx.xxx.xxx/NoAuth/rss/root/6ebe803e215f30d6/?Order=DESC%7CASC%7CASC%7CASC&OrderBy=Created&Query=%20Owner%20%3D%20%27Nobody%27%20AND%20(%20Status%20%3D%20%27new%27%20OR%20Status%20%3D%20%27open%27 Hat jemand ne Ahnung warum das so ist bzw. an welchen Einstellungen ich drehen könnte? grüße skyerjoe

Hallo miteinander Ich wollte euch nur des Ergebnis des ganzen Aktion sagen, haben Glück gehabt ... es ist keine Replikation geschehen ..*uff definitiv :) danke an alle für die schnelle hilfe ... grüße skyerjoe

Hallo Nils Ja es ging um DC's Nein, er hat exakt leider dieselben ip's gehabt wie der Prod-Server . Danke für den Link. Denke das wird Klarheit darüber schaffen, ob die Konsitenz noch intakt ist. grüße skyerjoe

Morgen Realnetz: 2 Virtuelle Windows 2008 R2 Standard Edition Server Domänencontroller Srv1 und Srv2 ( replikationsfähig beide gleichgestellt) Testnetz: 1. Virtueller Windows 2008 Server ( geclont mit VmWAre Infrastructure Client von Srv1) mit 2 virtuellen NICS. Einmal für das Testnetz und einmal für das Hauptnetz. Fehlerursache: Der geclonte Server wurde in ins Hauptnetz eingebunden, durch die Aktivierung einer virtuellen Netzwerkkarte auf dem Clone, die die Adresszuweisung des Hauptnetzes entspricht. Versuchte Problembeseitigung : Die virtuelle Netzwerkkarte füs Hauptnetz wieder deaktiviert und die fürs Testnetz aktiviert. Fragen, die nach der Aktion auftreten: Hat sich einer der Server im Hauptsystem mit dem Testserver repliziert? Ist das überhaupt möglich? Wie erkennt der Windows 2008 Server seinen Replikationspartner? Welchen Eintrag muss ich im Eventlog suchen bzw nicht suchen, damit ich eine Replizierung ausschließen kann. Diese funktioniert lt. Eventlog noch ... grüße skyerjoe

Nein gebastelt is da nix ... sorry hab mich vielleicht a weng schlecht ausgedrückt. Es ist ein geclontes VMWARE IMAGE vom Original VM Image Windows Server 2008 srv1. grüße skyerjoe

Hallo miteinander VmNetz: Windows Server 2008 (Clon von Hauptnetz Server srv1) Hauptnetz: Windows Server 2008 srv1 (replikator) Hauptnetz: Windows Server 2008 srv 2 (replikator) Folgender Fehler ist passiert. Der VmServer wurde ins Realnetz eingebunden, und ist somit mit dem Hauptnetzserver kolidiert. Was kann da passieren, bzw. passiert sein. ? Wir haben zwar das Problem behoben, wissen aber nicht, ob es bei diesem Fehler geblieben ist. Wo kann ich ansetzen, um die Server auf Fehler bzw. zu überprüfen ob die Konsistenz der Server im Hauptnetz noch in Ordnung ist. Bedanke mich schonmal für eure Anregungen grüße skyerjoe

@blub klasse danke dir genau das was ich gesucht habe grettings skyerjoe

Hallo alle, Ich habe vor kurzem eine Website gefunden, die beschreibt, wie man sämtliche Zertifikatsspeicher aufspürt... leider führt sie nicht auf, für was diese Gut sind. Website: Wie heißen die Zertifikatspeicher auf Windows Systemen? - Aktives Verzeichnis Blog - Site Home - TechNet Blogs (TechNet Blogs - Kennt sich da jemand von euch aus? Grüße skyerjoe

So... Ich wollte diesen Thread abschließen ... da jetzt auch alles geht .... Meine Schritte: 1. Root CA auf Linux Maschine mit openssl erstellt Erstellen eines Server-Zertifikates 2. Gpo erstellt und das Root CA in Trusted Cert Container eingestellt siehe http://technet.microsoft.com/en-us/librarycc770315%28WS.10%29.aspx 3. Request Datei auf windows server erstellt: siehe hier: Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle 4. Auf Linux Kiste mit dem Root CA zertifiziert 5. in die windows server umgebung mit certrequest accept eingebunden [url="Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle"]Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle[/url] Danke an alle die geholfen haben..... greetz skyerjoe

danke dir greeting skyerjoe

Also sie liegen def. im RootCA ... was meinst du mit anschauen ?.. wenn man die Seite auf dem Server aufruft, wird sie auch anstandlos ohne Warnung wiedergegeben. Welche Schritte ich gemacht habe und was fuinktioniert: Zertifzierrungsstelle installiert und Schlüssel und CA Certificate erstellt und konfiguriert. 1. Einrichten einer Microsoft PKI mit Windows Server 2008 (R2) « Technikblog Bestehende Zertifikate gelöscht nach folgender Anleitung : 1.How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain Enrollments und automatische Zertifikatsanfoderung: 1. AD CS: User autoenrollment should be enabled when an enterprise CA is installed 2. Galileo Computing :: Windows Server 2008 R2 – 12.8 Autoenrollment und automatische Zertifikatanforderung Trusted Puiblishers Eintrag: 1. Adding “Trusted Publishers” certificate with Group Policy | Bibble-IT.com Guppenrichtlinien: 2. Deploy Certificates by Using Group Policy Stores: 1. Certificate befindet sich im Root CA und in Vertrauenswürdigen Zertifizierungssstellen im Container "local machine" und "local user". Verify: 1.Zertifikat verglichen mit den Programmen Openssl und Certutil ( fingerprint und schlüsselkenung ... verifizierung etc.. ) Linux Seite: Per makecert das zertifikat importiert mit dem erstellt und signiert und linux übergeben und konfiguriert. So... was geht ... wenn sich der Client mit dem Server verbindet ( Clientauthentifizierung ) dann holt er sich das Zerfikat und kann erkennt auch dann dementsprechend die Trusted Certstelle im IE... aber.. wenn ich die Zertifikate händisch aus den Stores wieder entferne ... dann holt sich der IE das Zertifikat nicht selber. Wäre schön wenn das klappen würde .. grüße skyerjoe

Angehender Admin .... also in der Lernphase .... aber es stimmt schon mit PKI hab ich mich noch nicht näher befasst ... deshalb würde ich mich über Lektürempfehlungen auch freuen...... grüße skyerjoe

Jo hab mir schon ein bißchen was durchgelesen. .. aber welche lektüre wäre denn noch interessant für mich, die umsonst is .... noch ne frage ... muss der Client das Root CA händisch bekommen, oder kann ich das über die Verteilung laufen lassen, mir geht es in erster linie um die Möglichkeit, das die Browser auf den Clients wissen, diesem Zertifikat kann ich vertrauen .... update: So ich hätte es jetzt sogar hinbekommen, aber jemand sagt in einem Kommentar, dass diese Möglichkeit ein Sicherheitsrisiko dastellt... Bin nach dieser Anleitung vorgegangen.... Adding “Trusted Publishers” certificate with Group Policy Das weiter unten beschriebene ( das angeblich auch gehen soll) Deploy Certificates by Using Group Policy das bringt bei mir nichts ... aber mit der Methode von 2003 gehts einwandfrei .... jetzt frage ich mich natürlich warum? und ob es wirklich eine gute Idee ist, diese andere Option dann zu nehmen? nachtrag: komisch etz gehts wieder nicht mehr ... :( grüße skyerjoe

Hallo olc.... natürlich tun sie das .... Du meinst in den GPOS ? Ja ist es. .... ich frage mich aber im Moment ganz ernsthaft, ob das ohne CA Service auf dem Server geht... da in Anleitungen von MS auch immer erwähnt wird, dass man ein Template für das Autoenrollment benötigt wird, und soweit ich das jetzt mitbekommen habe, geht das nur über den AD Cert Service Dienst. kann mir da jemand was dazu sagen? ... liege ich mit meiner Vermutung richtig ? grüße skyerjoe

Anscheinend bin ich da echt nicht gut drin, ich gelobe Besserung :) Also... Mein Certficiate ist definitiv jetzt im RootCA mit dem Befehl: certutil -dspublish -f datei RootCA okay das war ja dass, was mir blub empfohlen hat an anderer Stelle habe ich auch noch eine LDAP Abfrage die per tls connected... aber da es nur ein Server ist, werde ich mir da kein Bein ausbrechen wegen der Zertifikatsverteilung ( zumal es eine Linux Kiste is). so zurück zu windows .... was ich gemacht habe ... die Certs in lokalen und user speicher eingetragen ... läuft.. zumindest mit dem IE sobald ich davon absehe und sie nur in den gpo's domainpolicy " Vertrauenswürdige Stammzertifizierungsstellen" und dem RootCA reinstelle... dann passiert nichts ... apropo "nur nicht im browser" kann ich noch was anderes testen? grüße skyerjoe

@Dr Melzer: okay werd ich machen @blub Also, ich habe es hinbekommen mit dem Certutil .... jetzt ist also das auch in diesem RootCA container ....klappt nicht ... etz sehe ich aber noch eine andern Container, der damit was zu tun haben könnte. Er heißt: CN=Enrollment Services und ist im selben Kontext zu finden ... wie komme ich da ran? grüße skyerjoe

Probier mal das Zertifikat in den RootCA Container zu spielen hallo blub.... wie krieg ich das zertifikat am leichtesten da rein? habe mal per ldp den tree ausfindig gemacht bloß habe ich von ldp keine ahnung wie ich was hinzuzufügen kann ... geschweige denn ein zertifikat mit ldp will ich mich eigentlich nicht auch noch rumschlagen .... kennst du einen einfachen schnellen weg? grüße skyerjoe

Hallo Norbert IE und Firefox sind im Netzwerk vorhanden... wobei vorrangig der IE benutzt wird... Was ich etz auch nochmal probiert habe den usergroups eine eigene GPO zuweisen und das ganze nicht auf Default Domain ebene einzutragen sondern verknüpft mit den gruppen der AD .. klappt aber genauso wenig ... grüße skyerjoe

Hallo miteinander Server: Windows Server 2008 AD Clients: windowxp sp3 Ich habe auf einer Linux Kiste den webserver apache für ssl konfiguriert. Klappt soweit auch alles, bloß muss ich bei jedem Client eine Ausnahmebestätigung machen, wen ich auf den Dienst per Browser zugreifen will. Wie kann ich in der AD einstellen, dass das Zertifikat automatisch an die versch. Clients verteillt wird? Ps: Habe es schon per GPO und domain policies mit "Vertrauenswürdigen Stammzertifizierungstellen" versucht, geht aber nicht. ( btw: geht das auch mit selbstsignierten zertifikaten?) Woran könnte es noch liegen? grüße skyerjoe

morgen wie kann ich einen thread auf solved editieren? grüße skyerjoe

Also da ich ja auch meine Lösung veröffentlichen will 1. Ich habe per perfmon den Verkehr mitgeschnitten. 2. Per Client ( Linux) mit tshark Da konnte ich dann mehr infos draus ziehen Grüße skyerjoe

Da gibt es eigentlich gar nicht viel zu sagen, das problem, dass das plugin mit einer bestimmten Syntax nicht zurechtgekommen ist. 1. Das ist der Filter der funktioniert: 'filter' => '(memberOf=CN=Usergroup-RT,OU=Gruppen,OU=xxx,DC=xx,DC=xxxl)', 'd_filter' => '(userAccountControl=514)', 2. Das war der Filter ( Beispiel da ich das alte nicht mehr habe) , der nicht funktionierte ( is aus der Readme) : # The filter to use to match RT-Users 'filter' => '(objectClass=User)', # A catch-all example filter: '(objectClass=*)' # # The filter that will only match disabled users 'd_filter' => '(objectClass=FooBarBaz)', # A catch-none example d_filter: '(objectClass=FooBarBaz)' Weiß nicht inwiefern das was bringt ... vielleicht dem einem oder anderen :) grüße skyerjoe

So habs etz endlich geschafft .... Ich schreibe mal eine kleine Step by step Anleitung Zertifikat einrichten für ldap over ssl , ohne eine Zertifikatsstelle zu installieren. Linux 1. Erstellt euch unter linux ( Openssl) ... evtl geht es auch unter windows einen CA und ein Server zertifikat, nach dieser Anleitung. Erstellen eines Server-Zertifikates 2. Dann importiert mit Hilfe von openssl die zertifikate in verschiedene Formate: 2.1 CAroot in ein *.der File ( Wichtig: nicht in eines, wo der privatekey mit drinnen ist) 2.2 CAServer in ein pfx file mit Hilfe von Pvk2PfX man kann nach dieser Anleitung (Pvk2PfX teil) http://www.digitallycreated.net/Blog/38/using-makecert-to-create-certificates-for-development vorgehen. Jetzt werde ich die Sache ein wenig spalten... da das aber hier ein Win Forum ist, werde ich die Linux Seite und meine Erfahrungen nur kurz anreißen. 3.0 Windows-Client 3.1. Erstellt euch mit Hilfe der mmc Konsole ein Snapin für Zertifikate für aktueller Benutzer und für lokaler Computer. 3.2 Importiert jetzt das *der Zertifikat des RootCA auf euren Windows-client. 3.3 Da Windows in 99 % der Fälle die Zertfifikate unter dem "Aktueller Benutzer" anlegt und da unter "vertrauenswürdige Stammzertifizierungsstellen" , müssen wir jetzt noch das CARootZertifikat händisch kopieren, und in "Lokaler Computer" in "vertrauenswürdige Stammzertifizierungsstellen " ablegen. So das sollte es auf der Client Seite gewesen sein. 4.0 Windows 2008 Server 4.1 siehe 3.1 4.2 Importiert den CAServerkey auf den Windows Server ( ohne eigenes kennwort) 4.3 ähnliches problem wie in 3.3 also auch hier wieder den Serverkey kopieren, und in "Lokaler Computer" "eigene Zertifikate" ablegen. 4.4 zum schluß testen wir noch mit Hilfe des Client Computers ob wir uns per ssl auf den ldap server verbinden können, dafür benutzen wir das Programm LDP.exe ...zu finden hier (Support tools) wir können es auch Serverseitig ausprobieren, bloß wissen wir dann nicht hundertprozentig ob es auch über die Client-Server Verbindung klappt. 5.0 Linux Client: Ich kann auf linux seite nur soviel sagen, dass es bei mir Linux relativ egal war ob ein Zertifikat installiert war oder nicht. Ich habe per tshark den handshakemitgeschnitten... und es hat funktioniert. das kann aber von Anwendung zu Anwendung anders sein. Bei mir gabs ein Plugin, das auf Perl aufbaut und auf das Net-SSLeay Perl Modul .... Falls aber jemand wissen will, wie andere Awendungen die keys erkennen hier mal eine Möglichkeit zum basteln. Matthias Lohr Hier noch ein link dazu http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl ( Wichtig: wobei hier die symlink syntax vom oberen link genommen werden sollte, da sie hier falsch beschrieben ist) Anmerkungen: 1. Für Schäden ist jeder selber Verantwortlich 2. Das Howto erhebt keine Ansprüche vollständig bzw. perfekt zu sein, oder alle Eventualitäten abzudecken, da es dafür zuviele Konfigurationen und verschiedene Systemumgebungen gibt. 3. Das ganze sollte auch mit TLS funktionieren. 4. Falls jemand es mit Makecert versuchen will, bitte nur zu bloß kann ich von meiner Seite aus sagen, dass ich damit ein paar verschiedene Möglichkeiten durchgespielt habe, und keine einzige hat funktioniert. grüße skyerjoe